Suppression de clés multi-régions - AWS Key Management Service
Autorisations de suppression de clés multi-régionComment supprimer une clé de réplicaComment supprimer une clé principale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suppression de clés multi-régions

Lorsque vous n'utilisez plus de clé multi-région principale ou de réplica, vous pouvez planifier sa suppression.

Bien que la suppression de clés KMS soit toujours effectuée avec prudence, la suppression d'un réplica d'une clé multi-région est moins risquée, à condition que la clé principale existe toujours dans AWS KMS. Si vous supprimez une clé de réplica de sa région, mais que vous découvrez un texte chiffré qui a été chiffré sous la clé supprimée, vous pouvez déchiffrer ce texte chiffré avec n'importe quelle clé multi-région associée. Vous pouvez également recréer la clé de réplica en répliquant la clé principale dans la région de la clé de réplica.

Toutefois, la suppression d'une clé principale et de toutes ses clés de réplica est une opération très dangereuse, équivalente à la suppression d'une clé à région unique.

Avertissement

La suppression d'une clé KMS est destructrice et potentiellement dangereuse. Vous devez y avoir recours seulement lorsque vous êtes sûr de ne plus avoir besoin d'utiliser la clé KMS maintenant ni par la suite. Si vous n'en êtes pas sûr, vous devriez désactiver la clé KMS au lieu de la supprimer.

Pour supprimer une clé principale, vous devez d'abord supprimer toutes ses clés de réplica. Si vous devez supprimer une clé principale d'une région particulière sans supprimer ses clés de réplica, transformez la clé principale en clé de réplica en mettant à jour la région principale.

Avant de planifier la suppression d'une clé KMS, consultez les mises en garde présentées dans cette Suppression de AWS KMS keys rubrique et les rubriques qui expliquent comment déterminer l'utilisation passée d'une clé KMS et comment configurer une CloudWatch alarme vous avertissant de l'utilisation de la clé KMS pendant la période d'attente. Avant de supprimer la clé principale d'une clé multi-région asymétrique, veuillez consulter la rubrique Suppression de clés asymétriques.

Autorisations de suppression de clés multi-région

Pour planifier la suppression d'une clé multi-région, vous avez besoin uniquement de l'autorisation suivante.

Nous vous recommandons également vivement de disposer des autorisations associées suivantes.

  • kms : CancelKeyDeletion — pour annuler la suppression planifiée de la clé multirégionale.

  • kms : DescribeKey — pour afficher l'état clé de la clé multirégionale et la liste des clés multirégionales associées.

  • kms : DisableKey — pour vous donner la possibilité de désactiver une clé multirégionale au lieu de la supprimer.

  • kms : EnableKey — pour restaurer la fonctionnalité d'une clé multirégionale après avoir annulé sa suppression.

Vous pouvez également inclure l'autorisation de répliquer et de modifier la clé principale.

Vous pouvez inclure ces autorisations dans une politique IAM, mais la bonne pratique consiste à les placer dans une politique de clé où elles s'appliquent uniquement à la clé KMS que vous devez gérer.

Comment supprimer une clé de réplica

Vous pouvez utiliser la console AWS KMS ou l'API AWS KMS pour supprimer une clé de réplica. Vous pouvez supprimer une clé de réplica à tout moment. Cela ne dépend pas de l'état de clé d'une autre clé KMS.

Si vous supprimez par erreur une clé de réplica, vous pouvez la recréer en répliquant la même clé primaire dans la même région. La nouvelle clé de réplica que vous allez créer aura les mêmes propriétés partagées que la clé de réplica d'origine.

La procédure de suppression d'une clé de réplica multi-région est identique à celle de la suppression d'une clé à région unique.

Suppression d'une clé de réplica multi-région

  1. Planifiez la suppression de la clé de réplica. Sélectionnez une période d'attente de 7 à 30 jours. La période d'attente par défaut est de 30 jours.

  2. Pendant la période d'attente, l'état de clé de la clé de réplica passe à Pending deletion (PendingDeletion) et vous ne pouvez pas l'utiliser dans les opérations cryptographiques.

  3. Vous pouvez annuler la suppression planifiée de la clé de réplica à tout moment de la période d'attente. L'état de la clé passe à Disabled, mais vous pouvez réactiver la clé KMS.

  4. Lorsque la période d'attente expire, AWS KMS supprime la clé de réplica.

Vous pouvez afficher un enregistrement de vos actions dans votre journal AWS CloudTrail. AWS KMS enregistre les opérations qui planifient la suppression de la clé KMS et l'action qui supprime la clé KMS.

Suppression d'une clé de réplica (console)

Pour planifier la suppression d'une clé de réplica multi-région, utilisez la même procédure que vous utilisez pour planifier la suppression d'une clé à région unique.

Puisque les clés de réplica associées sont dans différentes Régions AWS, vous ne pouvez pas planifier la suppression de plusieurs clés de réplica à la fois. Pour supprimer toutes les clés de réplica associées, utilisez un modèle semblable au suivant.

Pour planifier la suppression de toutes les clés de réplica associées

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  3. Utilisez le sélecteur de région dans l'angle supérieur droit pour choisir la région de la clé principale multi-région.

  4. Choisissez l'alias ou l'ID de clé de la clé principale.

  5. Cliquez sur l'onglet Regionality (Régionalité).

  6. Dans la section Clés multi-région associées, choisissez l'ARN de clé d'une clé de réplica.

    Cette action ouvre la page de détails de la clé de réplica dans un nouvel onglet de navigateur. La console est définie sur la région de la clé de réplica.

  7. Dans le menu Key actions (Actions de clé), sélectionnez Schedule key deletion (Planifier une suppression de clé).

    Cette action démarre le processus de planification de suppression de la clé. Terminez le processus de planification de suppression de la clé. Pour plus de détails, veuillez consulter Planification et annulation d'une suppression de clé (console).

  8. Revenez à l'onglet du navigateur qui affiche l'onglet Regionality (Régionalité) de la clé principale. (Vous devrez peut-être actualiser la page pour voir l'état à jour des clés de réplica.) Choisissez l'ARN de clé d'une autre clé de réplica et répétez le processus de planification de suppression de la clé de réplica.

Suppression d'une clé de réplica (API AWS KMS)

Pour planifier la suppression d'une clé de réplique multirégionale, utilisez l'ScheduleKeyDeletionopération. Pour spécifier la clé KMS, utilisez son ID de clé ou son ARN de clé. Lorsque vous travaillez avec des clés multi-région, vous pouvez réduire l'incidence des erreurs en utilisant l'ARN de clé avec sa valeur de région explicite.

Par exemple, cette commande supprime une clé de réplica de la région us-west-2 (USA Ouest (Oregon)). Étant donné que la commande ne spécifie pas de période d'attente, la période d'attente est définie sur la valeur par défaut de 30 jours. 

$ aws kms schedule-key-deletion \
    --region us-west-2 \
    --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Lorsque la commande aboutit, elle renvoie l'ARN de clé (KeyId), la période d'attente (PendingWindowInDays), la date de suppression (DeletionDate) et l'état actuel de la clé (KeyState), qui devrait être PendingDeletion.

Lorsque vous supprimez une clé de réplica multi-région, assurez-vous de vérifier que les valeurs d'ID de clé et de région dans l'ARN de clé sont celles que vous attendez.

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
    "DeletionDate": 1599523200.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 30
}

Pour supprimer tous les réplicas d'une clé principale multi-région par programmation, créez une liste des régions qui contiennent des clés de réplica. Ensuite, pour chaque région de la liste, appelez l'opération ScheduleKeyDeletion, comme indiqué ci-dessus.

Contrairement à une clé à région unique qui est définitivement supprimée, vous pouvez restaurer une clé de réplica en répliquant la clé principale dans la région où se trouvait la clé de réplica supprimée.

Pour vérifier l'état de la clé de réplique et afficher la clé primaire et les clés de réplique d'une clé multirégionale, utilisez l'DescribeKeyopération.

Comment supprimer une clé principale

Vous pouvez planifier la suppression d'une clé principale multi-région à tout moment. Toutefois, AWS KMS ne supprimera pas une clé principale multi-région qui possède des clés de réplica, même si leur suppression est planifiée.

Pour supprimer une clé principale, vous devez planifier la suppression de toutes ses clés de réplica, puis attendre que celles-ci soient supprimées. Le délai d'attente requis pour la suppression d'une clé principale commence lorsque la dernière de ses clés de réplica est supprimée. Si vous devez supprimer une clé principale d'une région particulière sans supprimer ses clés de réplica, transformez la clé principale en clé de réplica en mettant à jour la région principale.

Si une clé principale n'a pas de clés de réplica, le processus est identique à la suppression d'une clé de réplica ou d'une clé KMS régionale.

Lorsqu'une clé principale est programmée pour la suppression, vous ne pouvez pas l'utiliser dans les opérations cryptographiques et vous ne pouvez pas la répliquer. Toutefois, à moins que leur suppression ne soit également planifiée, ses clés de réplica ne sont pas affectées.

Vous pouvez utiliser la console AWS KMS ou l'API AWS KMS pour planifier la suppression des clés principales et de réplica. Vous pouvez planifier la suppression de la clé principale avant, après ou pendant que vous planifiez la suppression des clés de réplica. Le processus peut alors se présenter comme suit.

