Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Pianificazione dell'eliminazione di chiavi KMS da un archivio delle chiavi esterne
Quando si ha la certezza che non si avrà più bisogno di utilizzare una determinata AWS KMS key per le operazioni di crittografia, è possibile pianificare l'eliminazione della chiave KMS. Per farlo, utilizza la stessa procedura che utilizzeresti per programmare l'eliminazione di qualsiasi chiave KMS da AWS KMS. L'eliminazione di una chiave KMS da un archivio delle chiavi esterne non ha alcun effetto sulla chiave esterna utilizzata come materiale della chiave.
Puoi annullare l'eliminazione pianificata di una chiave KMS durante il periodo di attesa obbligatorio, tuttavia una chiave KMS eliminata non è più recuperabile. Non puoi ricreare una chiave KMS di crittografia simmetrica in un archivio delle chiavi esterne, anche se utilizzi la stessa chiave esterna. Poiché ogni chiave KMS simmetrica in un archivio delle chiavi esterne presenta materiali della chiave di AWS KMS e metadati univoci, solo la chiave di AWS KMS che ha crittografato un testo criptato simmetrico può decrittografarlo.
avvertimento
L'eliminazione di una chiave KMS è un'operazione distruttiva e potenzialmente pericolosa che impedisce il recupero di tutti i dati crittografati con la chiave KMS. Prima di pianificare l'eliminazione della chiave KMS, esamina l'utilizzo passato della chiave KMS e crea un CloudWatch allarme Amazon che ti avvisi quando qualcuno tenta di utilizzare la chiave KMS mentre è in attesa di eliminazione. Quando possibile, disabilita la chiave KMS anziché eliminarla.
Se pianifichi l'eliminazione di una chiave KMS da un archivio delle chiavi esterne, il relativo stato chiave diventa Pending deletion (Eliminazione in attesa). La chiave KMS rimane nello stato Pending deletion (Eliminazione in attesa) durante l'intero periodo di attesa, anche se la chiave KMS non è più disponibile dopo la disconnessione dell'archivio delle chiavi esterne. Ciò consente di annullare l'eliminazione della chiave KMS in qualsiasi momento durante il periodo di attesa. Alla scadenza del periodo di attesa, AWS KMS elimina la chiave KMS da AWS KMS.
Quando pianifichi l'eliminazione di una chiave KMS da un archivio delle chiavi esterne, la chiave KMS diventa immediatamente inutilizzabile (in base alla coerenza finale). Tuttavia, le risorse crittografate con chiavi di dati protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi In che modo le chiavi inutilizzabili influiscono sulle chiavi dati KMS.
Puoi monitorare la pianificazione, la cancellazione e l'eliminazione della chiave KMS nei log di AWS CloudTrail.
