Lösche eine AWS KMS key - AWS Key Management Service
Über die WartezeitBesondere Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lösche eine AWS KMS key

Das Löschen von AWS KMS key ist destruktiv und potenziell gefährlich. Damit löschen Sie das Schlüsselmaterial und alle Metadaten im Zusammenhang mit dem KMS-Schlüssel. Dies kann nicht rückgängig gemacht werden. Nach dem Löschen eines KMS-Schlüssels können Sie die Daten nicht mehr entschlüsseln, die mit diesem KMS-Schlüssel verschlüsselt wurden. Das bedeutet, dass die Daten nicht wiederhergestellt werden können. (Die einzigen Ausnahmen sind Replikatschlüssel für mehrere Regionen sowie asymmetrische und HMAC-KMS-Schlüssel mit importiertem Schlüsselmaterial.) Dieses Risiko ist bei asymmetrischen KMS-Schlüsseln, die zur Verschlüsselung verwendet werden, erheblich. Benutzer können ohne Warnung oder Fehler weiterhin Chiffretexte mit dem öffentlichen Schlüssel generieren, die nach dem Löschen des privaten Schlüssels nicht entschlüsselt werden können. AWS KMS

Löschen Sie einen KMS-Schlüssel nur, wenn Sie sicher sind, dass Sie ihn nicht mehr benötigen. Wenn Sie nicht sicher sind, sollten Sie den KMS-Schlüssel deaktivieren, anstatt ihn zu löschen. Sie können einen deaktivierten KMS-Schlüssel wieder aktivieren und die geplante Löschung eines Schlüssels abbrechen. Ein gelöschter KMS-Schlüssel kann jedoch nicht wiederhergestellt werden.

Sie können nur das Löschen eines vom Kunden verwalteten Schlüssels planen. Sie können nicht löschen oder. Von AWS verwaltete Schlüssel AWS-eigene Schlüssel

Bevor Sie einen KMS-Schlüssel löschen, möchten Sie vielleicht wissen, wie viele Chiffretexte unter diesem KMS-Schlüssel verschlüsselt wurden. AWS KMS speichert diese Informationen nicht und speichert auch keinen der Chiffretexte. Um diese Informationen abzurufen, müssen Sie selbst die bisherige Nutzung eines KMS-Schlüssels feststellen. Um Hilfe zu erhalten, gehen Sie zu Ermitteln Sie die frühere Verwendung eines KMS Schlüssels.

AWS KMS löscht Ihre KMS-Schlüssel niemals, es sei denn, Sie planen ausdrücklich, dass sie gelöscht werden und die vorgeschriebene Wartezeit abgelaufen ist.

Für die Löschung eines KMS-Schlüssels können jedoch verschiedene Gründe sprechen:

  • Der Lebenszyklus eines nicht mehr benötigten KMS-Schlüssels soll beendet werden.

  • Der Aufwand und der Preis im Zusammenhang mit der Erhaltung ungenutzter KMS-Schlüssel sollen vermieden werden.

  • Die Anzahl der KMS-Schlüssel, die auf das KMS-Schlüsselressourcen-Kontingent angerechnet werden, soll verringert werden.

Anmerkung

Wenn Sie Ihre schließen AWS-Konto, können Sie nicht mehr auf Ihre KMS-Schlüssel zugreifen und sie werden Ihnen nicht mehr in Rechnung gestellt.

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie das Löschen des KMS-Schlüssels planen und wann der KMS-Schlüssel tatsächlich gelöscht wird.

Über die Wartezeit

Da das Löschen eines KMS-Schlüssels zerstörerisch und potenziell gefährlich ist, AWS KMS müssen Sie eine Wartezeit von 7 bis 30 Tagen festlegen. Die Standardwartezeit beträgt 30 Tage.

Die tatsächliche Wartezeit kann jedoch bis zu 24 Stunden länger sein als die, die Sie geplant haben. Verwenden Sie den DescribeKeyVorgang, um das tatsächliche Datum und die Uhrzeit der Löschung des KMS-Schlüssels zu ermitteln. Oder shcauen Sie in der AWS KMS -Konsole auf der Detailseite für den KMS-Schlüssel im Abschnitt General configuration (allgemeine Konfiguration) unter Scheduled deletion date (geplantes Löschdatum). Achten Sie darauf, die Zeitzone zu notieren.

