本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 计划密钥删除
以下过程介绍如何 Amazon KMS 使用和 Amazon KMS API 安排密钥删除和取消密钥删除 Amazon KMS keys (KMS 密钥)。 Amazon Web Services 管理控制台
**警告**
删除 KMS 密钥具有破坏性和潜在危险性。只有当您确定不再需要使用 KMS 密钥并且将来也不再需要了,才能继续删除操作。如果您不确定,则应[禁用 KMS 密钥](enabling-keys.md),而不是将其删除。
在删除 KMS 密钥之前,您必须具有执行这一操作的权限。有关向密钥管理员授予这些权限的信息,请参阅 [控制密钥删除所需的权限](deleting-keys-adding-permission.md)。您也可以使用 [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days) 条件键进一步限制等待时间,例如强制规定最短等待时间。
Amazon KMS 当您[计划删除 KMS 密钥以及[实际删除](ct-delete-key.md)](ct-schedule-key-deletion.md) KMS 密钥时,会在 Amazon CloudTrail 日志中记录一个条目。
## 使用控制 Amazon KMS 台
在中 Amazon Web Services 管理控制台,您可以安排和取消一次删除多个 KMS 密钥。
**计划密钥删除**
1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.amazonaws.cn/kms) s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。
1. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
1. 在导航窗格中,选择**客户托管密钥**。
您无法安排删除 [Amazon 托管式密钥](concepts.md#aws-managed-key)或 [Amazon 拥有的密钥](concepts.md#aws-owned-key)。
1. 选择想要删除的 KMS 密钥旁边的复选框。
1. 依次选择 **Key actions (密钥操作)**、**Schedule key deletion (计划密钥删除)**。
1. 阅读并考虑警告,以及有关在等待期限内取消删除的信息。如果决定取消删除,请在页面底部选择 **Cancel**(取消)。
1. 对于 **Waiting period (in days) (等待期限(天))**,键入一个介于 7 和 30 之间的天数。
1. 查看正在删除的 KMS 密钥。
1. 选中 “**确认您想安排在**几天内删除此密钥” 旁边的复选框。** 。
1. 选择**计划删除**。
KMS 密钥状态将更改为**等待删除**。
## 使用 Amazon KMS API
使用 [https://docs.amazonaws.cn/cli/latest/reference/kms/schedule-key-deletion.html](https://docs.amazonaws.cn/cli/latest/reference/kms/schedule-key-deletion.html) 命令安排删除[客户托管的密钥](concepts.md#customer-mgn-key),如以下示例所示。
您无法计划删除 Amazon 托管式密钥 或 Amazon 拥有的密钥。
```
$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10
```
成功使用后, Amazon CLI 返回的输出类似于以下示例所示的输出:
```
{
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"DeletionDate": 1598304792.0,
"KeyState": "PendingDeletion",
"PendingWindowInDays": 10
}
```