计划删除密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

计划删除密钥

以下过程介绍如何在 Amazon KMS 使用和时安排密钥删除和取消KMS密钥删除 Amazon KMS keys (密钥) Amazon KMS API。 Amazon Web Services Management Console

警告

删除KMS密钥具有破坏性,并且具有潜在的危险。只有在确定不再需要使用密钥并且将来也不需要使用KMS密钥时,才应继续操作。如果不确定,则应禁用KMS密钥而不是将其删除。

在删除KMS密钥之前,您必须拥有删除密钥的权限。有关向密钥管理员授予这些权限的信息,请参阅 控制对密钥删除的访问权限。您也可以使用 kms:ScheduleKeyDeletionPendingWindowInDays 条件键进一步限制等待时间,例如强制规定最短等待时间。

Amazon KMS 当您计划删除密钥时以及实际删除KMS密钥时,会在 Amazon CloudTrail 日志中KMS记录一个条目。

在中 Amazon Web Services Management Console,您可以安排和取消一次删除多个KMS密钥。

计划密钥删除

  1. 登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

    您无法安排删除 Amazon 托管式密钥Amazon 拥有的密钥

  4. 选中要删除的KMS密钥旁边的复选框。

  5. 依次选择 Key actions (密钥操作)Schedule key deletion (计划密钥删除)

  6. 阅读并考虑警告,以及有关在等待期限内取消删除的信息。如果决定取消删除,请在页面底部选择 Cancel(取消)。

  7. 对于 Waiting period (in days) (等待期限(天)),键入一个介于 7 和 30 之间的天数。

  8. 查看您要删除的KMS密钥。

  9. 选中 “确认您要安排删除此密钥” 旁边的复选框 <number of days> 天。

  10. 选择计划删除

KMS密钥状态更改为 “待删除”。

使用 aws kms schedule-key-deletion 命令安排删除客户托管的密钥,如以下示例所示。

您无法计划删除 Amazon 托管式密钥 或 Amazon 拥有的密钥。

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

成功使用后, Amazon CLI 返回的输出类似于以下示例所示的输出:

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}