Während der Wartezeit lauten der KMS-Schlüssel-Status und der Schlüsselstatus Pending deletion (Löschung ausstehend).

AWS KMS Löscht nach Ablauf der Wartezeit den KMS-Schlüssel, seine Aliase und alle zugehörigen AWS KMS Metadaten.

Die Planung des Löschens eines KMS-Schlüssels wirkt sich möglicherweise nicht sofort auf Datenschlüssel aus, die mit dem KMS-Schlüssel verschlüsselt wurden. Details hierzu finden Sie unter Wie sich unbrauchbare KMS Schlüssel auf Datenschlüssel auswirken.

Nutzen Sie die Wartezeit, um sicher zu stellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können einen CloudWatch Amazon-Alarm so konfigurieren, dass er Sie warnt, wenn eine Person oder Anwendung während der Wartezeit versucht, den KMS-Schlüssel zu verwenden. Um den KMS-Schlüssel wiederherzustellen, können Sie die Löschung des Schlüssels abbrechen, bevor die Wartezeit endet. Nach Ablauf der Wartezeit können Sie das Löschen des Schlüssels nicht mehr abbrechen und der KMS-Schlüssel AWS KMS wird gelöscht.

Besondere Überlegungen

Bevor Sie die Löschung Ihrer Schlüssel planen, sollten Sie sich die folgenden besonderen Überlegungen zum Löschen von KMS-Schlüsseln für besondere Zwecke ansehen.

Löschen von asymmetrischen KMS-Schlüsseln

Benutzer mit entsprechender Autorisierung können symmetrische oder asymmetrische KMS-Schlüssel löschen. Das Verfahren zum Planen des Löschens dieser KMS-Schlüssel ist für beide Arten von Schlüsseln gleich. Da der öffentliche Schlüssel eines asymmetrischen KMS-Schlüssels jedoch heruntergeladen und außerhalb von verwendet werden kann, birgt der Vorgang erhebliche zusätzliche Risiken AWS KMS, insbesondere bei asymmetrischen KMS-Schlüsseln, die zur Verschlüsselung verwendet werden (die Schlüsselverwendung ist). ENCRYPT_DECRYPT

  • Wenn Sie das Löschen eines KMS-Schlüssels planen, ändert sich der Schlüsselstatus des KMS-Schlüssels zu Pending deletion (Löschung ausstehend) und der KMS-Schlüssel kann nicht in kryptografischen Operationen verwendet werden. Die geplante Löschung hat jedoch keine Auswirkungen auf öffentliche Schlüssel außerhalb von. AWS KMS Benutzer, die über den öffentlichen Schlüssel verfügen, können ihn weiterhin zum Verschlüsseln von Nachrichten verwenden. Sie erhalten keine Benachrichtigung, dass sich der Schlüsselstatus geändert hat. Wenn der Löschvorgang nicht abgebrochen wird, kann der mit dem öffentlichen Schlüssel erstellte Chiffretext nicht entschlüsselt werden.

  • Alarme, Protokolle und andere Strategien, die die versuchte Verwendung eines KMS-Schlüssels erkennen, dessen Löschung aussteht, können die Verwendung des öffentlichen Schlüssels außerhalb von AWS KMS nicht erkennen.

  • Wenn der KMS-Schlüssel gelöscht wird, schlagen alle AWS KMS Aktionen fehl, die diesen KMS-Schlüssel betreffen. Benutzer, die über den öffentlichen Schlüssel verfügen, können sie jedoch weiterhin zum Verschlüsseln von Nachrichten verwenden. Diese Chiffretexte können nicht entschlüsselt werden.

