删除导入的密钥材料 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除导入的密钥材料

您可以随时从 KMS 密钥中删除导入的密钥材料。此外,当导入的带有过期日期的密钥材料到期时, Amazon KMS 会删除该密钥材料。在任意一种情况下,密钥材料删除后,KMS 密钥的密钥状态将变为待导入,并且该 KMS 密钥不能用于任何密码操作。

对称加密密钥可以有多个与之关联的密钥材料,任何处于非状态的密钥材料的删除或过期都会将密钥状态PENDING_ROTATION更改为 “待导入”。对于此类密钥,KMS 会为每个密钥材料分配一个唯一的标识符。您可以使用 ListKeyRotationsAPI 来查看这些密钥材料标识符。您可以使用 DeleteImportedKeyMaterialAPI 中的key-material-id参数指定其标识符来删除特定的密钥材料。

多区域密钥的注意事项

  • 当您删除PENDING_MULTI_REGION_IMPORT_AND_ROTATION处于PENDING_ROTATION或状态的主区域密钥的密钥材料时,也将删除副本区域密钥的密钥材料。

  • 如果您删除副本区域密钥的密钥材料,则主区域密钥和其他副本区域密钥将保持不变。

警告

key-material-id 参数是可选的,如果您不指定该参数,则 Amazon KMS 会删除当前密钥材料。

除了禁用 KMS 密钥和撤回权限外,还可以将删除密钥材料用作一种策略,以快速但暂时地停止使用 KMS 密钥。相比之下,计划删除具有导入密钥材料的 KMS 密钥也会很快停止使用 KMS 密钥。但如果未在等待期内取消删除,则会永久删除 KMS 密钥、关联的密钥材料和所有密钥元数据。有关更多信息,请参阅 Deleting KMS keys with imported key material

要删除密钥材料,您可以使用 Amazon KMS 控制台或 DeleteImportedKeyMaterialAPI 操作。 Amazon KMS 当您删除导入的密钥材料和Amazon KMS 删除过期的密钥材料时,会在 Amazon CloudTrail 日志中记录一个条目。

删除密钥材料如何影响 Amazon 服务

删除任何密钥材料后,该 KMS 密钥将立即变为不可使用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的数据密钥加密的资源不会受到影响。此问题会影响 Amazon Web Services 服务,其中许多使用数据密钥来保护您的资源。有关更多信息,请参阅 不可用的 KMS 密钥如何影响数据密钥

您可以使用 Amazon KMS 控制台删除密钥材料。

  1. 登录 Amazon Web Services 管理控制台 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 请执行以下操作之一:

    • 选中带导入密钥材料的 KMS 密钥对应的复选框。依次选择 Key actionsDelete key material。对于与多个密钥材料关联的对称加密密钥,这将导致删除当前密钥材料。

    • 对于带有导入密钥材料的对称加密 KMS 密钥,请选择 KMS 密钥的别名或密钥 ID。选择按密钥材料和轮换选项卡。密钥材料表会列出与该密钥关联的所有密钥材料。在要删除的密钥材料对应的行中,选择操作菜单中的删除密钥材料

  5. 确认要删除该密钥材料,然后选择 Delete key material。KMS 密钥的状态(对应于其密钥状态)更改为 Pending import(等待导入)。如果已删除的密钥材料处于 PENDING_ROTATION 状态,则 KMS 密钥的状态不会发生变化。

要使用 Amazon KMS API 删除密钥材料,DeleteImportedKeyMaterial请发送请求。以下示例说明如何使用 Amazon CLI 执行该操作。

1234abcd-12ab-34cd-56ef-1234567890ab 替换为您要删除其密钥材料的 KMS 密钥的密钥 ID。在该操作中,您可以使用 KMS 密钥的密钥 ID 或 ARN,但不能使用别名。以下命令会删除当前密钥材料,这可能是与该密钥关联的唯一密钥材料。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

要删除特定的密钥材料,请指定使用 key-material-id 参数标识的密钥材料。请将 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0 替换为要删除的密钥材料的标识符。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0