删除 Amazon CloudHSM 密钥存储 - Amazon Key Management Service
删除 Amazon CloudHSM 密钥存储(控制台)删除 Amazon CloudHSM 密钥存储(API)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除 Amazon CloudHSM 密钥存储

当您删除 Amazon CloudHSM 密钥存储时,Amazon KMS 会从 KMS 中删除有关 Amazon CloudHSM 密钥存储的所有元数据,包括有关其与 Amazon CloudHSM 集群的关联的信息。此操作不会影响 Amazon CloudHSM 集群、其 HSM 或其用户。您可以创建与同一 Amazon CloudHSM 集群关联的新 Amazon CloudHSM 密钥存储,但无法撤消删除操作。

您只能删除已与其 Amazon CloudHSM 集群断开连接且不包含任何 Amazon KMS keys 的 Amazon CloudHSM 密钥存储。在删除自定义密钥存储之前,请执行以下操作。

请考虑断开其与关联的 Amazon CloudHSM 集群的连接,而不是删除 Amazon CloudHSM 密钥存储。当某个 Amazon CloudHSM 密钥存储断开连接时,您可以管理 Amazon CloudHSM 密钥存储及其 Amazon KMS keys。不过,您无法在 Amazon CloudHSM 密钥存储中创建或使用 KMS 密钥。您可以随时重新连接 Amazon CloudHSM 密钥存储。

删除 Amazon CloudHSM 密钥存储(控制台)

要在 Amazon Web Services Management Console 中删除 Amazon CloudHSM 密钥存储,请首先从 Custom key stores(自定义密钥存储)页面中选择 Amazon CloudHSM 密钥存储。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择自定义密钥存储Amazon CloudHSM 密钥存储

  4. 找到表示要删除的 Amazon CloudHSM 密钥存储的行。如果Amazon CloudHSM密钥库的 “连接” 状态不是 “已断开连接”,则必须先断开Amazon CloudHSM密钥库的连接,然后才能将其删除。

  5. Key store actions(密钥存储操作)菜单中选择 Delete(删除)。

在操作完成后,会显示一条成功消息,并且 Amazon CloudHSM 密钥存储不再显示在密钥存储列表中。如果操作失败,则会显示一条错误消息,描述问题并提供有关如何解决该问题的帮助。如果您需要更多帮助,请参阅对自定义密钥存储进行故障排除

删除 Amazon CloudHSM 密钥存储(API)

要删除密Amazon CloudHSM钥库,请使用DeleteCustomKeyStore操作。如果此操作成功,则 Amazon KMS 返回 HTTP 200 响应和无属性的 JSON 对象。

要开始操作,请确认 Amazon CloudHSM 密钥存储不包含任何 Amazon KMS keys。您无法删除包含 KMS 密钥的自定义密钥存储。第一个示例命令使用ListKeys和在Amazon CloudHSM密钥库Amazon KMS keys中搜索 DescribeKey,示例 cks-1234567890abc def0 自定义密钥库 ID。在此情况下,该命令不会返回任何 KMS 密钥。如果是,请使用ScheduleKeyDeletion操作安排每个 KMS 密钥的删除。

Bash
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
PowerShell
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

接下来,断开 Amazon CloudHSM 密钥存储。此示例命令使用DisconnectCustomKeyStore操作断开Amazon CloudHSM密钥库与其Amazon CloudHSM集群的连接。在运行此命令之前,请将示例自定义密钥存储 ID 替换为有效 ID。

Bash
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
PowerShell
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0

断开自定义密钥库的连接后,您可以使用DeleteCustomKeyStore操作将其删除。

Bash
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
PowerShell
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0