Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Lösche eine AWS KMS key
<a name="deleting-keys"></a>

Das Löschen von AWS KMS key ist destruktiv und potenziell gefährlich. Damit löschen Sie das Schlüsselmaterial und alle Metadaten im Zusammenhang mit dem KMS-Schlüssel. Dies kann nicht rückgängig gemacht werden. Nach dem Löschen eines KMS-Schlüssels können Sie die Daten nicht mehr entschlüsseln, die mit diesem KMS-Schlüssel verschlüsselt wurden. Das bedeutet, dass die Daten nicht wiederhergestellt werden können. (Die einzigen Ausnahmen sind [Replikatschlüssel für mehrere Regionen](#deleting-mrks) sowie asymmetrische und HMAC-KMS-Schlüssel mit importiertem Schlüsselmaterial.) Dieses Risiko ist bei [asymmetrischen KMS-Schlüsseln, die zur Verschlüsselung verwendet werden](#deleting-asymmetric-cmks), erheblich. Benutzer können ohne Warnung oder Fehler weiterhin Chiffretexte mit dem öffentlichen Schlüssel generieren, die nach dem Löschen des privaten Schlüssels nicht entschlüsselt werden können. AWS KMS

Löschen Sie einen KMS-Schlüssel nur, wenn Sie sicher sind, dass Sie ihn nicht mehr benötigen. Wenn Sie nicht sicher sind, sollten Sie [den KMS-Schlüssel deaktivieren](enabling-keys.md), anstatt ihn zu löschen. Sie können einen deaktivierten KMS-Schlüssel wieder aktivieren und [die geplante Löschung eines Schlüssels abbrechen](deleting-keys-scheduling-key-deletion.md). Ein gelöschter KMS-Schlüssel kann jedoch nicht wiederhergestellt werden.

Sie können nur das Löschen eines vom Kunden verwalteten Schlüssels planen. Sie können nicht löschen oder. Von AWS verwaltete Schlüssel AWS-eigene Schlüssel

Bevor Sie einen KMS-Schlüssel löschen, möchten Sie vielleicht wissen, wie viele Chiffretexte unter diesem KMS-Schlüssel verschlüsselt wurden. AWS KMS speichert diese Informationen nicht und speichert auch keinen der Chiffretexte. Um diese Informationen abzurufen, müssen Sie selbst die bisherige Nutzung eines KMS-Schlüssels feststellen. Um Hilfe zu erhalten, gehen Sie zu [Ermitteln Sie die frühere Verwendung eines KMS-Schlüssels](deleting-keys-determining-usage.md).

AWS KMS löscht Ihre KMS-Schlüssel niemals, es sei denn, Sie planen ausdrücklich das Löschen und die vorgeschriebene Wartezeit läuft ab.

Für die Löschung eines KMS-Schlüssels können jedoch verschiedene Gründe sprechen:
+ Der Lebenszyklus eines nicht mehr benötigten KMS-Schlüssels soll beendet werden.
+ Der Aufwand und der [Preis](https://aws.amazon.com/kms/pricing/) im Zusammenhang mit der Erhaltung ungenutzter KMS-Schlüssel sollen vermieden werden.
+ Die Anzahl der KMS-Schlüssel, die auf das [KMS-Schlüsselressourcen-Kontingent](resource-limits.md#kms-keys-limit) angerechnet werden, soll verringert werden.

**Anmerkung**  
Wenn Sie [Ihre schließen AWS-Konto](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html), können Sie nicht mehr auf Ihre KMS-Schlüssel zugreifen und sie werden Ihnen nicht mehr in Rechnung gestellt. 

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie das [Löschen des KMS-Schlüssels planen](ct-schedule-key-deletion.md) und wann der [KMS-Schlüssel tatsächlich gelöscht wird](ct-delete-key.md). 

## Über die Wartezeit
<a name="deleting-keys-how-it-works"></a>

Da das Löschen eines KMS-Schlüssels zerstörerisch und potenziell gefährlich ist, AWS KMS müssen Sie eine Wartezeit von 7 bis 30 Tagen festlegen. Die Standardwartezeit beträgt 30 Tage.

Die tatsächliche Wartezeit kann jedoch bis zu 24 Stunden länger sein als die, die Sie geplant haben. Verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, um das tatsächliche Datum und die Uhrzeit der Löschung des KMS-Schlüssels zu ermitteln. Oder shcauen Sie in der AWS KMS -Konsole auf der [Detailseite](finding-keys.md#viewing-console-details) für den KMS-Schlüssel im Abschnitt **General configuration (allgemeine Konfiguration)** unter **Scheduled deletion date (geplantes Löschdatum)**. Achten Sie darauf, die Zeitzone zu notieren.

Während der Wartezeit lauten der KMS-Schlüssel-Status und der Schlüsselstatus **Pending deletion (Löschung ausstehend)**.
+ Ein KMS-Schlüssel, der zur Löschung ansteht, kann nicht in [kryptografischen Operationen](kms-cryptography.md#cryptographic-operations) verwendet werden. 
+ AWS KMS [rotiert das Schlüsselmaterial](rotate-keys.md#rotate-keys-how-it-works) von KMS-Schlüsseln, deren Löschung noch aussteht, nicht.

 AWS KMS Löscht nach Ablauf der Wartezeit den KMS-Schlüssel, seine Aliase und alle zugehörigen AWS KMS Metadaten.

Die Planung des Löschens eines KMS-Schlüssels wirkt sich möglicherweise nicht sofort auf Datenschlüssel aus, die mit dem KMS-Schlüssel verschlüsselt wurden. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).

