计划从外部密钥存储删除 KMS 密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

计划从外部密钥存储删除 KMS 密钥

如果您确定您不需要在任何加密操作中使用 Amazon KMS key,您可以计划删除 KMS 密钥。同样使用用于计划从 Amazon KMS 删除任何 KMS 密钥的过程。从外部密钥存储中删除 KMS 密钥对作为其密钥材料的外部密钥没有影响。

您可以在强制等待期期间取消删除 KMS 密钥的计划。但是,删除的 KMS 密钥不可恢复。即使您拥有外部密钥,也无法在外部密钥存储中重新创建对称加密 KMS 密钥。由于外部密钥存储中的每个对称 KMS 密钥都有唯一的 Amazon KMS 密钥材料和元数据,因此只有加密对称加密文字的 Amazon KMS 密钥才能对其进行解密。

警告

删除 KMS 密钥是一种具有破坏性且潜在危险的操作,可阻止您恢复使用 KMS 密钥加密的所有数据。在安排删除 KMS 密钥之前,请检查 KMS 密钥的过去使用情况,并创建一个 Amazon CloudWatch 警报,当有人试图使用 KMS 密钥等待删除时,该警报会提醒您。如有可能,禁用 KMS 密钥而不是将其删除。

如果您计划从外部密钥存储中删除 KMS 密钥,其密钥状态将变为 Pending deletion(待删除)。KMS 密钥将在整个等待期处于 Pending deletion(待删除)状态,即使 KMS 密钥因您断开外部密钥存储而不可用时都是如此。这允许您在等待期内随时取消删除 KMS 密钥。等待期到期后,Amazon KMS 将从 Amazon KMS 删除 KMS 密钥。

当您计划从外部密钥存储中删除 KMS 密钥时,KMS 密钥将立即变得不可用(取决于最终一致性)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的数据密钥加密的资源不会受到影响。此问题会影响 Amazon Web Services,因为许多服务使用数据密钥来保护您的资源。有关更多信息,请参阅 不可用的 KMS 密钥如何影响数据密钥

您可以在 Amazon CloudTrail 日志中监控 KMS 密钥的计划取消删除