本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 删除导入的密钥材料
<a name="importing-keys-delete-key-material"></a>

您可以随时从 KMS 密钥中删除导入的密钥材料。此外，当导入的带有过期日期的密钥材料到期时， Amazon KMS 会删除该密钥材料。在任意一种情况下，密钥材料删除后，KMS 密钥的[密钥状态](key-state.md)将变为*待导入*，并且该 KMS 密钥不能用于任何密码操作。

对称加密密钥可以有多个与之关联的密钥材料。对于此类密钥，KMS 会为每个密钥材料分配一个唯一的标识符。您可以使用 [ListKeyRotations](https://docs.amazonaws.cn/kms/latest/APIReference/API_ListKeyRotations.html)API 查看这些密钥材料标识符和相应的密钥材料状态（请参阅 [RotationsListEntry](https://docs.amazonaws.cn/kms/latest/APIReference/API_RotationsListEntry.html)）。密钥材料状态为`PENDING_ROTATION`或`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`表示密钥材料未与 KMS 密钥永久关联。任何永久关联的密钥材料的删除或过期都会将密钥状态更改为 “*待导入*”。您可以使用 [DeleteImportedKeyMaterial](https://docs.amazonaws.cn/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API 中的`key-material-id`参数指定其标识符来删除特定的密钥材料。

**多区域密钥的注意事项**
+ 当您删除`PENDING_MULTI_REGION_IMPORT_AND_ROTATION`处于`PENDING_ROTATION`或状态的主区域密钥的密钥材料时，也将删除副本区域密钥的密钥材料。
+ 如果您删除主区域密钥或副本区域密钥中的密钥材料，则只有该特定密钥会受到影响，其他相关的多区域密钥保持不变。任何具有永久关联密钥材料的主区域密钥或副本区域密钥都可以在加密操作中继续使用。

**警告**  
`key-material-id` 参数是可选的，如果您不指定该参数，则 Amazon KMS 会删除当前密钥材料。

除了禁用 KMS 密钥和撤回权限外，还可以将删除密钥材料用作一种策略，以快速但暂时地停止使用 KMS 密钥。相比之下，计划删除具有导入密钥材料的 KMS 密钥也会很快停止使用 KMS 密钥。但如果未在等待期内取消删除，则会永久删除 KMS 密钥、关联的密钥材料和所有密钥元数据。有关更多信息，请参阅 [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)。

要删除密钥材料，您可以使用 Amazon KMS 控制台或 [DeleteImportedKeyMaterial](https://docs.amazonaws.cn/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API 操作。 Amazon KMS 当您[删除导入的密钥材料和[Amazon KMS 删除过期](ct-deleteexpiredkeymaterial.md)的密钥材料](ct-deleteimportedkeymaterial.md)时，会在 Amazon CloudTrail 日志中记录一个条目。

**删除密钥材料如何影响 Amazon 服务**  
删除任何密钥材料后，该 KMS 密钥将立即变为不可使用（视最终一致性而定）。不过，在再次使用 KMS 密钥（例如解密数据密钥）之前，使用受 KMS 密钥保护的[数据密钥](data-keys.md)加密的资源不会受到影响。此问题会影响 Amazon Web Services 服务，其中许多使用数据密钥来保护您的资源。有关更多信息，请参阅 [不可用的 KMS 密钥如何影响数据密钥](unusable-kms-keys.md)。

## 使用控制 Amazon KMS 台
<a name="importing-keys-delete-key-material-console"></a>

您可以使用 Amazon KMS 控制台删除密钥材料。

1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.amazonaws.cn/kms) s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

1. 要更改 Amazon Web Services 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。

1. 请执行以下操作之一：
   + 选中带导入密钥材料的 KMS 密钥对应的复选框。依次选择 **Key actions**、**Delete key material**。对于与多个密钥材料关联的对称加密密钥，这将导致删除当前密钥材料。
   + 对于带有导入密钥材料的对称加密 KMS 密钥，请选择 KMS 密钥的别名或密钥 ID。选择按**密钥材料和轮换**选项卡。密钥材料表会列出与该密钥关联的所有密钥材料。在要删除的密钥材料对应的行中，选择**操作**菜单中的**删除密钥材料**。

1. 确认要删除该密钥材料，然后选择 **Delete key material**。KMS 密钥的状态（对应于其[密钥状态](key-state.md)）更改为 **Pending import**（等待导入）。如果已删除的密钥材料处于 `PENDING_ROTATION` 状态，则 KMS 密钥的状态不会发生变化。

## 使用 Amazon KMS API
<a name="importing-keys-delete-key-material-api"></a>

要使用 [Amazon KMS API](https://docs.amazonaws.cn/kms/latest/APIReference/) 删除密钥材料，[DeleteImportedKeyMaterial](https://docs.amazonaws.cn/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)请发送请求。以下示例说明如何使用 [Amazon CLI](https://www.amazonaws.cn/cli/) 执行该操作。

将 `1234abcd-12ab-34cd-56ef-1234567890ab` 替换为您要删除其密钥材料的 KMS 密钥的密钥 ID。在该操作中，您可以使用 KMS 密钥的密钥 ID 或 ARN，但不能使用别名。以下命令会删除当前密钥材料，这可能是与该密钥关联的唯一密钥材料。

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

要删除特定的密钥材料，请指定使用 `key-material-id` 参数标识的密钥材料。请将 `123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0` 替换为要删除的密钥材料的标识符。

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0
```