  1. Planifiez la suppression de la clé principale. Sélectionnez une période d'attente de 7 à 30 jours. La période d'attente par défaut est de 30 jours. Toutefois, la période d'attente pour la clé principale ne commence pas tant que toutes les clés de réplica n'ont été supprimées.

    S'il existe toujours des clés de réplica, l'état de clé de la clé principale passe à Pending replica deletion (PendingReplicaDeletion). Sinon, il passe à Pending deletion (PendingDeletion). Dans les deux cas, vous ne pouvez pas utiliser la clé principale dans les opérations cryptographiques et vous ne pouvez pas la répliquer.

    La planification de la suppression d'une clé principale n'affecte pas les clés de réplica. Leur état de clé reste activé et vous pouvez les utiliser dans les opérations cryptographiques. Si les clés de réplica ne sont pas supprimées, l'état Pending replica deletion de la clé principale peut persister indéfiniment.

    KMS key:                    Key state:
Primary (us-east-1)           Pending replica deletion (waiting period 30 days -- not started)
Replica (us-west-2)           Enabled
Replica (eu-west-1)           Enabled
Replica (ap-southeast-2)      Enabled
    Planification de la suppression d'une clé principale multi-région

  2. Planifiez la suppression de chaque clé de réplica. Sélectionnez une période d'attente de 7 à 30 jours. La période d'attente par défaut est de 30 jours. Vous pouvez supprimer plusieurs clés de réplica en même temps. Leurs délais d'attente se déroulent simultanément. Pendant le délai d'attente, l'état de clé des clés de réplica passe à Pending deletion (PendingDeletion) et vous ne pouvez pas les utiliser dans les opérations cryptographiques.

    Par exemple, si vous avez trois clés de réplica, vous pouvez planifier la suppression des trois en même temps. Elles peuvent avoir les mêmes délais d'attente ou des délais d'attente différents. Notez que le délai d'attente sur la clé principale n'a pas encore commencé. Son état de clé est PendingReplicaDeletion, car elle a des clés de réplica existantes.

    KMS key:                    Key state:
Primary key (us-east-1)       Pending replica deletion (waiting period 30 days -- not started)
Replica (us-west-2)           Pending deletion (7 days)
Replica (eu-west-1)           Pending deletion (7 days)
Replica (ap-southeast-2)      Pending deletion (30 days)

  3. Vous pouvez annuler la suppression planifiée de la clé principale ou de toute clé de réplica jusqu'à ce qu'elle soit supprimée. L'état de la clé passe à Disabled, mais vous pouvez réactiver la clé KMS.

  4. Lorsque la période d'attente de la dernière clé de réplica expire, AWS KMS supprime la dernière clé de réplica. L'état de clé de la clé principale passe de Pending replica deletion (PendingReplicaDeletion) à Pending deletion (PendingDeletion) et la période d'attente de 7 à 30 jours pour la clé principale commence.

    KMS key:                    Key state:
Primary key (us-east-1)       Pending deletion (waiting period 30 days)
    Suppression de toutes les clés de réplica d'une clé multi-région

  5. Lorsque sa période d'attente expire, AWS KMS supprime la clé principale.

Le délai minimal pour supprimer une clé primaire avec des réplicas est de 14 jours.

Si vous planifiez la suppression de la clé principale et de toutes les clés de réplica avec un délai d'attente de 7 jours, les clés de réplica sont supprimées au bout de 7 jours. La clé principale est supprimée le 14e jour.

  • Jour 1 : planifiez la suppression des clés principales et de réplica avec une période d'attente minimale de 7 jours. Les périodes d'attente de suppression de 7 jours pour les clés de réplica démarrent. La période d'attente de suppression de la clé principale ne démarre pas encore.

  • Jour 7 : les périodes d'attente de suppression des clés de réplica se terminent. AWS KMS supprime toutes les clés de réplica. Lorsque la dernière clé de réplica est supprimée, la période d'attente de suppression de 7 jours pour la clé principale démarre.

  • Jour 14 : la période d'attente de suppression pour la clé principale se termine. AWS KMS supprime la clé principale.

Vous pouvez afficher un registre de vos actions dans votre journal AWS CloudTrail. AWS KMS enregistre les opérations qui planifient la suppression de chaque clé KMS et l'action qui supprime la clé KMS.

Suppression d'une clé principale (console)

Pour supprimer une clé principale multi-région, procédez comme suit.

Pour planifier une suppression de clé

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Cochez la case en regard de la clé principale que vous souhaitez supprimer. Vous pouvez également sélectionner une ou plusieurs clés KMS, y compris les réplicas de cette clé principale.