Nutzen Sie die Wartezeit, um sicher zu stellen, dass Sie den KMS-Schlüssel jetzt oder in der Zukunft nicht mehr benötigen. Sie können [einen CloudWatch Amazon-Alarm so konfigurieren](deleting-keys-creating-cloudwatch-alarm.md), dass er Sie warnt, wenn eine Person oder Anwendung während der Wartezeit versucht, den KMS-Schlüssel zu verwenden. Um den KMS-Schlüssel wiederherzustellen, können Sie die Löschung des Schlüssels abbrechen, bevor die Wartezeit endet. Nach Ablauf der Wartezeit können Sie das Löschen des Schlüssels nicht mehr abbrechen und der KMS-Schlüssel AWS KMS wird gelöscht.

## Besondere Überlegungen
<a name="special-considerations-delete"></a>

Bevor Sie die Löschung Ihrer Schlüssel planen, sollten Sie sich die folgenden besonderen Überlegungen zum Löschen von KMS-Schlüsseln für besondere Zwecke ansehen.

**Löschen von asymmetrischen KMS-Schlüsseln**  
Benutzer [mit entsprechender Autorisierung](deleting-keys-adding-permission.md) können symmetrische oder asymmetrische KMS-Schlüssel löschen. Das Verfahren zum Planen des Löschens dieser KMS-Schlüssel ist für beide Arten von Schlüsseln gleich. Da der [öffentliche Schlüssel eines asymmetrischen KMS-Schlüssels jedoch heruntergeladen und außerhalb von verwendet werden kann](download-public-key.md), birgt der Vorgang erhebliche zusätzliche Risiken AWS KMS, insbesondere bei asymmetrischen KMS-Schlüsseln, die zur Verschlüsselung verwendet werden (die Schlüsselverwendung ist). `ENCRYPT_DECRYPT`  
+ Wenn Sie das Löschen eines KMS-Schlüssels planen, ändert sich der Schlüsselstatus des KMS-Schlüssels zu **Pending deletion (Löschung ausstehend)** und der KMS-Schlüssel kann nicht in [kryptografischen Operationen](kms-cryptography.md#cryptographic-operations) verwendet werden. Die geplante Löschung hat jedoch keine Auswirkungen auf öffentliche Schlüssel außerhalb von. AWS KMS Benutzer, die über den öffentlichen Schlüssel verfügen, können ihn weiterhin zum Verschlüsseln von Nachrichten verwenden. Sie erhalten keine Benachrichtigung, dass sich der Schlüsselstatus geändert hat. Wenn der Löschvorgang nicht abgebrochen wird, kann der mit dem öffentlichen Schlüssel erstellte Chiffretext nicht entschlüsselt werden.
+ Alarme, Protokolle und andere Strategien, die die versuchte Verwendung eines KMS-Schlüssels erkennen, dessen Löschung aussteht, können die Verwendung des öffentlichen Schlüssels außerhalb von AWS KMS nicht erkennen.
+ Wenn der KMS-Schlüssel gelöscht wird, schlagen alle AWS KMS Aktionen fehl, die diesen KMS-Schlüssel betreffen. Benutzer, die über den öffentlichen Schlüssel verfügen, können sie jedoch weiterhin zum Verschlüsseln von Nachrichten verwenden. Diese Chiffretexte können nicht entschlüsselt werden.
Wenn Sie einen asymmetrischen KMS-Schlüssel mit einer Schlüsselverwendung von löschen müssen`ENCRYPT_DECRYPT`, ermitteln Sie anhand Ihrer CloudTrail Protokolleinträge, ob der öffentliche Schlüssel heruntergeladen und gemeinsam genutzt wurde. Wenn dies der Fall ist, stellen Sie sicher, dass der öffentliche Schlüssel außerhalb von AWS KMS nicht verwendet wird. Ziehen Sie dann in Betracht, [den KMS-Schlüssel zu deaktivieren](enabling-keys.md), anstatt ihn zu löschen.  
Das Risiko, das durch das Löschen eines asymmetrischen KMS-Schlüssels entsteht, wird für asymmetrische KMS-Schlüssel mit importiertem Schlüsselmaterial verringert. Details hierzu finden Sie unter [Deleting KMS keys with imported key material](#import-delete-key).

**Schlüssel für mehrere Regionen löschen**  
Um einen Primärschlüssel zu löschen, müssen Sie das Löschen all seiner Replikatschlüssel planen und dann warten, bis die Replikatschlüssel gelöscht werden. Die erforderliche Wartezeit für das Löschen eines Primärschlüssels beginnt, wenn der letzte seiner Replikatschlüssel gelöscht wird. Wenn Sie einen Primärschlüssel aus einer bestimmten Region löschen müssen, ohne dessen Replikatschlüssel zu löschen, ändern Sie den Primärschlüssel in einen Replikatschlüssel, indem Sie [die primäre Region aktualisieren](multi-region-update.md).  
Sie können einen Replikatschlüssel jederzeit löschen. Es hängt nicht vom Schlüsselstatus eines anderen KMS-Schlüssels ab. Wenn Sie versehentlich einen Replikatschlüssel löschen, können Sie ihn neu erstellen, indem Sie denselben Primärschlüssel in derselben Region replizieren. Der neue Replikatschlüssel, den Sie erstellen, hat die gleichen [gemeinsamen Eigenschaften](multi-region-keys-overview.md#mrk-sync-properties) wie der ursprüngliche Replikatschlüssel.

**Löschen von KMS-Schlüsseln mit importiertem Schlüsselmaterial**  
Das Löschen des Schlüsselmaterials eines KMS-Schlüssels mit importiertem Schlüsselmaterial ist temporär und reversibel. Um den Schlüssel wiederherzustellen, importieren Sie das zugehörige Schlüsselmaterial erneut.  
Im Gegensatz dazu kann das Löschen eines KMS-Schlüssels nicht rückgängig gemacht werden. Wenn Sie das [Löschen von Schlüsseln planen](#deleting-keys-how-it-works) und die erforderliche Wartezeit abläuft, werden der KMS-Schlüssel, sein Schlüsselmaterial und alle mit dem KMS-Schlüssel verknüpften Metadaten AWS KMS dauerhaft und unwiderruflich gelöscht.   
Das Risiko und die Folgen des Löschens eines KMS-Schlüssels mit importiertem Schlüsselmaterial hängen jedoch vom Typ („Schlüsselspezifikation“) des KMS-Schlüssels ab.  
+ Symmetrische Verschlüsselungsschlüssel – Wenn Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung löschen, können alle verbleibenden Geheimtexte, die mit diesem Schlüssel verschlüsselt wurden, nicht wiederhergestellt werden. Sie können keinen neuen symmetrischen KMS-Schlüssel erstellen, der die Geheimtexte eines gelöschten symmetrischen KMS-Schlüssels entschlüsseln kann, selbst wenn Sie dasselbe Schlüsselmaterial haben. Metadaten, die für jeden KMS-Schlüssel einzigartig sind, werden kryptografisch an jeden symmetrischen Geheimtext gebunden. Dieses Sicherheits-Feature garantiert, dass nur der KMS-Schlüssel, mit dem der symmetrische Geheimtext verschlüsselt wurde, ihn entschlüsseln kann, verhindert jedoch, dass Sie einen entsprechenden KMS-Schlüssel neu erstellen können.
+ Asymmetrische Schlüssel und HMAC-Schlüssel — Wenn Sie über das ursprüngliche Schlüsselmaterial verfügen, können Sie einen neuen KMS-Schlüssel mit denselben kryptografischen Eigenschaften wie ein asymmetrischer oder gelöschter HMAC-KMS-Schlüssel erstellen. AWS KMS generiert standardmäßige RSA-Verschlüsselungstexte und -Signaturen, ECC-Signaturen und HMAC-Tags, die keine eindeutigen Sicherheitsmerkmale enthalten. Sie können auch einen HMAC-Schlüssel oder den privaten Schlüssel eines asymmetrischen Schlüsselpaares außerhalb von AWS verwenden.

  Ein neuer KMS-Schlüssel, den Sie mit demselben asymmetrischen oder HMAC-Schlüsselmaterial erstellen, hat eine andere Schlüssel-ID. Sie müssen eine neue Schlüsselrichtlinie erstellen, alle Aliase neu erstellen und bestehende IAM-Richtlinien und -Berechtigungen aktualisieren, damit sie auf den neuen Schlüssel verweisen. 

**Löschen von KMS-Schlüsseln aus einem Schlüsselspeicher AWS CloudHSM **  
Wenn Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher planen, ändert sich sein [Schlüsselstatus](key-state.md) in **Ausstehende Löschung**. Der KMS-Schlüssel verbleibt auch während der Wartezeit im Status **Pending deletion (Löschung ausstehend)**, selbst wenn der KMS-Schlüssel nicht mehr verfügbar ist, weil Sie die [Verbindung zu dem benutzerdefinierten Schlüsselspeicher getrennt haben](disconnect-keystore.md). Dies erlaubt es Ihnen, die Löschung des KMS-Schlüssels vor Ablauf der Wartezeit jederzeit abzubrechen.  
Wenn die Wartezeit abgelaufen ist, AWS KMS löscht den KMS-Schlüssel von AWS KMS. AWS KMS bemüht sich dann nach besten Kräften, das Schlüsselmaterial aus dem zugehörigen AWS CloudHSM Cluster zu löschen. Wenn AWS KMS Schlüsselmaterial nicht löschen kann, beispielsweise, wenn der Schlüsselspeicher von AWS KMS getrennt wurde, müssen Sie möglicherweise [verwaistes Schlüsselmaterial manuell aus dem Cluster löschen](fix-keystore.md#fix-keystore-orphaned-key).   
AWS KMS löscht das Schlüsselmaterial nicht aus Cluster-Backups. Selbst wenn Sie den KMS-Schlüssel AWS KMS und das zugehörige Schlüsselmaterial aus Ihrem AWS CloudHSM Cluster löschen, können aus Backups erstellte Cluster das gelöschte Schlüsselmaterial enthalten. Um das Schlüsselmaterial dauerhaft zu löschen, verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang, um das Erstellungsdatum des KMS-Schlüssels zu ermitteln. [Löschen Sie dann Cluster-Sicherungen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html), die das Schlüsselmaterial noch enthalten könnten.   
Wenn Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher planen, wird der KMS-Schlüssel sofort unbrauchbar (abhängig von der eventuellen Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten [Datenschlüsseln](data-keys.md) verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, dass viele von ihnen Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).

**Löschen von KMS-Schlüsseln aus einem externen Schlüsselspeicher**  
Das Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher hat keine Auswirkungen auf den [externen Schlüssel](keystore-external.md#concept-external-key), der als sein Schlüsselmaterial diente.  
Wenn Sie die Löschung eines KMS-Schlüssels aus einem externen Schlüsselspeicher planen, ändert sich der [Status des Schlüssels](key-state.md) in **Pending deletion** (Löschung ausstehend). Der KMS-Schlüssel verbleibt auch während der Wartezeit im Status **Pending deletion** (Löschung ausstehend), selbst wenn der KMS-Schlüssel nicht mehr verfügbar ist, weil Sie die [Verbindung zum externen Schlüsselspeicher getrennt haben](xks-connect-disconnect.md). Dies erlaubt es Ihnen, die Löschung des KMS-Schlüssels vor Ablauf der Wartezeit jederzeit abzubrechen. Wenn die Wartezeit abgelaufen ist, AWS KMS löscht den KMS-Schlüssel von AWS KMS.  
Wenn Sie die Löschung eines KMS-Schlüssels aus einem externen Schlüsselspeicher planen, wird der KMS-Schlüssel sofort unbrauchbar (vorbehaltlich einer letztendlichen Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten [Datenschlüsseln](data-keys.md) verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md). 

# Steuert den Zugriff auf das Löschen von Schlüsseln
<a name="deleting-keys-adding-permission"></a>

Wenn Sie IAM-Richtlinien verwenden, um AWS KMS Berechtigungen zuzulassen, sind IAM-Identitäten mit AWS Administratorzugriff (`"Action": "*"`) oder AWS KMS Vollzugriff (`"Action": "kms:*"`) bereits berechtigt, das Löschen von KMS-Schlüsseln per Schlüssel zu planen und abzubrechen. Um es Schlüsseladministratoren zu ermöglichen, das Löschen von Schlüsseln in der Schlüsselrichtlinie zu planen und abzubrechen, verwenden Sie die AWS KMS Konsole oder die API. AWS KMS 

In der Regel sind nur Schlüsseladministratoren berechtigt, das Löschen von Schlüsseln zu planen oder abzubrechen. Sie können diese Berechtigungen jedoch auch anderen IAM-Identitäten erteilen, indem Sie der Schlüsselrichtlinie oder einer IAM-Richtlinie die Berechtigungen `kms:ScheduleKeyDeletion` und `kms:CancelKeyDeletion` hinzufügen. Sie können den [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)Bedingungsschlüssel auch verwenden, um die Werte, die Prinzipale im `PendingWindowInDays` Parameter einer [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)Anfrage angeben können, weiter einzuschränken.

## Erlauben Sie Schlüsseladministratoren, das Löschen von Schlüsseln zu planen und abzubrechen
<a name="allow-key-deletion"></a>

### Verwenden der AWS KMS Konsole
<a name="deleting-keys-adding-permission-console"></a>

So erteilen Sie Schlüsseladministratoren die Berechtigung, das Löschen von Schlüsseln zu planen und abzubrechen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Wählen Sie den Alias oder die Schlüssel-ID des KMS-Schlüssels, dessen Berechtigungen Sie ändern möchten.

1. Wählen Sie die Registerkarte **Key policy** (Schlüsselrichtlinie).

1. Der nächste Schritt unterscheidet sich für die *Standardansicht* und die *Richtlinienansicht* Ihrer Schlüsselrichtlinie. Die Standardansicht ist nur verfügbar, wenn Sie die standardmäßige Konsolenschlüsselrichtlinie verwenden. Andernfalls ist nur die Richtlinienansicht verfügbar.

   Wenn die Standardansicht verfügbar ist, wird auf der Registerkarte **Key policy** (Schlüsselrichtlinie) die Schaltfläche **Switch to policy view** (zur Richtlinienansicht wechseln) oder **Switch to default view** (zur Standardansicht wechseln) angezeigt.
   + In der Standardansicht:

     1. Wählen Sie unter **Key deletion** (Schlüssel-Löschung) die Option **Allow key administrators to delete this key** (Schlüsseladministratoren das Löschen dieses Schlüssels erlauben) aus.
   + In der Richtlinienansicht:

     1. Wählen Sie **Bearbeiten** aus.

     1. Fügen Sie in der Richtlinienanweisung für Schlüsseladministratoren dem `Action`-Element die Berechtigungen `kms:ScheduleKeyDeletion` und `kms:CancelKeyDeletion` hinzu.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Wählen Sie **Änderungen speichern ** aus.

### Verwenden der API AWS KMS
<a name="deleting-keys-adding-permission-cli"></a>

Sie können das verwenden AWS Command Line Interface , um Berechtigungen für das Planen und Abbrechen des Löschens von Schlüsseln hinzuzufügen.

**So fügen Sie Berechtigungen zum Planen und Abbrechen der Löschung eines Schlüssels hinzu**

1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html), um die vorhandene Schlüsselrichtlinie aufzurufen, und speichern Sie das Richtliniendokument dann in einer Datei.

1. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie in der Richtlinienerklärung für Schlüsseladministratoren die Berechtigungen`kms:ScheduleKeyDeletion` und `kms:CancelKeyDeletion` hinzu. Das folgende Beispiel zeigt eine Richtlinienanweisung mit diesen zwei Berechtigungen:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html), um die Schlüsselrichtlinie auf den KMS-Schlüssel anzuwenden.

# Löschen von Schlüsseln planen
<a name="deleting-keys-scheduling-key-deletion"></a>

In den folgenden Verfahren wird beschrieben, wie das Löschen von Schlüsseln geplant und das Löschen von Schlüsseln AWS KMS keys (KMS-Schlüsseln) AWS KMS mithilfe der AWS-Managementkonsole und der AWS KMS API abgebrochen wird.

**Warnung**  
Das Löschen eines KMS-Schlüssels ist ein endgültiger und potenziell gefährlicher Vorgang. Fahren Sie nur fort, wenn Sie sicher sind, dass Sie den KMS-Schlüssel später nicht mehr verwenden müssen. Wenn Sie nicht sicher sind, sollten Sie [den KMS-Schlüssel deaktivieren](enabling-keys.md), anstatt ihn zu löschen.

Bevor Sie einen KMS-Schlüssel löschen können, müssen Sie über die entsprechende Berechtigung verfügen. Hinweise zum Erteilen dieser Berechtigungen an Schlüsseladministratoren finden Sie unter [Steuert den Zugriff auf das Löschen von Schlüsseln](deleting-keys-adding-permission.md). Sie können den Bedingungsschlüssel [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days) auch verwenden, um die Wartezeit weiter einzuschränken, z. B. um eine Mindestwartezeit durchzusetzen.

AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie das [Löschen des KMS-Schlüssels planen](ct-schedule-key-deletion.md) und wann der [KMS-Schlüssel tatsächlich gelöscht wird](ct-delete-key.md).

## Verwenden der AWS KMS Konsole
<a name="deleting-keys-scheduling-key-deletion-console"></a>

In der AWS-Managementkonsole können Sie das Löschen mehrerer KMS-Schlüssel gleichzeitig planen und abbrechen.

**So planen Sie die Löschung**

1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) an AWS-Managementkonsole und öffnen Sie sie.

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

   Sie können das Löschen von [Von AWS verwaltete Schlüssel](concepts.md#aws-managed-key) oder [AWS-eigene Schlüssel](concepts.md#aws-owned-key) nicht planen.

1. Aktivieren Sie das Kontrollkästchen neben dem KMS-Schlüssel, den Sie löschen möchten.

1. Wählen Sie **Key actions (Schlüsselaktionen)**, **Schedule key deletion (Schlüssellöschung planen)**.

1. Lesen und berücksichtigen Sie die Warnung und die Informationen zum Abbrechen des Löschens während der Wartezeit. Wenn Sie den Löschvorgang abbrechen möchten, wählen Sie unten auf der Seite **Cancel (Abbrechen)**.

1. Geben Sie für **Waiting period (in days) (Wartezeit (in Tagen))** eine Anzahl von Tagen zwischen 7 und 30 ein. 

1. Überprüfen Sie die KMS-Schlüssel, die Sie löschen.

1. Aktivieren Sie das Kontrollkästchen neben **Bestätigen Sie, dass Sie den Löschvorgang für diesen Schlüssel in *<number of days>* Tagen planen möchten.** .

1. Wählen Sie **Schedule deletion**.

Der Status des Schlüssels wechselt zu **Pending Deletion (Löschung ausstehend)**.

## Verwendung der AWS KMS API
<a name="deleting-keys-scheduling-key-deletion-cli"></a>

Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html), um die Löschung eines [vom Kunden verwalteten Schlüssels](concepts.md#customer-mgn-key), wie im folgenden Beispiel gezeigt, zu planen.

Sie können das Löschen eines Von AWS verwalteter Schlüssel oder nicht planen AWS-eigener Schlüssel.

```
$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10
```

Bei erfolgreicher Verwendung wird eine Ausgabe wie die im folgenden Beispiel gezeigte Ausgabe AWS CLI zurückgegeben:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}
```

# Löschen des Schlüssels abbrechen
<a name="deleting-keys-cancelling-key-deletion"></a>

Nachdem Sie das [Löschen eines KMS-Schlüssels geplant](deleting-keys-scheduling-key-deletion.md) haben, können Sie das Löschen des Schlüssels abbrechen, solange sich der Schlüssel noch im Status [Ausstehende Löschung](key-state.md) befindet. Sie können das Löschen von Schlüsseln in der AWS KMS Konsole oder mithilfe des [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)Vorgangs abbrechen. Nachdem Sie das ausstehende Löschen eines KMS-Schlüssels abgebrochen haben, lautet der Schlüsselstatus des KMS-Schlüssels`Disabled`. Weitere Informationen zur Aktivierung des KMS-Schlüssels finden Sie unter[Tasten aktivieren und deaktivieren](enabling-keys.md).

## Verwenden der AWS KMS Konsole
<a name="console-cancel-deletion"></a>

**So brechen Sie die Löschung eines Schlüssels ab**

1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Aktivieren Sie das Kontrollkästchen neben dem KMS-Schlüssel, den Sie wiederherstellen möchten.

1. Wählen Sie **Key actions (Schlüsselaktionen)**, **Cancel key deletion (Schlüssellöschung abbrechen)**.

Der Status des KMS-Schlüssels wechselt von **Pending Deletion (Löschung ausstehend** zu **Disabled (deaktiviert)**. Um den KMS-Schlüssel verwenden zu können, müssen Sie ihn [aktivieren](enabling-keys.md).

## Verwenden der API AWS KMS
<a name="cli-cancel-deletion"></a>

Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html)Befehl, um das Löschen von Schlüsseln aus dem abzubrechen, AWS CLI wie im folgenden Beispiel gezeigt.

```
$ aws kms cancel-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Bei erfolgreicher Verwendung wird eine Ausgabe wie die im folgenden Beispiel gezeigte Ausgabe AWS CLI zurückgegeben:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
```

Der Status des KMS-Schlüssels wechselt von **Pending deletion (Löschung aussthend)** zu **Disabled (deaktiviert)**. Um den KMS-Schlüssel verwenden zu können, müssen Sie ihn [aktivieren](enabling-keys.md).

# Erstellen Sie einen Alarm, der die Verwendung eines KMS-Schlüssels erkennt, dessen Löschung noch aussteht
<a name="deleting-keys-creating-cloudwatch-alarm"></a>

Sie können die Funktionen von AWS CloudTrail Amazon CloudWatch Logs und Amazon Simple Notification Service (Amazon SNS) kombinieren, um einen CloudWatch Amazon-Alarm zu erstellen, der Sie benachrichtigt, wenn jemand in Ihrem Konto versucht, einen KMS-Schlüssel zu verwenden, dessen Löschung noch aussteht. Wenn Sie diese Benachrichtigung erhalten, sollten Sie eventuell das Löschen des KMS-Schlüssels stornieren und erneut abwägen, ob es sinnvoll ist, diesen KMS-Schlüssel zu löschen.

Die folgenden Verfahren erzeugen einen Alarm, der Sie jedes Mal benachrichtigt, wenn die "`Key ARN is pending deletion`" -Fehlermeldung in Ihre CloudTrail Protokolldateien geschrieben wird. Diese Fehlermeldung gibt an, dass ein Benutzer oder eine Anwendung versucht hat, den KMS-Schlüssel in einer [kryptografischen Operation](kms-cryptography.md#cryptographic-operations) zu verwenden. Da diese Benachrichtigung mit der Fehlermeldung verknüpft ist, wird sie nicht ausgelöst, wenn Sie API-Operationen ausführen, die für KMS-Schlüssel zulässig sind, bei denen die Löschung aussteht, z. B. `ListKeys`, `CancelKeyDeletion` und `PutKeyPolicy`. Eine Liste der AWS KMS API-Operationen, die diese Fehlermeldung zurückgeben, finden Sie unter[Wichtige Zustände von AWS KMS Schlüsseln](key-state.md).

Die Benachrichtigungs-E-Mail, die Sie erhalten, enthält weder den KMS-Schlüssel noch die kryptografische Operation. Diese Informationen finden Sie in [Ihrem CloudTrail-Protokoll](logging-using-cloudtrail.md). Die E-Mail informiert Sie darüber, dass der Alarmstatus von **OK** zu **Alarm** geändert wurde. Weitere Informationen zu CloudWatch Alarmen und Statusänderungen finden Sie unter [Verwenden von CloudWatch Amazon-Alarmen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.

**Warnung**  
Dieser CloudWatch Amazon-Alarm kann die Verwendung des öffentlichen Schlüssels eines asymmetrischen KMS-Schlüssels außerhalb von AWS KMS nicht erkennen. Weitere Informationen zu den besonderen Risiken des Löschens asymmetrischer KMS-Schlüssel, die für die Kryptographie von öffentlichen Schlüsseln verwendet werden, einschließlich der Erstellung von Chiffretexten, die nicht entschlüsselt werden können, finden Sie unter [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).

In diesem Verfahren erstellen Sie einen Metrikfilter für CloudWatch Protokollgruppen, der Instanzen der Ausnahme „Ausstehende Löschung“ findet. Anschließend erstellen Sie einen CloudWatch Alarm, der auf der Metrik der Protokollgruppe basiert. Informationen zu Metrikfiltern für Protokollgruppen finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) im Amazon CloudWatch Logs-Benutzerhandbuch.

1. Erstellen Sie einen CloudWatch Metrikfilter, der CloudTrail Logs analysiert.

   Folgen Sie den Anweisungen unter [Create a metric filter for a log group](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) (Erstellen eines Metrikfilters für eine Protokollgruppe) mit den folgenden erforderlichen Werten. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

1. Erstellen Sie einen CloudWatch Alarm auf der Grundlage des Metrikfilters, den Sie in Schritt 1 erstellt haben.

   Folgen Sie den Anweisungen unter [Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

Nachdem Sie diesen Vorgang abgeschlossen haben, erhalten Sie jedes Mal eine Benachrichtigung, wenn Ihr neuer CloudWatch Alarm den `ALARM` Status erreicht. Wenn Sie eine Benachrichtigung für diesen Alarm erhalten, kann das bedeuten, dass zum Verschlüsseln oder Entschlüsseln von Daten immer noch ein KMS-Schlüssel erforderlich ist, der gelöscht werden soll. In diesem Fall [stornieren Sie das Löschen des KMS-Schlüssels](deleting-keys-scheduling-key-deletion.md) und überdenken Sie, ob es sinnvoll ist, diesen KMS-Schlüssel zu löschen.

# Ermitteln Sie die frühere Verwendung eines KMS-Schlüssels
<a name="deleting-keys-determining-usage"></a>

Bevor Sie einen KMS-Schlüssel löschen, möchten Sie vielleicht wissen, wie viele Chiffretexte unter diesem Schlüssel verschlüsselt wurden. AWS KMS speichert diese Informationen nicht und speichert auch keinen der Chiffretexte. Wenn Sie wissen, wie ein KMS-Schlüssel in der Vergangenheit verwendet wurde, kann das Ihnen bei der Entscheidung helfen, ob Sie ihn in der Zukunft benötigen. In diesem Thema werden verschiedene Strategien vorgeschlagen, mit denen Sie die frühere Nutzung eines KMS-Schlüssels feststellen können.

**Warnung**  
Diese Strategien zur Bestimmung der vergangenen und tatsächlichen Nutzung sind nur für AWS Benutzer und AWS KMS Betriebsabläufe wirksam. Sie können die Nutzung des öffentlichen Schlüssels eines asymmetrischen KMS-Schlüssels außerhalb von AWS KMS nicht erkennen. Weitere Informationen zu den besonderen Risiken des Löschens asymmetrischer KMS-Schlüssel, die für die Kryptographie von öffentlichen Schlüsseln verwendet werden, einschließlich der Erstellung von Chiffretexten, die nicht entschlüsselt werden können, finden Sie unter [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).

**Topics**
+ [Untersuchen Sie die Schlüsselberechtigungen für KMS, um den Umfang der potenziellen Nutzung zu ermitteln](#deleting-keys-usage-key-permissions)
+ [Untersuchen Sie die AWS CloudTrail Protokolle, um die tatsächliche Nutzung zu ermitteln](#deleting-keys-usage-cloudtrail)

## Untersuchen Sie die Schlüsselberechtigungen für KMS, um den Umfang der potenziellen Nutzung zu ermitteln
<a name="deleting-keys-usage-key-permissions"></a>

Wenn Sie bestimmen, wer oder was derzeit Zugriff auf einen KMS-Schlüssel hat, kann Ihnen das helfen zu bestimmen, wie weit der KMS-Schlüssel verwendet wurde und ob er noch benötigt wird. Um zu erfahren, wie man feststellt, wer oder was derzeit Zugriff auf einem KMS-Schlüssel hat, öffnen Sie [Bestimmung des Zugriffs auf AWS KMS keys](determining-access.md).

## Untersuchen Sie die AWS CloudTrail Protokolle, um die tatsächliche Nutzung zu ermitteln
<a name="deleting-keys-usage-cloudtrail"></a>

Sie können mit der Nutzungshistorik eines KMS-Schlüssels feststellen, ob Chiffretexte unter einem bestimmten KMS-Schlüssel verschlüsselt sind. 

Alle AWS KMS API-Aktivitäten werden in AWS CloudTrail Protokolldateien aufgezeichnet. Wenn Sie in der Region, in der sich Ihr KMS-Schlüssel befindet, [einen CloudTrail Trail erstellt](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) haben, können Sie Ihre CloudTrail Protokolldateien überprüfen, um einen Verlauf aller AWS KMS API-Aktivitäten für einen bestimmten KMS-Schlüssel einzusehen. Wenn Sie keinen Trail haben, können Sie sich aktuelle Ereignisse trotzdem in Ihrem [CloudTrail Eventverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) ansehen. Einzelheiten zur AWS KMS Nutzung finden Sie CloudTrail unter[AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md).

Die folgenden Beispiele zeigen CloudTrail Protokolleinträge, die generiert werden, wenn ein KMS-Schlüssel zum Schutz eines in Amazon Simple Storage Service (Amazon S3) gespeicherten Objekts verwendet wird. In diesem Beispiel wird das Objekt unter Verwendung der [serverseitigen Verschlüsselung mit KMS-Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) in Simple Storage Service (Amazon S3) hochgeladen. Wenn Sie ein Objekt auf Simple Storage Service (Amazon S3) mit SSE-KMS hochladen, geben Sie den KMS-Schlüssel an, mit dem das Objekts geschützt werden soll. Amazon S3 verwendet den AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Vorgang, um einen eindeutigen Datenschlüssel für das Objekt anzufordern, und dieses Anforderungsereignis wird CloudTrail mit einem Eintrag angemeldet, der dem folgenden ähnelt:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Wenn Sie dieses Objekt später von Amazon S3 herunterladen, sendet Amazon S3 eine `Decrypt` Anfrage AWS KMS an, den Datenschlüssel des Objekts mithilfe des angegebenen KMS-Schlüssels zu entschlüsseln. Wenn Sie dies tun, enthalten Ihre CloudTrail Protokolldateien einen Eintrag, der dem folgenden ähnelt:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Alle AWS KMS API-Aktivitäten werden von protokolliert CloudTrail. Durch die Auswertung dieser Protokolleinträge können Sie die bisherige Nutzung eines bestimmten KMS-Schlüssels feststellen, und so können Sie bestimmen, ob Sie ihn löschen möchten.

Weitere Beispiele dafür, wie AWS KMS API-Aktivitäten in Ihren CloudTrail Protokolldateien erscheinen, finden Sie unter[AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md). Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

# Importiertes Schlüsselmaterial löschen
<a name="importing-keys-delete-key-material"></a>

Sie können das importierte Schlüsselmaterial jederzeit aus einem KMS-Schlüssel löschen. Außerdem wird das Schlüsselmaterial AWS KMS gelöscht, wenn importiertes Schlüsselmaterial mit einem Ablaufdatum abläuft. In beiden Fällen ändert sich der [Schlüsselstatus des KMS-Schlüssels](key-state.md) in *Ausstehender Import*, wenn das Schlüsselmaterial gelöscht wird, und der KMS-Schlüssel kann nicht für kryptografische Operationen verwendet werden.

Symmetrischen Verschlüsselungsschlüsseln können mehrere Schlüsselmaterialien zugeordnet sein. Für diese Schlüssel weist KMS jedem Schlüsselmaterial eine eindeutige Kennung zu. Sie können die [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API verwenden, um diese wichtigen Materialkennungen und den entsprechenden Status des Schlüsselmaterials einzusehen (siehe [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Ein Schlüsselmaterialstatus von `PENDING_ROTATION` oder `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` gibt an, dass das Schlüsselmaterial nicht dauerhaft mit dem KMS-Schlüssel verknüpft ist. Durch Löschen oder Ablaufen aller dauerhaft verknüpften Schlüsselmaterialien wird der Schlüsselstatus in *Ausstehender Import* geändert. Sie können ein bestimmtes Schlüsselmaterial löschen, indem Sie seinen Bezeichner mithilfe des `key-material-id` Parameters in der [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API angeben.

**Überlegungen zu Schlüsseln für mehrere Regionen**
+ Wenn Sie das Schlüsselmaterial eines primären Regionsschlüssels löschen, der sich im `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Status `PENDING_ROTATION` oder im Status befindet, löschen Sie damit auch das Schlüsselmaterial für die replizierten Regionsschlüssel.
+ Wenn Sie das Schlüsselmaterial eines primären Regionsschlüssels oder eines Replikats löschen, ist nur dieser spezifische Schlüssel betroffen, und andere zugehörige Schlüssel mit mehreren Regionen bleiben unverändert. Alle primären Schlüssel oder replizierten Regionsschlüssel, denen all ihre dauerhaft zugewiesenen Schlüsselmaterialien zugeordnet sind, können weiterhin für kryptografische Operationen verwendet werden.

**Warnung**  
Der `key-material-id` Parameter ist optional. Wenn Sie ihn nicht angeben, AWS KMS wird das aktuelle Schlüsselmaterial gelöscht.

Neben dem Deaktivieren des KMS-Schlüssels und dem Entziehen von Berechtigungen kann das Löschen von Schlüsselmaterial als Strategie verwendet werden, um die Verwendung des KMS-Schlüssels schnell, aber vorübergehend einzustellen. Im Gegensatz dazu wird bei der Planung des Löschens eines KMS-Schlüssels mit importiertem Schlüsselmaterial auch schnell die Verwendung des KMS-Schlüssels gestoppt. Wenn der Löschvorgang jedoch während der Wartezeit nicht abgebrochen wird, werden der KMS-Schlüssel, die zugehörigen Schlüsselmaterialien und alle wichtigen Metadaten dauerhaft gelöscht. Details hierzu finden Sie unter [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

Um Schlüsselmaterial zu löschen, können Sie die AWS KMS Konsole oder den [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API-Vorgang verwenden. AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie [importiertes Schlüsselmaterial löschen](ct-deleteimportedkeymaterial.md) und wenn [abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird](ct-deleteexpiredkeymaterial.md).

**Wie sich das Löschen von Schlüsselmaterial auf Dienste auswirkt AWS **  
Wenn Sie Schlüsselmaterial löschen, wird der KMS-Schlüssel sofort unbrauchbar (vorausgesetzt, dass er irgendwann konsistent ist). Ressourcen, die mit durch den KMS-Schlüssel geschützten [Datenschlüsseln](data-keys.md) verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, dass viele von ihnen Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).

## Verwenden der AWS KMS Konsole
<a name="importing-keys-delete-key-material-console"></a>

Sie können die AWS KMS Konsole verwenden, um Schlüsselmaterial zu löschen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Klicken Sie im Navigationsbereich auf **Kundenverwaltete Schlüssel**.

1. Führen Sie eine der folgenden Aktionen aus:
   + Aktivieren Sie das Kontrollkästchen für einen KMS-Schlüssel mit importiertem Schlüsselmaterial. Wählen Sie unter **Key actions** die Option **Delete key material**. Bei symmetrischen Verschlüsselungsschlüsseln, denen mehrere Schlüsselmaterialien zugeordnet sind, wird dadurch das aktuelle Schlüsselmaterial gelöscht. 
   + Für KMS-Schlüssel mit symmetrischer Verschlüsselung mit importiertem Schlüsselmaterial wählen Sie den Alias oder die Schlüssel-ID eines KMS-Schlüssels. Wählen Sie die **Registerkarte Schlüsselmaterial und Rotationen.** In der Tabelle mit den Schlüsselmaterialien werden alle Schlüsselmaterialien aufgeführt, die dem Schlüssel zugeordnet sind. Wählen Sie im Menü **Aktionen** in der Zeile, die dem **Schlüsselmaterial** entspricht, das Sie löschen möchten, die Option Schlüsselmaterial löschen.

1. Bestätigen Sie, dass Sie das Schlüsselmaterial löschen möchten, und klicken Sie dann auf **Delete key material**. Der Zustand des KMS-Schlüssels, der dem [Schlüsselstatus](key-state.md) entspricht, ändert sich in **Pending import (Import ausstehend)**. Wenn sich das gelöschte Schlüsselmaterial im `PENDING_ROTATION` Status befand, ändert sich der Status des KMS-Schlüssels nicht.

## Verwenden der AWS KMS API
<a name="importing-keys-delete-key-material-api"></a>

Um die [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) zum Löschen von Schlüsselmaterial zu verwenden, senden Sie eine [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)Anfrage. Das folgende Beispiel zeigt, wie Sie dies mit dem [AWS CLI](https://aws.amazon.com/cli/) tun können.

Ersetzen Sie `1234abcd-12ab-34cd-56ef-1234567890ab` mit der Schlüssel-ID des KMS-Schlüssels, dessen Schlüsselmaterial Sie löschen möchten. Für diese Operation können Sie die Schlüssel-ID oder den ARN des KMS-Schlüssels verwenden, aber keinen Alias. Der folgende Befehl löscht das aktuelle Schlüsselmaterial, das möglicherweise das einzige Schlüsselmaterial ist, das dem Schlüssel zugeordnet ist.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Um ein bestimmtes Schlüsselmaterial zu löschen, geben Sie das mit dem `key-material-id` Parameter identifizierte Schlüsselmaterial an. `123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0`Ersetzen Sie es durch den Bezeichner des Schlüsselmaterials, das Sie löschen möchten.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0
```