Planen und Abbrechen der Löschung eines Schlüssels - AWS Key Management Service
Verwenden des AWS Management ConsoleVerwenden des AWS CLIVerwenden des AWS SDK for Java

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Planen und Abbrechen der Löschung eines Schlüssels

Im Folgenden wird beschrieben, wie Sie die Löschung von einzelregionalen AWS KMS keys (KMS-Schlüssel) in AWS KMS mittels der AWS Management Console, der AWS CLI und dem AWS SDK for Java planen und abbrechen können.

Informationen zum Planen des Löschens von multiregionalen Schlüsseln finden Sie unter Löschen von multiregionalen Schlüsseln.

Warnung

Das Löschen eines KMS-Schlüssels in KMS ist ein endgültiger und potenziell gefährlicher Vorgang. Fahren Sie nur fort, wenn Sie sicher sind, dass Sie den KMS-Schlüssel später nicht mehr verwenden müssen. Wenn Sie nicht sicher sind, sollten Sie den KMS-Schlüssel deaktivieren, anstatt ihn zu löschen.

Bevor Sie einen KMS-Schlüssel löschen können, müssen Sie über die entsprechende Berechtigung verfügen. Hinweise zum Erteilen dieser Berechtigungen an Schlüsseladministratoren finden Sie unter Kontrolle des Zugangs zum Löschen von Schlüsseln. Sie können den Bedingungsschlüssel kms:ScheduleKeyDeletionPendingWindowInDays auch verwenden, um die Wartezeit weiter einzuschränken, z. B. um eine Mindestwartezeit durchzusetzen.

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail-Protokoll auf, wenn Sie für den KMS-Schlüssel das Löschen planen und wenn der KMS-Schlüssel tatsächlich gelöscht wird.

Planen und Abbrechen der Löschung eines Schlüssels (Konsole)

In der AWS Management Console können Sie das Löschen mehrerer KMS-Schlüssel gleichzeitig planen und abbrechen.

So planen Sie die Löschung

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

    Sie können das Löschen von Von AWS verwaltete Schlüssel oder AWS-eigene Schlüssel nicht planen.

  4. Aktivieren Sie das Kontrollkästchen neben dem KMS-Schlüssel, den Sie löschen möchten.

  5. Wählen Sie Key actions (Schlüsselaktionen), Schedule key deletion (Schlüssellöschung planen).

  6. Lesen und berücksichtigen Sie die Warnung und die Informationen zum Abbrechen des Löschens während der Wartezeit. Wenn Sie den Löschvorgang abbrechen möchten, wählen Sie unten auf der Seite Cancel (Abbrechen).

  7. Geben Sie für Waiting period (in days) (Wartezeit (in Tagen)) eine Anzahl von Tagen zwischen 7 und 30 ein.

  8. Überprüfen Sie die KMS-Schlüssel, die Sie löschen.

  9. Aktivieren Sie zur Bestätigung, dass Sie den Schlüssel löschen möchten, das Kontrollkästchen neben Confirm that you want to delete this key in <number of days> days..

  10. Wählen Sie Schedule deletion.

Der Status des Schlüssels wechselt zu Pending Deletion (Löschung ausstehend).

So brechen Sie die Löschung eines Schlüssels ab

  1. Öffnen Sie die AWS KMS-Konsole unter https://console.aws.amazon.com/kms.

  2. Um die AWS-Region zu ändern, verwenden Sie die Regionenauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Aktivieren Sie das Kontrollkästchen neben dem KMS-Schlüssel, den Sie wiederherstellen möchten.

  5. Wählen Sie Key actions (Schlüsselaktionen), Cancel key deletion (Schlüssellöschung abbrechen).

Der Status des KMS-Schlüssels wechselt von Pending Deletion (Löschung ausstehend zu Disabled (deaktiviert). Um den KMS-Schlüssel verwenden zu können, müssen Sie ihn aktivieren.

Planen und Abbrechen der Löschung eines Schlüssels (AWS CLI)

Verwenden Sie den Befehl aws kms schedule-key-deletion, um die Löschung eines vom Kunden verwalteten Schlüssels, wie im folgenden Beispiel gezeigt, zu planen.

Sie können das Löschen eines Von AWS verwalteter Schlüssel oder AWS-eigener Schlüssel nicht planen.

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

Wenn der Befehl erfolgreich verwendet wird, gibt die AWS CLI eine Ausgabe ähnlich der im folgenden Beispiel dargestellten zurück:

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}

Verwenden Sie den Befehl aws kms cancel-key-deletion, um die Löschung eines Schlüssels, wie im folgenden Beispiel gezeigt, mithilfe der AWS CLI abzubrechen.

$ aws kms cancel-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Wenn der Befehl erfolgreich verwendet wird, gibt die AWS CLI eine Ausgabe ähnlich der im folgenden Beispiel dargestellten zurück:

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}

Der Status des KMS-Schlüssels wechselt von Pending deletion (Löschung aussthend) zu Disabled (deaktiviert). Um den KMS-Schlüssel verwenden zu können, müssen Sie ihn aktivieren.

Planen und Abbrechen der Löschung eines Schlüssels (AWS SDK for Java)

Das folgende Beispiel zeigt, wie Sie das Löschen eines vom Kunden verwalteten Schlüssels mit dem AWS SDK for Java planen. Dieses Beispiel erfordert die vorherige Instanziierung eines AWSKMSClient als kms.

String KeyId = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab";

int PendingWindowInDays = 10;

ScheduleKeyDeletionRequest scheduleKeyDeletionRequest =
new ScheduleKeyDeletionRequest().withKeyId(KeyId).withPendingWindowInDays(PendingWindowInDays);
kms.scheduleKeyDeletion(scheduleKeyDeletionRequest);

Das folgende Beispiel veranschaulicht das Abbrechen der Löschung eines Schlüssels mit dem AWS SDK for Java. Dieses Beispiel erfordert die vorherige Instanziierung eines AWSKMSClient als kms.

String KeyId = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab";

CancelKeyDeletionRequest cancelKeyDeletionRequest =
new CancelKeyDeletionRequest().withKeyId(KeyId);
kms.cancelKeyDeletion(cancelKeyDeletionRequest);

Der Status des KMS-Schlüssels wechselt von Pending deletion (Löschung ausstehend) zu Disabled (deaktiviert). Um den KMS-Schlüssel verwenden zu können, müssen Sie ihn aktivieren.