Wenn Sie einen asymmetrischen KMS-Schlüssel mit einer Schlüsselverwendung von löschen müssenENCRYPT_DECRYPT, ermitteln Sie anhand Ihrer CloudTrail Protokolleinträge, ob der öffentliche Schlüssel heruntergeladen und gemeinsam genutzt wurde. Wenn dies der Fall ist, stellen Sie sicher, dass der öffentliche Schlüssel außerhalb von AWS KMS nicht verwendet wird. Ziehen Sie dann in Betracht, den KMS-Schlüssel zu deaktivieren, anstatt ihn zu löschen.

Das Risiko, das durch das Löschen eines asymmetrischen KMS-Schlüssels entsteht, wird für asymmetrische KMS-Schlüssel mit importiertem Schlüsselmaterial verringert. Details hierzu finden Sie unter Deleting KMS keys with imported key material.

Löschen von Schlüsseln aus mehreren Regionen

Um einen Primärschlüssel zu löschen, müssen Sie das Löschen all seiner Replikatschlüssel planen und dann warten, bis die Replikatschlüssel gelöscht werden. Die erforderliche Wartezeit für das Löschen eines Primärschlüssels beginnt, wenn der letzte seiner Replikatschlüssel gelöscht wird. Wenn Sie einen Primärschlüssel aus einer bestimmten Region löschen müssen, ohne dessen Replikatschlüssel zu löschen, ändern Sie den Primärschlüssel in einen Replikatschlüssel, indem Sie die primäre Region aktualisieren.

Sie können einen Replikatschlüssel jederzeit löschen. Es hängt nicht vom Schlüsselstatus eines anderen KMS-Schlüssels ab. Wenn Sie versehentlich einen Replikatschlüssel löschen, können Sie ihn neu erstellen, indem Sie denselben Primärschlüssel in derselben Region replizieren. Der neue Replikatschlüssel, den Sie erstellen, hat die gleichen gemeinsamen Eigenschaften wie der ursprüngliche Replikatschlüssel.

Löschen von KMS-Schlüsseln mit importiertem Schlüsselmaterial

Das Löschen des Schlüsselmaterials eines KMS-Schlüssels mit importiertem Schlüsselmaterial ist temporär und reversibel. Um den Schlüssel wiederherzustellen, importieren Sie das zugehörige Schlüsselmaterial erneut.

Im Gegensatz dazu kann das Löschen eines KMS-Schlüssels nicht rückgängig gemacht werden. Wenn Sie das Löschen von Schlüsseln planen und die erforderliche Wartezeit abläuft, werden der KMS-Schlüssel, sein Schlüsselmaterial und alle mit dem KMS-Schlüssel verknüpften Metadaten AWS KMS dauerhaft und unwiderruflich gelöscht.

Das Risiko und die Folgen des Löschens eines KMS-Schlüssels mit importiertem Schlüsselmaterial hängen jedoch vom Typ („Schlüsselspezifikation“) des KMS-Schlüssels ab.

  • Symmetrische Verschlüsselungsschlüssel – Wenn Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung löschen, können alle verbleibenden Geheimtexte, die mit diesem Schlüssel verschlüsselt wurden, nicht wiederhergestellt werden. Sie können keinen neuen symmetrischen KMS-Schlüssel erstellen, der die Geheimtexte eines gelöschten symmetrischen KMS-Schlüssels entschlüsseln kann, selbst wenn Sie dasselbe Schlüsselmaterial haben. Metadaten, die für jeden KMS-Schlüssel einzigartig sind, werden kryptografisch an jeden symmetrischen Geheimtext gebunden. Dieses Sicherheits-Feature garantiert, dass nur der KMS-Schlüssel, mit dem der symmetrische Geheimtext verschlüsselt wurde, ihn entschlüsseln kann, verhindert jedoch, dass Sie einen entsprechenden KMS-Schlüssel neu erstellen können.

  • Asymmetrische Schlüssel und HMAC-Schlüssel — Wenn Sie über das ursprüngliche Schlüsselmaterial verfügen, können Sie einen neuen KMS-Schlüssel mit denselben kryptografischen Eigenschaften wie ein asymmetrischer oder gelöschter HMAC-KMS-Schlüssel erstellen. AWS KMS generiert standardmäßige RSA-Verschlüsselungstexte und -Signaturen, ECC-Signaturen und HMAC-Tags, die keine eindeutigen Sicherheitsmerkmale enthalten. Sie können auch einen HMAC-Schlüssel oder den privaten Schlüssel eines asymmetrischen Schlüsselpaares außerhalb von AWS verwenden.

