Supprimer un AWS KMS keys - AWS Key Management Service
À propos de la période d'attenteConsidérations spéciales

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Supprimer un AWS KMS keys

La suppression d'un AWS KMS key est destructrice et potentiellement dangereuse. Il supprime le contenu clé et toutes les métadonnées associées à la KMS clé et est irréversible. Une fois qu'une KMS clé est supprimée, vous ne pouvez plus déchiffrer les données chiffrées sous cette KMS clé, ce qui signifie qu'elles deviennent irrécupérables. (Les seules exceptions sont les clés répliques multirégionales et asymétriques et HMAC KMS les clés contenant du matériel clé importé.) Ce risque est important pour les KMSclés asymétriques utilisées pour le chiffrement où, sans avertissement ni erreur, les utilisateurs peuvent continuer à générer des textes chiffrés avec la clé publique qui ne peuvent pas être déchiffrés une fois la clé privée supprimée. AWS KMS

Vous ne devez supprimer une KMS clé que lorsque vous êtes certain de ne plus avoir besoin de l'utiliser. En cas de doute, pensez à désactiver la KMS clé au lieu de la supprimer. Vous pouvez réactiver une KMS clé désactivée et annuler la suppression planifiée d'une KMS clé, mais vous ne pouvez pas récupérer une KMS clé supprimée.

Vous ne pouvez pas planifier la suppression d'une clé gérée par le client. Vous ne pouvez pas supprimer Clés gérées par AWS ou Clés détenues par AWS.

Avant de supprimer une KMS clé, vous souhaiterez peut-être savoir combien de textes chiffrés ont été chiffrés sous cette KMS clé. AWS KMS ne stocke pas ces informations et ne stocke aucun texte chiffré. Pour obtenir ces informations, vous devez déterminer l'utilisation passée d'une KMS clé. Pour obtenir de l'aide, rendez-vous sur Déterminer l'utilisation passée d'une KMS clé.

AWS KMS ne supprime jamais vos KMS clés à moins que vous ne les programmiez explicitement pour leur suppression et que le délai d'attente obligatoire expire.

Toutefois, vous pouvez choisir de supprimer une KMS clé pour une ou plusieurs des raisons suivantes :

  • Pour terminer le cycle de vie des KMS clés dont vous n'avez plus besoin

  • Pour éviter les frais de gestion et les coûts associés à la maintenance des KMS clés non utilisées

  • Pour réduire le nombre de KMS clés prises en compte dans votre quota de ressources KMS clés

Note

Si vous fermez votre Compte AWS, vos KMS clés deviennent inaccessibles et elles ne vous sont plus facturées.

AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous planifiez la suppression de la KMS clé et lorsque la KMSclé est effectivement supprimée.

À propos de la période d'attente

Comme il est destructeur et potentiellement dangereux de supprimer une KMS clé, AWS KMS vous devez définir un délai d'attente de 7 à 30 jours. La période d'attente par défaut est de 30 jours.

Cependant, la période d'attente réelle peut être jusqu'à 24 heures plus longue celle que vous avez planifiée. Pour obtenir la date et l'heure réelles auxquelles la KMS clé sera supprimée, utilisez l'DescribeKeyopération. Ou dans la AWS KMS console, sur la page détaillée de la KMS clé, dans la section Configuration générale, voir la date de suppression planifiée. Assurez-vous de noter le fuseau horaire.

Pendant la période d'attente, le statut KMS clé et l'état clé sont En attente de suppression.

Une fois la période d'attente terminée, AWS KMS supprime la KMS clé, ses alias et toutes les métadonnées associées AWS KMS .

La planification de la suppression d'une KMS clé peut ne pas affecter immédiatement les clés de données chiffrées par la KMS clé. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.

Utilisez la période d'attente pour vous assurer que vous n'avez pas besoin de la KMS clé maintenant ou à l'avenir. Vous pouvez configurer une CloudWatch alarme Amazon pour vous avertir si une personne ou une application tente d'utiliser la KMS clé pendant la période d'attente. Pour récupérer la KMS clé, vous pouvez annuler la suppression de la clé avant la fin de la période d'attente. Une fois la période d'attente terminée, vous ne pouvez pas annuler la suppression de la KMS clé AWS KMS et la supprimer.

