删除导入的密钥材料 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除导入的密钥材料

当您导入密钥材料时,可以指定一个到期日期。当密钥材料过期后,Amazon KMS 将删除密钥材料,并且客户主密钥 (CMK) 将变为不可用。您也可以根据需要删除密钥材料。无论是等待密钥材料过期还是手动将其删除,效果都是一样的。Amazon KMS 删除密钥材料,CMK 的密钥状态更改为待导入,CMK 变为不可用。要再次使用该 CMK,您必须重新导入相同的密钥材料。

删除密钥材料会立即影响到 CMK,但您可以通过重新导入相同的密钥材料进入 CMK。相反,删除 CMK 操作是不可逆的。如果您计划删除密钥而且所需等待期到期,Amazon KMS 会删除密钥材料及与该 CMK 关联的所有元数据。

要删除密钥材料,您可以使用 Amazon Web Services Management Console或 Amazon KMS API。您可以通过发出 HTTP 请求或通过使用Amazon开发工具包Amazon Command Line Interface(Amazon CLI),或Amazon Tools for PowerShell

Amazon KMS将条目记录在Amazon CloudTrail日志时删除导入的关键材质以及Amazon KMS删除过期密钥材料

删除密钥材料对与 Amazon KMS 集成的 Amazon 服务有何影响

在您删除密钥材料后,CMK 会立即变得不可用。但是,任何数据密钥thatAmazon服务的使用不会立即受到影响。这意味着,删除密钥材料可能不会立即影响受 CMK 保护的所有数据和 Amazon 资源,但最终会对其产生影响。

有多个 Amazon 服务都与 Amazon KMS 进行了集成,以保护您的数据。其中一些服务,如Amazon EBSAmazon Redshift,请使用客户主键(CMK)Amazon KMS生成数据密钥,然后使用数据密钥来加密数据密钥。只要明文数据密钥所保护的数据还在经常使用,这些密钥就会保留在内存中。

例如,考虑以下情景:

  1. 您创建加密的 EBS 卷并指定带有已导入密钥材料的 CMK。Amazon EBS 询问Amazon KMS使用 CMK 来生成加密的数据密钥对于卷。Amazon EBS 会使用该卷存储加密数据密钥。

  2. 当您将 EBS 卷附加到 EC2 实例时,Amazon EC2 会询问Amazon KMS使用 CMK 来解密 EBS 卷的加密数据密钥。Amazon EC2 将明文数据密钥存储在管理程序内存中并使用它来加密 EBS 卷的磁盘 I/O。只要 EBS 卷附加到 EC2 实例,数据密钥就会保留在内存中。

  3. 您删除从 CMK 中导入的密钥材料,这会使其变得不可用。这不会立即影响 EC2 实例或 EBS 卷。原因是 Amazon EC2 正在使用明文数据密钥而不是 CMK 来加密所有磁盘 I/O,同时该卷仍附加到该实例。

  4. 但是,当加密的 EBS 卷从 EC2 实例分离时,Amazon EBS 会从内存中删除该明文密钥。下次将加密的 EBS 卷附加到 EC2 实例时,附加会失败,因为 Amazon EBS 无法使用 CMK 来解密卷的加密数据密钥。要再次使用该 EBS 卷,您必须向 CMK 重新导入相同的密钥材料。

删除密钥材料(控制台)

您可以使用 Amazon Web Services Management Console删除密钥材料。

  1. 登录到Amazon Web Services Management Console并打开Amazon Key Management Service(Amazon KMS) 控制台https://console.aws.amazon.com/kms

  2. 要更改Amazon区域中,使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择客户托管密钥

  4. 请执行下列操作之一:

    • 选中带导入密钥材料的 CMK 对应的复选框。依次选择 Key actionsDelete key material

    • 选择带导入密钥材料的 CMK 的别名或密钥 ID。选择密钥材料选项卡,然后选择删除密钥材料

  5. 确认要删除该密钥材料,然后选择 Delete key material。CMK 的状态(对应于其密钥状态)更改为 Pending import (等待导入)

删除密钥材料 (Amazon KMSAPI)

要使用 Amazon KMS API 删除密钥材料,请发送 DeleteImportedKeyMaterial 请求。以下示例说明如何使用 Amazon CLI 执行该操作。

1234abcd-12ab-34cd-56ef-1234567890ab 替换为您要删除其密钥材料的 CMK 的密钥 ID。在该操作中,您可以使用 CMK 的密钥 ID 或 ARN,但不能使用别名。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab