Suppression des clés - AWS Cryptographie des paiements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suppression des clés

La suppression d'une clé de chiffrement de AWS paiement supprime le contenu de la clé et toutes les métadonnées associées à la clé et est irréversible, sauf si une copie de la clé est disponible en dehors de la cryptographie des AWS paiements. Une fois qu'une clé est supprimée, vous ne pouvez plus déchiffrer les données chiffrées sous cette clé, ce qui signifie que les données peuvent devenir irrécupérables. Vous ne devez supprimer une clé que lorsque vous êtes certain de ne plus avoir besoin de l'utiliser et qu'aucune autre personne n'utilise cette clé. En cas de doute, pensez à désactiver la clé au lieu de la supprimer. Vous pouvez réactiver une clé désactivée si vous devez la réutiliser ultérieurement, mais vous ne pouvez pas récupérer une clé de chiffrement des AWS paiements supprimée à moins de pouvoir la réimporter depuis une autre source.

Avant de supprimer une clé, assurez-vous que vous n'en avez plus besoin. AWS La cryptographie des paiements ne stocke pas les résultats des opérations cryptographiques CVV2 et n'est pas en mesure de déterminer si une clé est nécessaire pour tout matériel cryptographique persistant.

AWS La cryptographie des paiements ne supprime jamais les clés appartenant à AWS des comptes actifs, sauf si vous planifiez explicitement leur suppression et que le délai d'attente obligatoire expire.

Toutefois, vous pouvez choisir de supprimer une clé AWS de chiffrement des paiements pour une ou plusieurs des raisons suivantes :

  • Pour terminer le cycle de vie d'une clé dont vous n'avez plus besoin

  • Pour éviter les frais de gestion associés à la gestion des clés de chiffrement des AWS paiements non utilisées

Note

Si vous fermez ou supprimez votre Compte AWS, votre clé AWS de cryptographie de paiement devient inaccessible. Il n'est pas nécessaire de planifier la suppression de votre clé de chiffrement des AWS paiements indépendamment de la fermeture du compte.

AWS Payment Cryptography enregistre une entrée dans votre AWS CloudTrailjournal lorsque vous planifiez la suppression de la clé cryptographique des AWS paiements et lorsque la clé de cryptographie des AWS paiements est effectivement supprimée.

À propos de la période d'attente

La suppression d'une clé étant irréversible, AWS Payment Cryptography vous oblige à définir un délai d'attente compris entre 3 et 180 jours. Le délai d'attente par défaut est de sept jours.

Cependant, la période d'attente réelle peut être jusqu'à 24 heures plus longue celle que vous avez planifiée. Pour obtenir la date et l'heure réelles auxquelles la clé AWS de cryptographie de paiement sera supprimée, utilisez les GetKey opérations. Assurez-vous de noter le fuseau horaire.

Pendant la période d'attente, le statut de la clé AWS de chiffrement des paiements et l'état de la clé sont En attente de suppression.

Note

Une clé AWS de chiffrement de paiement en attente de suppression ne peut être utilisée dans aucune opération cryptographique.

Une fois la période d'attente terminée, AWS Payment Cryptography supprime la clé de cryptographie des AWS paiements, ses alias et toutes les métadonnées associées à AWS la cryptographie des paiements.

Utilisez le délai d'attente pour vous assurer que vous n'avez pas besoin de la clé AWS de chiffrement des paiements, ni maintenant ni dans le futur. Si vous constatez que vous avez besoin de la clé pendant la période d'attente, vous pouvez annuler la suppression de la clé avant la fin de la période d'attente. Une fois la période d'attente terminée, vous ne pouvez pas annuler la suppression de la clé, et le service supprime la clé.

Exemples

    Dans cet exemple, il est demandé de supprimer une clé. Outre les informations clés de base, deux champs pertinents indiquent que l'état de la clé a été changé en DELETE _ PENDING et indique deletePendingTimestamp le moment où la suppression de la clé est actuellement planifiée.

    $ aws payment-cryptography delete-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "DELETE_PENDING", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00", "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00" } }

    Dans cet exemple, une suppression en attente est annulée. Une fois l'opération terminée avec succès, aucune clé ne sera supprimée conformément au calendrier précédent. La réponse contient les informations clés de base ; en outre, deux champs pertinents ont été modifiés : KeyState etdeletePendingTimestamp. KeyStateest renvoyé à une valeur de CREATE _COMPLETE, tandis qu'DeletePendingTimestampil est supprimé.

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00" } }