Löschen von Schlüsseln - AWS Kryptografie für Zahlungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Löschen von Schlüsseln

Durch das Löschen eines AWS Zahlungskryptografie-Schlüssels werden das Schlüsselmaterial und alle mit dem Schlüssel verknüpften Metadaten gelöscht. Dies ist irreversibel, sofern keine Kopie des Schlüssels außerhalb von AWS Payment Cryptography verfügbar ist. Nach dem Löschen eines Schlüssels können Sie die Daten, die mit diesem Schlüssel verschlüsselt wurden, nicht mehr entschlüsseln, was bedeutet, dass Daten möglicherweise nicht mehr wiederhergestellt werden können. Sie sollten einen Schlüssel nur löschen, wenn Sie sicher sind, dass Sie ihn nicht mehr benötigen und keine anderen Parteien diesen Schlüssel verwenden. Wenn Sie sich nicht sicher sind, sollten Sie erwägen, den Schlüssel zu deaktivieren, anstatt ihn zu löschen. Sie können einen deaktivierten Schlüssel wieder aktivieren, wenn Sie ihn später erneut verwenden müssen, aber Sie können einen gelöschten AWS Payment Cryptography Key nur wiederherstellen, wenn Sie ihn aus einer anderen Quelle erneut importieren können.

Bevor Sie einen Schlüssel löschen, sollten Sie sicherstellen, dass Sie den Schlüssel nicht mehr benötigen. AWS Die Zahlungskryptografie speichert nicht die Ergebnisse kryptografischer Operationen wie CVV2 und kann auch nicht feststellen, ob ein Schlüssel für persistentes kryptografisches Material benötigt wird.

AWS Die Zahlungskryptografie löscht niemals Schlüssel, die zu aktiven AWS Konten gehören, es sei denn, Sie planen ausdrücklich, dass sie gelöscht werden, und die vorgeschriebene Wartezeit läuft ab.

Sie können sich jedoch aus einem oder mehreren der folgenden Gründe dafür entscheiden, einen AWS Zahlungskryptografie-Schlüssel zu löschen:

  • Um den Schlüssellebenszyklus für einen Schlüssel abzuschließen, den Sie nicht mehr benötigen

  • Um den Verwaltungsaufwand zu vermeiden, der mit der Aufbewahrung ungenutzter AWS Payment Cryptography Keys verbunden ist

Anmerkung

Wenn Sie Ihren schließen oder löschen AWS-Konto, kann nicht mehr auf Ihren AWS Payment Cryptography Key zugegriffen werden. Sie müssen die Löschung Ihres AWS Payment Cryptography Keys nicht getrennt von der Schließung des Kontos planen.

AWS Die Zahlungskryptografie zeichnet einen Eintrag in Ihrem AWS CloudTrailProtokoll auf, wenn Sie das Löschen des AWS Zahlungskryptografie-Schlüssels planen und wenn der AWS Zahlungskryptografie-Schlüssel tatsächlich gelöscht wird.

Über die Wartezeit

Da das Löschen eines Schlüssels irreversibel ist, müssen Sie für die AWS Zahlungskryptografie eine Wartezeit zwischen 3 und 180 Tagen festlegen. Die Standard-Wartezeit beträgt sieben Tage.

Die tatsächliche Wartezeit kann jedoch bis zu 24 Stunden länger sein als die, die Sie geplant haben. Verwenden Sie die folgenden GetKey Operationen, um das tatsächliche Datum und die Uhrzeit der Löschung des AWS Payment Cryptography Key zu ermitteln. Achten Sie darauf, die Zeitzone zu notieren.

Während der Wartezeit lautet der Status und der Schlüsselstatus des AWS Zahlungskryptografie-Schlüssels „Ausstehende Löschung“.

Anmerkung

Ein AWS Zahlungskryptografie-Schlüssel, dessen Löschung noch aussteht, kann für keine kryptografischen Operationen verwendet werden.

Nach Ablauf der Wartezeit löscht AWS Payment Cryptography den Zahlungskryptografie-Schlüssel, seine Aliase und alle zugehörigen AWS Zahlungskryptografie-Metadaten. AWS

Nutzen Sie die Wartezeit, um sicherzustellen, dass Sie den AWS Payment Cryptography Key weder jetzt noch in future benötigen. Wenn Sie feststellen, dass Sie den Schlüssel während der Wartezeit benötigen, können Sie die Löschung des Schlüssels vor Ablauf der Wartezeit abbrechen. Nach Ablauf der Wartezeit können Sie das Löschen des Schlüssels nicht mehr abbrechen und der Dienst löscht den Schlüssel.

Beispiele

    In diesem Beispiel wird die Löschung eines Schlüssels angefordert. Neben den grundlegenden Schlüsselinformationen geben zwei relevante Felder an, dass der Schlüsselstatus auf DELETE _ geändert wurde, PENDING und deletePendingTimestamp geben an, wann der Schlüssel aktuell gelöscht werden soll.

    $ aws payment-cryptography delete-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "DELETE_PENDING", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00", "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00" } }

    In diesem Beispiel wird ein ausstehender Löschvorgang storniert. Nach erfolgreichem Abschluss wird ein Schlüssel nicht mehr gemäß dem vorherigen Zeitplan gelöscht. Die Antwort enthält die grundlegenden Schlüsselinformationen. Darüber hinaus wurden zwei relevante Felder geändert - KeyState unddeletePendingTimestamp. KeyStatewird auf den Wert CREATE _ zurückgegeben COMPLETE und DeletePendingTimestamp dabei entfernt.

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00" } }