    Ein neuer KMS-Schlüssel, den Sie mit demselben asymmetrischen oder HMAC-Schlüsselmaterial erstellen, hat eine andere Schlüssel-ID. Sie müssen eine neue Schlüsselrichtlinie erstellen, alle Aliase neu erstellen und bestehende IAM-Richtlinien und -Berechtigungen aktualisieren, damit sie auf den neuen Schlüssel verweisen.

Löschen von KMS-Schlüsseln aus einem Schlüsselspeicher AWS CloudHSM

Wenn Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher planen, ändert sich sein Schlüsselstatus in Ausstehende Löschung. Der KMS-Schlüssel verbleibt auch während der Wartezeit im Status Pending deletion (Löschung ausstehend), selbst wenn der KMS-Schlüssel nicht mehr verfügbar ist, weil Sie die Verbindung zu dem benutzerdefinierten Schlüsselspeicher getrennt haben. Dies erlaubt es Ihnen, die Löschung des KMS-Schlüssels vor Ablauf der Wartezeit jederzeit abzubrechen.

Wenn die Wartezeit abgelaufen ist, AWS KMS löscht den KMS-Schlüssel von AWS KMS. AWS KMS bemüht sich dann nach besten Kräften, das Schlüsselmaterial aus dem zugehörigen AWS CloudHSM Cluster zu löschen. Wenn AWS KMS Schlüsselmaterial nicht löschen kann, beispielsweise, wenn der Schlüsselspeicher von AWS KMS getrennt wurde, müssen Sie möglicherweise verwaistes Schlüsselmaterial manuell aus dem Cluster löschen.

AWS KMS löscht das Schlüsselmaterial nicht aus Cluster-Backups. Selbst wenn Sie den KMS-Schlüssel AWS KMS und das zugehörige Schlüsselmaterial aus Ihrem AWS CloudHSM Cluster löschen, können aus Backups erstellte Cluster das gelöschte Schlüsselmaterial enthalten. Um das Schlüsselmaterial dauerhaft zu löschen, verwenden Sie den DescribeKeyVorgang, um das Erstellungsdatum des KMS-Schlüssels zu ermitteln. Löschen Sie dann Cluster-Sicherungen, die das Schlüsselmaterial noch enthalten könnten.

Wenn Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher planen, wird der KMS-Schlüssel sofort unbrauchbar (abhängig von der eventuellen Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, dass viele von ihnen Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Wie sich unbrauchbare KMS Schlüssel auf Datenschlüssel auswirken.

Löschen von KMS-Schlüsseln aus einem externen Schlüsselspeicher

Das Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher hat keine Auswirkungen auf den externen Schlüssel, der als sein Schlüsselmaterial diente.

Wenn Sie die Löschung eines KMS-Schlüssels aus einem externen Schlüsselspeicher planen, ändert sich der Status des Schlüssels in Pending deletion (Löschung ausstehend). Der KMS-Schlüssel verbleibt auch während der Wartezeit im Status Pending deletion (Löschung ausstehend), selbst wenn der KMS-Schlüssel nicht mehr verfügbar ist, weil Sie die Verbindung zum externen Schlüsselspeicher getrennt haben. Dies erlaubt es Ihnen, die Löschung des KMS-Schlüssels vor Ablauf der Wartezeit jederzeit abzubrechen. Wenn die Wartezeit abgelaufen ist, AWS KMS löscht den KMS-Schlüssel von AWS KMS.

Wenn Sie die Löschung eines KMS-Schlüssels aus einem externen Schlüsselspeicher planen, wird der KMS-Schlüssel sofort unbrauchbar (vorbehaltlich einer letztendlichen Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Wie sich unbrauchbare KMS Schlüssel auf Datenschlüssel auswirken.