Considérations spéciales

Avant de planifier la suppression de vos clés, passez en revue les considérations spéciales suivantes concernant la suppression de KMS clés à usage spécifique.

Supprimer des clés asymétriques KMS

Les utilisateurs autorisés peuvent supprimer des clés symétriques ou asymétriquesKMS. La procédure de planification de la suppression de ces KMS clés est la même pour les deux types de clés. Cependant, étant donné que la clé publique d'une KMS clé asymétrique peut être téléchargée et utilisée à l'extérieur AWS KMS, l'opération présente des risques supplémentaires importants, en particulier pour les KMS clés asymétriques utilisées pour le chiffrement (l'utilisation de la clé estENCRYPT_DECRYPT).

  • Lorsque vous planifiez la suppression d'une KMS clé, l'état de la KMS clé passe à En attente de suppression et la KMS clé ne peut pas être utilisée dans des opérations cryptographiques. Cependant, la planification de la suppression n'a aucun effet sur les clés publiques en dehors de AWS KMS. Les utilisateurs disposant de la clé publique peuvent continuer à les utiliser pour chiffrer les messages. Ils ne reçoivent aucune notification indiquant que l'état de la clé est modifié. Sauf si la suppression est annulée, le texte chiffré créé avec la clé publique ne peut pas être déchiffré.

  • Les alarmes, journaux et autres stratégies qui détectent les tentatives d'utilisation d'une KMS clé en attente de suppression ne peuvent pas détecter l'utilisation de la clé publique en dehors de AWS KMS.

  • Lorsque la KMS clé est supprimée, toutes les AWS KMS actions impliquant cette KMS clé échouent. Toutefois, les utilisateurs disposant de la clé publique peuvent continuer à les utiliser pour chiffrer les messages. Ces textes chiffrés ne peuvent pas être déchiffrés.

Si vous devez supprimer une KMS clé asymétrique dont l'utilisation est égale àENCRYPT_DECRYPT, utilisez les entrées de votre CloudTrail journal pour déterminer si la clé publique a été téléchargée et partagée. Si c'est le cas, vérifiez que la clé publique n'est pas utilisée en dehors d' AWS KMS. Envisagez ensuite de désactiver la KMS clé au lieu de la supprimer.

Le risque lié à la suppression d'une KMS clé asymétrique est atténué pour les KMS clés asymétriques dont le contenu est importé. Pour plus de détails, consultez Deleting KMS keys with imported key material.

Suppression de clés multirégionales

Pour supprimer une clé principale, vous devez planifier la suppression de toutes ses clés de réplica, puis attendre que celles-ci soient supprimées. Le délai d'attente requis pour la suppression d'une clé principale commence lorsque la dernière de ses clés de réplica est supprimée. Si vous devez supprimer une clé principale d'une région particulière sans supprimer ses clés de réplica, transformez la clé principale en clé de réplica en mettant à jour la région principale.

Vous pouvez supprimer une clé de réplica à tout moment. Cela ne dépend pas de l'état de la clé d'une autre KMS clé. Si vous supprimez par erreur une clé de réplica, vous pouvez la recréer en répliquant la même clé primaire dans la même région. La nouvelle clé de réplica que vous allez créer aura les mêmes propriétés partagées que la clé de réplica d'origine.

Supprimer KMS des clés avec du matériel clé importé

La suppression du matériau clé d'une KMS clé avec du matériel clé importé est temporaire et réversible. Pour restaurer la clé, réimportez son élément de clé.

En revanche, la suppression d'une KMS clé est irréversible. Si vous planifiez la suppression d'une clé et que le délai d'attente requis expire, supprime AWS KMS définitivement et irréversiblement la KMS clé, son contenu clé et toutes les métadonnées associées à la clé. KMS

Cependant, les risques et les conséquences liés à la suppression d'une KMS clé contenant du matériel clé importé dépendent du type (« spécification de clé ») de la KMS clé.

