Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Eliminación de claves de
Al eliminar una clave de criptografía de AWS pago, se eliminan el material de la clave y todos los metadatos asociados a la clave y es irreversible, a menos que haya una copia de la clave disponible fuera de la criptografía de AWS pago. Una vez que se elimina una clave, ya no pueden descifrar los datos que se habían cifrado con ella, lo que significa que los datos pueden volverse irrecuperables. Sólo debe eliminar una clave cuando esté seguro de que ya no necesita utilizarla y de que no hay terceros que la estén utilizando. Si no está seguro, considere la posibilidad de desactivar la clave en lugar de eliminarla. Puede volver a activar una clave desactivada si necesita volver a utilizarla más adelante, pero no podrá recuperar una clave de criptografía de AWS pagos eliminada a menos que pueda volver a importarla desde otra fuente.
Antes de eliminar una clave, asegúrate de que ya no la necesitas. AWS La criptografía de pagos no almacena los resultados de las operaciones criptográficas ni puede determinar si se necesita una clave para cualquier material criptográfico persistente. CVV2
AWS La criptografía de pagos nunca elimina las claves que pertenecen a las AWS cuentas activas, a menos que se programe explícitamente su eliminación y caduque el período de espera obligatorio.
Sin embargo, puede optar por eliminar una clave de criptografía de AWS pago por uno o varios de los siguientes motivos:
-
Para completar el ciclo de vida de una clave que ya no necesita
-
Para evitar los gastos de administración asociados con el mantenimiento de las claves de criptografía AWS de pago no utilizadas
nota
Si cierras o eliminas la tuya Cuenta de AWS, tu clave de criptografía de AWS pago quedará inaccesible. No necesita programar la eliminación de su clave de criptografía de AWS pago aparte del cierre de la cuenta.
AWS La criptografía de pagos registra una entrada en su AWS CloudTrail
Acerca del período de espera
Como eliminar una clave es irreversible, la criptografía de AWS pagos requiere que establezcas un período de espera de entre 3 y 180 días. El periodo de espera predeterminado es de siete días.
Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el programado. Para obtener la fecha y la hora reales en las que se eliminará la clave de criptografía de AWS pago, utilice las siguientes operaciones. GetKey Asegúrese de anotar la zona horaria.
Durante el período de espera, el estado de la clave AWS de criptografía de pago y el estado de la clave es Pendiente de eliminación.
nota
Una clave AWS de criptografía de pago pendiente de eliminación no se puede utilizar en ninguna operación criptográfica.
Una vez finalizado el período de espera, la criptografía de AWS pago elimina la clave de criptografía de AWS pago, sus alias y todos los metadatos de criptografía de pago relacionados. AWS
Utilice el período de espera para asegurarse de que no necesitará la clave de criptografía de AWS pago ahora o en el futuro. Si se da cuenta de que necesita la clave durante el periodo de espera, puede cancelar la eliminación de la clave antes de que finalice el periodo de espera. Una vez que finaliza el periodo de espera, no puede cancelar la eliminación de claves y el servicio elimina la clave.
Ejemplos
En este ejemplo, se solicita la eliminación de una clave. Además de la información clave básica, hay dos campos importantes: el estado de la clave se ha cambiado a DELETE _ PENDING y deletePendingTimestamp representa el momento en el que está previsto eliminar la clave en ese momento.
$aws payment-cryptography delete-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "DELETE_PENDING", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00", "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00" } }
En este ejemplo, se cancela un borrado pendiente. Una vez completada con éxito, la clave ya no se borrará según la programación anterior. La respuesta contiene la información clave básica; además, dos campos relevantes han cambiado: KeyState ydeletePendingTimestamp. KeyStatese devuelve a un valor de CREATE _COMPLETE, mientras que DeletePendingTimestamp se elimina.
$aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
{ "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00" } }
