删除导入的密钥材料 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除导入的密钥材料

当您导入密钥材料时,可以指定一个到期日期。当密钥材料过期后,AWS KMS 将删除密钥材料,并且客户主密钥 (CMK) 将变为不可用。您也可以根据需要删除密钥材料。无论是等待密钥材料过期还是手动将其删除,效果都是一样的。AWS KMS 将删除密钥材料,CMK 的键状态对 的更改待导入,并且 CMK 不可用。要再次使用该 CMK,您必须重新导入相同的密钥材料。

删除密钥材料会立即影响到 CMK,但您可以通过重新导入相同的密钥材料进入 CMK。相反,删除 CMK 操作是不可逆的。如果您计划密钥删除并且所需等待期到期,AWS KMS 将删除密钥材料及与该 CMK 关联的所有元数据。

要删除密钥材料,您可以使用 AWS 管理控制台或 AWS KMS API。您可以通过发出 HTTP 请求或通过使用AWS 软件开发工具包AWS 命令行界面(AWS CLI) 或适用于 PowerShell 的 AWS 工具

当您删除导入的密钥材料时,AWS KMS 会在您的 AWS CloudTrail 日志中记录一个条目AWS KMS 删除过期的密钥材料

删除密钥材料对与 AWS AWS KMS 集成的 AWS 服务有何影响

在您删除密钥材料后,CMK 会立即变得不可用。但是,任何数据密钥不会立即受到影响。这意味着,删除密钥材料可能不会立即影响受 CMK 保护的所有数据和 AWS 资源,即便它们最终会受到影响。

有多个 AWS 服务都与 AWS KMS 进行了集成,以保护您的数据。其中一些服务,如Amazon EBSAmazon Redshift,请使用客户主键(CMK) AWS KMS 成一个数据密钥,然后使用数据密钥来加密数据。只要明文数据密钥所保护的数据还在经常使用,这些密钥就会保留在内存中。

例如,考虑以下情景:

  1. 您创建加密的 EBS 卷并指定带有已导入密钥材料的 CMK。亚马逊 EBS 要求 AWS KMS 使用您的 CMK生成加密的数据密钥对于卷。Amazon EBS 将使用该卷存储加密数据密钥。

  2. 当您将 EBS 卷附加到 EC2 实例时,Amazon EC2 会要求 AWS KMS 使用您的 CMK 来解密 EBS 卷的加密数据密钥。Amazon EC2 将明文数据密钥存储在管理程序内存中并使用它来加密 EBS 卷的磁盘 I/O。只要 EBS 卷附加到 EC2 实例,数据密钥就会保留在内存中。

  3. 您删除从 CMK 中导入的密钥材料,这会使其变得不可用。这不会立即影响 EC2 实例或 EBS 卷。原因是,Amazon EC2 正在使用明文数据密钥而不是 CMK 来加密所有的磁盘 I/O,同时该卷仍附加到该实例。

  4. 但是,当加密的 EBS 卷从 EC2 实例分离时,Amazon EBS 将从内存中删除该明文密钥。下次将加密的 EBS 卷附加到 EC2 实例时,附加会失败,因为 Amazon EBS 无法使用 CMK 来解密卷的加密数据密钥。要再次使用该 EBS 卷,您必须向 CMK 重新导入相同的密钥材料。

删除密钥材料(控制台)

您可以使用 AWS 管理控制台删除密钥材料。

  1. 登录到 AWS 管理控制台,然后通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 请执行下列操作之一:

    • 选中带导入密钥材料的 CMK 对应的复选框。依次选择 Key actionsDelete key material

    • 选择带导入密钥材料的 CMK 的别名或密钥 ID。选择密钥材料选项卡,然后选择删除密钥材料

  5. 确认要删除该密钥材料,然后选择 Delete key material。CMK 的状态(对应于其密钥状态)更改为 Pending import (等待导入)

删除密钥材料(AWS KMS API)

使用AWS KMS API要删除密钥材料,请发送DeleteImportedKeyMaterial请求. 下面的示例演示了具体做法。AWS CLI

1234abcd-12ab-34cd-56ef-1234567890ab 替换为您要删除其密钥材料的 CMK 的密钥 ID。在该操作中,您可以使用 CMK 的密钥 ID 或 ARN,但不能使用别名。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab