Planifier la suppression des clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Planifier la suppression des clés

Les procédures suivantes décrivent comment planifier la suppression des clés et annuler la suppression des KMS clés AWS KMS keys (clés) à AWS KMS l'aide du AWS Management Console et du AWS KMS API.

Avertissement

La suppression d'une KMS clé est destructrice et potentiellement dangereuse. Vous ne devez continuer que lorsque vous êtes certain de ne plus avoir besoin d'utiliser la KMS clé et que vous n'en aurez plus besoin à l'avenir. En cas de doute, vous devez désactiver la KMS clé au lieu de la supprimer.

Avant de pouvoir supprimer une KMS clé, vous devez être autorisé à le faire. Pour plus d'informations sur l'octroi de ces autorisations aux administrateurs de clés, veuillez consulter la rubrique Contrôler l'accès à la suppression des clés. Vous pouvez également utiliser la clé de condition kms:ScheduleKeyDeletionPendingWindowInDays pour limiter davantage le délai d'attente, par exemple en imposant un délai d'attente minimum.

AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous planifiez la suppression de la KMS clé et lorsque la KMSclé est effectivement supprimée.

Dans le AWS Management Console, vous pouvez planifier et annuler la suppression de plusieurs KMS clés à la fois.

Pour planifier une suppression de clé

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

    Vous ne pouvez pas planifier la suppression deClés gérées par AWS ou de Clés détenues par AWS.

  4. Cochez la case située à côté de la KMS clé que vous souhaitez supprimer.

  5. Choisissez Actions de clé, Planifier une suppression de clé.

  6. Lisez et tenez compte de l'avertissement et des informations sur l'annulation de la suppression pendant la période d'attente. Si vous décidez d'annuler la suppression, en bas de la page, sélectionnez Cancel (Annuler).

  7. Pour Période d'attente (en jours), tapez un nombre de jours compris entre 7 et 30.

  8. Vérifiez les KMS clés que vous êtes en train de supprimer.

  9. Cochez la case à côté de Confirmer que vous souhaitez planifier la suppression de cette clé dans <number of days> jours. .

  10. Choisissez Schedule deletion (Planifier la suppression).

Le statut KMS clé passe à En attente de suppression.

Utilisez la commande aws kms schedule-key-deletion pour planifier une suppression de clé gérée par le client, comme illustré dans l'exemple suivant.

Vous ne pouvez pas planifier la suppression d'un Clé gérée par AWS ou Clé détenue par AWS.

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

Lorsqu'il est utilisé avec succès, le résultat AWS CLI renvoyé est similaire à celui illustré dans l'exemple suivant :

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}