Eliminación del material de claves importado - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminación del material de claves importado

Puede eliminar el material de claves importado desde una clave de KMS en cualquier momento. Además, cuando vence el material de clave importado con fecha de vencimiento, AWS KMS elimina el material de clave. En cualquier caso, cuando se elimina el material de claves, el estado de la clave de KMS cambia a importación pendiente y la clave de KMS no puede utilizarse en ninguna operación criptográfica hasta que vuelva a importar el mismo material de claves. (No puede importar ningún otro material de claves en una clave de KMS).

Además de deshabilitar la clave de KMS y retirar los permisos, la eliminación del material de claves se puede utilizar como estrategia para detener el uso de la clave de KMS de forma rápida, pero temporal. Por el contrario, si se programa la eliminación de una clave de KMS con material de claves importado, también se detiene rápidamente el uso de la clave de KMS. Sin embargo, si la eliminación no se cancela durante el periodo de espera, la clave de KMS, el material de claves y todos los metadatos clave se eliminan de forma permanente. Para obtener más información, consulte Deleting KMS keys with imported key material.

Para eliminar el material de claves, puede utilizar la consola de AWS KMS o la operación de API DeleteImportedKeyMaterial. AWS KMS registra una entrada en su registro AWS CloudTrail cuando elimina el material de claves importado y cuando AWS KMS elimina el material de claves vencido.

Cómo afecta la eliminación del material de claves a los servicios de AWS

Cuando se elimina el material de claves, la clave de KMS sin material de claves se vuelve inutilizable de forma inmediata (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Puede usar la consola de AWS KMS para eliminar el material de claves.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Realice una de las siguientes acciones siguientes:

    • Seleccione la casilla de verificación de una clave KMS con material de claves importado. Elija Key actions, Delete key material.

    • Elija el alias o el ID de clave de una clave KMS con material de claves importado. Elija la pestaña Key material (Material de claves) y, a continuación, seleccione Delete key material (Eliminar el material de claves).

  5. Confirme que desea eliminar el material de claves y, a continuación, seleccione Delete key material. El estado de la clave KMS, que corresponde a su estado de clave, cambia a Pending import (Importación pendiente).

Para utilizar la API de AWS KMS para eliminar el material de claves, envíe una solicitud DeleteImportedKeyMaterial. El siguiente ejemplo muestra cómo hacerlo con la AWS CLI.

Sustituya 1234abcd-12ab-34cd-56ef-1234567890ab por el ID de clave de la clave KMS cuyo material de claves desea eliminar. Puede usar el ID de clave o el ARN de la clave KMS, pero no puede usar un alias para esta operación.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab