删除 Amazon KMS keys - Amazon Key Management Service
关于等待期限删除非对称 KMS 密钥删除多区域密钥删除具有导入密钥材料的 KMS 密钥
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除 Amazon KMS keys

删除 Amazon KMS key具有破坏性和潜在危险性。这将删除密钥材料以及与 KMS 密钥关联的所有元数据,并且不可撤销。删除 KMS 密钥后,您不能再解密用该密钥加密的数据,这意味着该数据将无法恢复。(唯一的例外是多区域副本密钥以及带有导入密钥材料的非对称密钥和 HMAC KMS 密钥。) 对于用于加密的非对称 KMS 密钥来说,这种风险非常大,在这种情况下,用户可以在没有警告或错误的情况下继续生成带有公钥的加密文字,而这些加密文字在从 Amazon KMS 中删除私钥后无法解密。

只有当您确定不再需要使用 KMS 密钥时,才能将其删除。如果您不确定,请考虑禁用 KMS 密钥,而不是将其删除。您可以重新启用被禁用的 KMS 密钥,取消 KMS 密钥的计划删除,但无法恢复已删除的 KMS。

您只能安排删除客户托管的密钥。您无法删除 Amazon 托管式密钥或 Amazon 拥有的密钥。

在删除 KMS 密钥之前,您可能想要了解使用该 KMS 密钥加密了多少密文。Amazon KMS 不会存储此信息,也不会存储任何密文。要获取此信息,您必须确定 KMS 密钥的过去使用情况。如需帮助,请转到 确定 KMS 密钥的过去使用情况

Amazon KMS 从不会删除您的 KMS 密钥,除非您明确安排删除它们并且强制的等待期到期。

但是,您可能会出于以下一个或多个原因而选择删除 KMS 密钥:

  • 完成不再需要的 KMS 密钥的密钥生命周期

  • 避免因维护不用的 KMS 密钥而产生的管理开销和成本

  • 减少计入您的 KMS 密钥资源配额的 KMS 密钥数量

注意

如果关闭您的 Amazon Web Services 账户,您的 KMS 密钥将变得无法访问,您也不必再为它们付费。

在您计划删除 KMS 密钥且 KMS 密钥被实际删除时,Amazon KMS 会将一个条目记录在 Amazon CloudTrail 日志中。

有关删除多区域主密钥和副本密钥的信息,请参阅 删除多区域密钥

主题

关于等待期限

因为删除 KMS 密钥具有破坏性且存在潜在危险,所以 Amazon KMS 要求您将等待期限设置为 7-30 天。默认的等待期限为 30 天。

但是,实际等待期限可能最多比您计划的时间长 24 小时。要获取删除 KMS 密钥的实际日期和时间,请使用DescribeKey操作。或者在 Amazon KMS 控制台中的 KMS 密钥详细信息页面General configuration(常规配置)部分中,参阅计划删除日期。请务必记下时区。

在等待期限内,KMS 密钥状态和密钥状态为 Pending deletion(等待删除)。

等待期结束后,Amazon KMS 会删除 KMS 密钥、其别名以及所有相关的 Amazon KMS 元数据。

计划删除 KMS 密钥可能不会立即影响由 KMS 密钥加密的数据密钥。有关更多信息,请参阅 不可用的 KMS 密钥如何影响数据密钥

请利用这段等待期来确保现在或将来都不需要 KMS 密钥。您可以配置 Amazon CloudWatch 警报,以便在等待期间有人或应用程序尝试使用 KMS 密钥时向您发出警告。要恢复 KMS 密钥,您可以在等待期限结束前取消密钥删除。等待期限结束后,将无法取消密钥删除,Amazon KMS 将删除 KMS 密钥。

删除非对称 KMS 密钥

获得授权的用户可以删除对称 KMS 密钥或非对称 KMS 密钥。对于两种密钥类型,计划删除 KMS 密钥的过程是相同的。但是,由于非对称 KMS 密钥的公有密钥可以下载并在 Amazon KMS 外部使用,因此操作会带来重大的额外风险,尤其是对于用于加密的非对称 KMS 密钥(密钥用法为 ENCRYPT_DECRYPT)。

  • 您在计划删除 KMS 密钥时,KMS 密钥的密钥状态将更改为 Pending deletion(等待删除),并且 KMS 密钥将无法用在加密操作中。但是,计划删除对 Amazon KMS 外部的公有密钥没有影响。持有公有密钥的用户可以继续使用该密钥加密消息。他们不会收到密钥状态已更改的任何通知。除非删除取消,否则使用公有密钥创建的密文将无法解密。

  • 告警、日志以及其他检测试图使用等待删除的 KMS 密钥的策略,无法检测到 Amazon KMS 外部公有密钥的使用。

  • KMS 密钥删除后,涉及该 KMS 密钥的所有 Amazon KMS 操作都将失败。但是,持有公有密钥的用户可以继续使用该密钥加密消息。这些密文将无法解密。

如果您必须删除密钥用法为的非对称 KMS 密钥ENCRYPT_DECRYPT,请使用您的 CloudTrail 日志条目来确定公有密钥是否已下载和共享。如果有,请验证该公有密钥是否在 Amazon KMS 外部使用。然后,考虑禁用 KMS 密钥而不是将其删除。

对于具有导入密钥材料的非对称 KMS 密钥,可缓解删除非对称 KMS 密钥所带来的风险。有关更多信息,请参阅 删除具有导入密钥材料的 KMS 密钥

删除多区域密钥

获得授权的用户可以计划删除多区域主密钥和副本密钥。然而,Amazon KMS 将不会删除具有副本密钥的多区域主键。此外,只要主键存在,您就可以重新创建已删除的多区域副本密钥。有关更多信息,请参阅 删除多区域密钥

删除具有导入密钥材料的 KMS 密钥

授权用户可以计划删除具有导入密钥材料的 KMS 密钥。此操作会永久删除 KMS 密钥及其密钥材料以及与 KMS 密钥关联的所有元数据。

即使您有密钥材料的副本,您也无法创建新的对称加密 KMS 密钥来解密具有导入密钥材料的已删除对称加密密钥的加密文字。但是,如果您拥有密钥材料,则可以有效地重新创建具有导入密钥材料的非对称 KMS 密钥或 HMAC KMS 密钥。有关更多信息,请参阅 删除具有导入密钥材料的 KMS 密钥