  • Clés de chiffrement symétriques — Si vous supprimez une KMS clé de chiffrement symétrique, tous les textes chiffrés restants chiffrés par cette clé sont irrécupérables. Vous ne pouvez pas créer de nouvelle KMS clé de chiffrement symétrique capable de déchiffrer les textes chiffrés d'une clé de chiffrement symétrique supprimée, même si vous disposez du même contenu KMS clé. Les métadonnées propres à chaque KMS clé sont liées cryptographiquement à chaque texte chiffré symétrique. Cette fonctionnalité de sécurité garantit que seule la KMS clé qui a chiffré le texte chiffré symétrique peut le déchiffrer, mais elle vous empêche de recréer une clé équivalente. KMS

  • Asymétrique et HMAC clés : si vous avez le contenu de la clé d'origine, vous pouvez créer une nouvelle KMS clé avec les mêmes propriétés cryptographiques qu'une clé asymétrique ou une HMAC KMS clé supprimée. AWS KMS génère des RSA textes chiffrés et des signatures, ECC des signatures et des HMAC balises standard, qui n'incluent aucune fonctionnalité de sécurité unique. Vous pouvez également utiliser une HMAC clé ou la clé privée d'une paire de clés asymétrique en dehors de AWS.

    Une nouvelle KMS clé créée avec le même matériau asymétrique ou HMAC clé aura un identifiant de clé différent. Vous devrez créer une nouvelle politique clé, recréer tous les alias et mettre à jour les IAM politiques et autorisations existantes pour faire référence à la nouvelle clé.

Supprimer KMS des clés d'un magasin de AWS CloudHSM clés

Lorsque vous planifiez la suppression d'une KMS clé d'un magasin de AWS CloudHSM clés, son état de clé devient En attente de suppression. La KMS clé reste dans l'état En attente de suppression pendant toute la période d'attente, même si elle n'est plus disponible parce que vous avez déconnecté le magasin de clés personnalisé. KMS Cela vous permet d'annuler la suppression de la KMS clé à tout moment pendant la période d'attente.

Lorsque le délai d'attente expire, AWS KMS supprime la KMS clé de AWS KMS. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé du AWS CloudHSM cluster associé. Si AWS KMS ne peut pas supprimer les clés, comme lorsque, par exemple, le magasin de clés est déconnecté de AWS KMS, il se peut que vous ayez besoin de supprimer manuellement les clé orphelines du cluster.

AWS KMS ne supprime pas le matériel clé des sauvegardes du cluster. Même si vous supprimez la KMS clé AWS KMS et son contenu clé de votre AWS CloudHSM cluster, les clusters créés à partir de sauvegardes peuvent contenir le contenu clé supprimé. Pour supprimer définitivement le contenu clé, utilisez l'DescribeKeyopération pour identifier la date de création de la KMS clé. Ensuite, supprimez toutes les sauvegardes de cluster qui peuvent contenir la clé.

Lorsque vous planifiez la suppression d'une KMS clé d'un AWS CloudHSM magasin de KMS clés, celle-ci devient immédiatement inutilisable (sous réserve de cohérence éventuelle). Cependant, les ressources chiffrées avec des clés de données protégées par la KMS clé ne sont pas affectées tant que la KMS clé n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème concerne la Services AWS plupart d'entre eux qui utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.

Supprimer KMS des clés d'un magasin de clés externe

La suppression d'une KMS clé d'un magasin de clés externe n'a aucun effet sur la clé externe qui lui a servi de matériau clé.

Lorsque vous planifiez la suppression d'une KMS clé d'un magasin de clés externe, son état de clé passe à En attente de suppression. La KMS clé reste dans l'état En attente de suppression pendant toute la période d'attente, même si elle n'est plus disponible parce que vous avez déconnecté le magasin de clés externe. KMS Cela vous permet d'annuler la suppression de la KMS clé à tout moment pendant la période d'attente. Lorsque le délai d'attente expire, AWS KMS supprime la KMS clé de AWS KMS.

Lorsque vous planifiez la suppression d'une KMS clé d'un magasin de clés externe, la KMS clé devient immédiatement inutilisable (sous réserve de cohérence éventuelle). Cependant, les ressources chiffrées avec des clés de données protégées par la KMS clé ne sont pas affectées tant que la KMS clé n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.