本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
计划密钥删除
以下过程介绍如何通过 Amazon Web Services Management Console 和 Amazon KMS API 在 Amazon KMS 中计划密钥删除和取消 Amazon KMS keys(KMS 密钥)的密钥删除。
警告
删除 KMS 密钥具有破坏性和潜在危险性。只有当您确定不再需要使用 KMS 密钥并且将来也不再需要了,才能继续删除操作。如果您不确定,则应禁用 KMS 密钥,而不是将其删除。
在删除 KMS 密钥之前,您必须具有执行这一操作的权限。有关向密钥管理员授予这些权限的信息,请参阅 控制密钥删除所需的权限。您也可以使用 kms:ScheduleKeyDeletionPendingWindowInDays 条件键进一步限制等待时间,例如强制规定最短等待时间。
在您计划删除 KMS 密钥且 KMS 密钥被实际删除时,Amazon KMS 会将一个条目记录在 Amazon CloudTrail 日志中。
在 Amazon Web Services Management Console 中,您可以一次安排和取消删除多个 KMS 密钥。
计划密钥删除
-
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service(Amazon KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
您无法安排删除 Amazon 托管式密钥或 Amazon 拥有的密钥。
-
选中想要删除的 KMS 密钥旁边的复选框。
-
依次选择 Key actions (密钥操作)、Schedule key deletion (计划密钥删除)。
-
阅读并考虑警告,以及有关在等待期限内取消删除的信息。如果决定取消删除,请在页面底部选择 Cancel(取消)。
-
对于 Waiting period (in days) (等待期限(天)),键入一个介于 7 和 30 之间的天数。
-
查看正在删除的 KMS 密钥。
-
选中 Confirm you want to schedule this key for deletion in
<number of days>
days(确认您要计划在 n 天后删除此密钥)旁的复选框。 -
选择计划删除。
KMS 密钥状态将更改为等待删除。
使用 aws kms
schedule-key-deletion
命令安排删除客户托管的密钥,如以下示例所示。
您无法计划删除 Amazon 托管式密钥或 Amazon 拥有的密钥。
$ aws kms schedule-key-deletion --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
--pending-window-in-days 10
使用成功后,Amazon CLI 将返回与以下示例中显示的输出类似的输出:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }