本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
计划删除密钥
以下过程介绍如何在 Amazon KMS 使用和时安排密钥删除和取消KMS密钥删除 Amazon KMS keys (密钥) Amazon KMS API。 Amazon Web Services Management Console
警告
删除KMS密钥具有破坏性,并且具有潜在的危险。只有在确定不再需要使用密钥并且将来也不需要使用KMS密钥时,才应继续操作。如果不确定,则应禁用KMS密钥而不是将其删除。
在删除KMS密钥之前,您必须拥有删除密钥的权限。有关向密钥管理员授予这些权限的信息,请参阅 控制对密钥删除的访问权限。您也可以使用 kms:ScheduleKeyDeletionPendingWindowInDays 条件键进一步限制等待时间,例如强制规定最短等待时间。
Amazon KMS 当您计划删除密钥时以及实际删除KMS密钥时,会在 Amazon CloudTrail 日志中KMS记录一个条目。
在中 Amazon Web Services Management Console,您可以安排和取消一次删除多个KMS密钥。
计划密钥删除
-
登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km
s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。 -
要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
您无法安排删除 Amazon 托管式密钥或 Amazon 拥有的密钥。
-
选中要删除的KMS密钥旁边的复选框。
-
依次选择 Key actions (密钥操作)、Schedule key deletion (计划密钥删除)。
-
阅读并考虑警告,以及有关在等待期限内取消删除的信息。如果决定取消删除,请在页面底部选择 Cancel(取消)。
-
对于 Waiting period (in days) (等待期限(天)),键入一个介于 7 和 30 之间的天数。
-
查看您要删除的KMS密钥。
-
选中 “确认您要安排删除此密钥” 旁边的复选框
<number of days>
天。 。 -
选择计划删除。
KMS密钥状态更改为 “待删除”。
使用 aws kms
schedule-key-deletion
命令安排删除客户托管的密钥,如以下示例所示。
您无法计划删除 Amazon 托管式密钥 或 Amazon 拥有的密钥。
$ aws kms schedule-key-deletion --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
--pending-window-in-days 10
成功使用后, Amazon CLI 返回的输出类似于以下示例所示的输出:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }