删除导入的密钥材料 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

删除导入的密钥材料

您可以随时从 KMS 密钥中删除导入的密钥材料。此外,当具有到期日期的导入密钥到期时,Amazon KMS 将会删除密钥材料。在这两种情况下,Amazon KMS 将会立即删除密钥材料,KMS 密钥的密钥状态将更改为待导入,且 KMS 密钥不能用于任何加密操作。

但是,这些操作不会删除 KMS 密钥。要再次使用 KMS 密钥,您必须将相同的密钥材料重新导入到 KMS 密钥中。相反,删除 KMS 密钥操作是不可逆的。如果您计划删除密钥而且所需等待期到期,Amazon KMS 会删除密钥材料及与该 KMS 密钥关联的所有元数据。

要删除密钥材料,您可以使用 Amazon Web Services Management Console或 Amazon KMS API。您也可以通过发出 HTTP 请求,或使用 Amazon 开发工具包Amazon Command Line Interface (Amazon CLI) 或 Amazon Tools for PowerShell 直接使用 API。

Amazon KMS 在您删除导入的密钥材料且 Amazon KMS 删除过期的密钥材料时将一个条目记录在您的 Amazon CloudTrail 日志中。

删除密钥材料对与 Amazon 集成的 Amazon KMS 服务有何影响

在您删除密钥材料后,KMS 密钥会立即变得不可用。但是 Amazon 服务正使用的任何数据密钥不会立即受到影响。这意味着,删除密钥材料可能不会立即影响受 KMS 密钥保护的所有数据和 Amazon 资源,但最终会对其产生影响。

有多个 Amazon 服务都与 Amazon KMS 进行了集成,以保护您的数据。其中一些服务,如 Amazon EBSAmazon Redshift,会使用 Amazon KMS 中的 Amazon KMS key(KMS 密钥)生成数据密钥,然后使用数据密钥加密您的数据。只要明文数据密钥所保护的数据还在经常使用,这些密钥就会保留在内存中。

例如,考虑以下情景:

  1. 您创建加密的 EBS 卷并指定带有已导入密钥材料的 KMS 密钥。Amazon EBS 要求 Amazon KMS 使用您的 KMS 密钥来为该卷生成加密数据密钥。Amazon EBS 使用该卷存储加密数据密钥。

  2. 当您将 EBS 卷附加到一个 EC2 实例时,Amazon EC2 会要求 Amazon KMS 使用您的 KMS 密钥以解密 EBS 卷的加密数据密钥。Amazon EC2 将明文数据密钥存储在管理程序内存中并使用它来加密 EBS 卷的磁盘输入/输出。只要 EBS 卷附加到 EC2 实例,数据密钥就会保留在内存中。

  3. 您删除从 KMS 密钥中导入的密钥材料,这会使其变得不可用。这不会立即影响 EC2 实例或 EBS 卷。原因是,Amazon EC2 使用纯文本数据密钥——而不是 KMS 密钥——来对所有磁盘输入/输出进行加密,而卷则附加到实例。

  4. 但是,当加密的 EBS 卷从 EC2 实例分离时,Amazon EBS 将从内存中删除该明文密钥。下次将加密的 EBS 卷附加到 EC2 实例时,附加会失败,因为 Amazon EBS 无法使用 KMS 密钥来解密卷的加密数据密钥。要再次使用该 EBS 卷,您必须向 KMS 密钥重新导入相同的密钥材料。

删除密钥材料(控制台)

您可以使用 Amazon Web Services Management Console删除密钥材料。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择客户托管密钥

  4. 请执行下列操作之一:

    • 选中带导入密钥材料的 KMS 密钥对应的复选框。依次选择 Key actionsDelete key material

    • 选择带导入密钥材料的 KMS 密钥的别名或密钥 ID。选择 Key material(密钥材料)选项卡,然后选择 Delete key material(删除密钥材料)。

  5. 确认要删除该密钥材料,然后选择 Delete key material。KMS 密钥的状态(对应于其密钥状态)更改为 Pending import(等待导入)。

删除密钥材料 (Amazon KMS API)

要使用 Amazon KMS API 删除密钥材料,请发送 DeleteImportedKeyMaterial 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

1234abcd-12ab-34cd-56ef-1234567890ab 替换为您要删除其密钥材料的 KMS 密钥的密钥 ID。在该操作中,您可以使用 KMS 密钥的密钥 ID 或 ARN,但不能使用别名。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab