计划密钥删除 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

计划密钥删除

以下过程介绍如何 Amazon KMS 使用和 Amazon KMS API 安排密钥删除和取消密钥删除 Amazon KMS keys (KMS 密钥)。 Amazon Web Services Management Console

警告

删除 KMS 密钥具有破坏性和潜在危险性。只有当您确定不再需要使用 KMS 密钥并且将来也不再需要了,才能继续删除操作。如果您不确定,则应禁用 KMS 密钥,而不是将其删除。

在删除 KMS 密钥之前,您必须具有执行这一操作的权限。有关向密钥管理员授予这些权限的信息,请参阅 控制密钥删除所需的权限。您也可以使用 kms:ScheduleKeyDeletionPendingWindowInDays 条件键进一步限制等待时间,例如强制规定最短等待时间。

Amazon KMS 当您计划删除 KMS 密钥以及实际删除 KMS 密钥时,会在 Amazon CloudTrail 日志中记录一个条目。

在中 Amazon Web Services Management Console,您可以安排和取消一次删除多个 KMS 密钥。

计划密钥删除

  1. 登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

    您无法安排删除 Amazon 托管式密钥Amazon 拥有的密钥

  4. 选中想要删除的 KMS 密钥旁边的复选框。

  5. 依次选择 Key actions (密钥操作)Schedule key deletion (计划密钥删除)

  6. 阅读并考虑警告,以及有关在等待期限内取消删除的信息。如果决定取消删除,请在页面底部选择 Cancel(取消)。

  7. 对于 Waiting period (in days) (等待期限(天)),键入一个介于 7 和 30 之间的天数。

  8. 查看正在删除的 KMS 密钥。

  9. 选中 “确认您想安排在<number of days>几天内删除此密钥” 旁边的复选框。

  10. 选择计划删除

KMS 密钥状态将更改为等待删除

使用 aws kms schedule-key-deletion 命令安排删除客户托管的密钥,如以下示例所示。

您无法计划删除 Amazon 托管式密钥 或 Amazon 拥有的密钥。

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

成功使用后, Amazon CLI 返回的输出类似于以下示例所示的输出:

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}