  5. Choisissez Actions de clé, Planifier une suppression de clé.

  6. Lisez et tenez compte de l'avertissement et des informations sur l'annulation de la suppression pendant la période d'attente. Si vous décidez d'annuler la suppression, choisissez Annuler.

  7. Pour Période d'attente (en jours), tapez un nombre de jours compris entre 7 et 30. Si vous avez sélectionné plusieurs clés KMS, la période d'attente que vous choisissez s'applique à toutes les clés KMS sélectionnées. La période d'attente pour les clés de réplica s'exécute simultanément, mais la période d'attente pour la clé principale ne commence pas avant que AWS KMS ne supprime la dernière des clés de réplica.

  8. Cochez la case en regard pour confirmer que cette clé doit être supprimée en <nombre de jours> jours..

  9. Choisissez Schedule deletion (Planifier la suppression).

Pour vérifier l'état de suppression de vos clés KMS, sur la page de détails de la clé principale, veuillez consulter la section General configuration (Configuration générale). L'état de la clé apparaît dans le champ Status (État). Lorsque l'état de clé de la clé principale passe à Pending deletion, la date de suppression planifiée s'affiche.

Vous pouvez également vérifier l'état de clé (Status (État)) de toutes les clés principales et de réplica dans l'onglet Regionality (Régionalité) de la page de détails d'une clé multi-région. Pour plus de détails, veuillez consulter Affichage des clés multi-régions.

Afficher plusAfficher moins

Suppression d'une clé principale (API AWS KMS)

Pour supprimer une clé de réplique multirégionale, utilisez l'ScheduleKeyDeletionopération. Pour spécifier la clé KMS, utilisez son ID de clé ou son ARN de clé. Lorsque vous travaillez avec des clés multi-région, vous pouvez réduire l'incidence des erreurs en utilisant l'ARN de clé avec sa valeur de région explicite.

Par exemple, cette commande supprime une clé principale de la région us-east-1 (USA Est (Virginie du Nord). Étant donné que la commande ne spécifie pas de période d'attente, la période d'attente est définie sur la valeur par défaut de 30 jours. 

$ aws kms schedule-key-deletion \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Lorsque la commande aboutit, elle renvoie l'ARN de clé, l'état de la clé résultant et la période d'attente (PendingWindowInDays).

Si la clé principale n'a pas de réplicas, l'état de la clé principale est PendingDeletion et la sortie inclut le champ DeletionDate. Si des clés de réplica sont conservées, l'état de la clé principale est PendingReplicaDeletion et DeletionDate est omis, car il est incertain. Même si les clés de réplica sont également planifiées pour la suppression, vous pouvez annuler la suppression planifiée.

Lorsque vous supprimez une clé principale multi-région, assurez-vous de vérifier que les valeurs d'ID de clé et de région dans l'ARN de clé sont celles que vous attendez.

{
    "KeyId": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
    "KeyState": "PendingReplicaDeletion",
    "PendingWindowInDays": 30
}

Pour vérifier l'état de suppression de vos clés KMS, utilisez l'DescribeKeyopération sur la clé primaire ou sur toute clé de réplique restante. La période d'attente pour la clé principale ne démarre pas tant que le dernier réplica n'est pas supprimé et que l'état de la clé n'est passé à PendingDeletion.

Pour calculer la date de suppression attendue de la clé principale, parcourez les ARN de clé de réplica dans la réponse, exécutez DescribeKey sur chacun d'eux, obtenez les dernières valeurs DeletionDate, puis ajoutez la valeur PendingDeletionWindowInDays pour la clé principale. Les périodes d'attente pour les clés de réplica s'exécutent simultanément.

Dans l'exemple suivant, la clé KMS est une clé principale multi-région avec des clés de réplica existantes. Puisque l'état de la clé est PendingReplicaDeletion, la réponse inclut la période d'attente (PendingWindowInDays), mais pas la DeletionDate. La date de suppression réelle de la clé principale dépend du moment où les clés de réplica sont supprimées.

$ aws kms describe-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1597902361.481,
        "Enabled": false,
        "Description": "",
        "KeySpec": "SYMMETRIC_DEFAULT",        
        "KeyState": "PendingReplicaDeletion",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "us-west-2"
                },
{
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                }
            ]
        },
        "PendingDeletionWindowInDays": 30
    }
}

Lorsque tous les réplicas sont supprimés, la sortie DescribeKey affiche la clé principale restante avec un état de clé PendingDeletion. Alors que l'état de la clé est PendingDeletion, le champ DeletionDate apparaît à la place du champ PendingWindowInDays.

$ aws kms describe-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "",
        "CreationDate": 1597902361.481,
        "Enabled": false,
        "Description": "",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "PendingDeletion",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "DeletionDate": 1597968000.0,
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": []
        }
    }
}
Afficher plusAfficher moins