Menghapus kunci - AWS Kriptografi Pembayaran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghapus kunci

Menghapus kunci Kriptografi AWS Pembayaran menghapus materi kunci dan semua metadata yang terkait dengan kunci dan tidak dapat diubah kecuali salinan kunci tersedia di luar Kriptografi Pembayaran. AWS Setelah kunci dihapus, Anda tidak dapat lagi mendekripsi data yang dienkripsi di bawah kunci itu, yang berarti bahwa data mungkin menjadi tidak dapat dipulihkan. Anda harus menghapus kunci hanya ketika Anda yakin bahwa Anda tidak perlu menggunakannya lagi dan tidak ada pihak lain yang menggunakan kunci ini. Jika Anda tidak yakin, pertimbangkan untuk menonaktifkan kunci alih-alih menghapusnya. Anda dapat mengaktifkan kembali kunci yang dinonaktifkan jika Anda perlu menggunakannya lagi nanti, tetapi Anda tidak dapat memulihkan kunci Kriptografi AWS Pembayaran yang dihapus kecuali Anda dapat mengimpornya kembali dari sumber lain.

Sebelum menghapus kunci, Anda harus memastikan bahwa Anda tidak lagi membutuhkan kunci. AWS Kriptografi Pembayaran tidak menyimpan hasil operasi kriptografi seperti CVV2 dan tidak dapat menentukan apakah kunci diperlukan untuk materi kriptografi yang persisten.

AWS Kriptografi Pembayaran tidak pernah menghapus kunci milik AWS akun aktif kecuali Anda secara eksplisit menjadwalkannya untuk dihapus dan masa tunggu wajib berakhir.

Namun, Anda dapat memilih untuk menghapus kunci Kriptografi AWS Pembayaran karena satu atau beberapa alasan berikut:

  • Untuk menyelesaikan siklus hidup kunci untuk kunci yang tidak lagi Anda perlukan

  • Untuk menghindari overhead manajemen yang terkait dengan pemeliharaan kunci Kriptografi AWS Pembayaran yang tidak digunakan

catatan

Jika Anda menutup atau menghapus Akun AWS, kunci Kriptografi AWS Pembayaran Anda menjadi tidak dapat diakses. Anda tidak perlu menjadwalkan penghapusan kunci Kriptografi AWS Pembayaran Anda terpisah dari penutupan akun.

AWS Kriptografi Pembayaran mencatat entri di AWS CloudTraillog Anda ketika Anda menjadwalkan penghapusan kunci Kriptografi AWS Pembayaran dan ketika kunci Kriptografi AWS Pembayaran benar-benar dihapus.

Tentang masa tunggu

Karena menghapus kunci tidak dapat diubah, Kriptografi AWS Pembayaran mengharuskan Anda untuk menetapkan masa tunggu antara 3-180 hari. Masa tunggu default adalah tujuh hari.

Namun, masa tunggu sebenarnya mungkin hingga 24 jam lebih lama dari yang Anda jadwalkan. Untuk mendapatkan tanggal dan waktu aktual ketika kunci Kriptografi AWS Pembayaran akan dihapus, gunakan GetKey operasi. Pastikan untuk mencatat zona waktu.

Selama masa tunggu, status kunci Kriptografi AWS Pembayaran dan status kunci adalah Penghapusan tertunda.

Setelah masa tunggu berakhir, Kriptografi AWS Pembayaran menghapus kunci Kriptografi AWS Pembayaran, aliasnya, dan semua metadata Kriptografi Pembayaran terkait AWS .

Gunakan masa tunggu untuk memastikan bahwa Anda tidak memerlukan kunci Kriptografi AWS Pembayaran sekarang atau di masa depan. Jika Anda menemukan bahwa Anda membutuhkan kunci selama masa tunggu, Anda dapat membatalkan penghapusan kunci sebelum masa tunggu berakhir. Setelah masa tunggu berakhir, Anda tidak dapat membatalkan penghapusan kunci, dan layanan menghapus kunci.

Contoh

    Dalam contoh ini, kunci diminta untuk dihapus. Selain informasi kunci dasar, dua bidang yang relevan adalah bahwa status kunci telah diubah menjadi DELETE_PENDING dan deletePendingTimestamp mewakili kapan kunci saat ini dijadwalkan untuk dihapus.

    $ aws payment-cryptography delete-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "0A3674", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "DELETE_PENDING", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00", "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00" } }

    Dalam contoh ini, penghapusan yang tertunda dibatalkan. Setelah berhasil diselesaikan, kunci tidak akan lagi dihapus sesuai jadwal sebelumnya. Respons berisi informasi kunci dasar; selain itu, dua bidang yang relevan telah berubah - KeyState dandeletePendingTimestamp. KeyStatedikembalikan ke nilai CREATE_COMPLETE, sementara DeletePendingTimestamp dihapus.

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "0A3674", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00" } }