を削除する AWS KMS key - AWS Key Management Service
待機期間について特別な考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を削除する AWS KMS key

の削除 AWS KMS key は破壊的であり、潜在的に危険です。これは、キーマテリアルと KMS キーに関連付けられているすべてのメタデータを削除し、元に戻すことはできません。KMS キーを削除すると、その KMS キーで暗号化されたデータを復号できなくなります。これは、そのデータが回復不能になることを意味します。(唯一の例外は、マルチリージョンのレプリカキーと、キーマテリアルを含む非対称キーと HMAC KMS キーです。) このリスクは、暗号化に使用される非対称 KMS キーで、警告やエラーなしに、ユーザーが引き続きパブリックキーを使用して暗号化テキストを生成し、プライベートキーの削除後に復号化できない場合に重要です AWS KMS。

KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。不明な場合は、削除するのではなく、KMS キーを無効化することを検討します。無効にした KMS キーを再度有効にしたり、KMS キーの削除のスケジュールをキャンセルしたりすることは可能ですが、すでに削除した KMS キーを復元することはできません。

スケジュールできるのは、カスタマーマネージドキーの削除のみです。 AWS マネージドキー または は削除できません AWS 所有のキー。

KMS キーを削除する前に、その KMS キーで暗号化された暗号文の数を知りたい場合があります。 AWS KMS はこの情報を保存せず、暗号文も保存しません。この情報を取得するには、KMS キーの過去の使用状況を特定する必要があります。ヘルプについては、KMS キーの過去の使用状況を確認する を参照してください。

AWS KMS 明示的に削除をスケジュールし、必須の待機期間が終了しない限り、 は KMS キーを削除しません。

KMS キーを削除する理由には次の 1 つ以上のものが考えられます。

  • 不要になった KMS キーのキーライフサイクルを完了する

  • 使用しない KMS キーの維持に伴う管理オーバーヘッドとコストを回避する

  • KMS キーリソースクォータに対してカウントされる KMS キーの数を減らすには

注記

を閉じる AWS アカウントと、KMS キーにアクセスできなくなり、課金されなくなります。

AWS KMS は、KMS キーの削除をスケジュールするとき、および KMS キーが実際に削除されたときに AWS CloudTrail 、ログにエントリを記録します。

待機期間について

KMS キーの削除は破壊的であり、潜在的に危険であるため、 AWS KMS では 7~30 日間の待機期間を設定する必要があります。デフォルトの待機時間は、30 日です。

ただし、実際の待機期間は、スケジュールした待機期間よりも最大 24 時間長くなる場合があります。KMS キーが削除される実際の日付と時刻を取得するには、DescribeKey オペレーションを使用します。または、 AWS KMS コンソール、KMS キーの詳細ページ、[General configuration] (一般的な設定) セクションで、スケジュールされた削除の日付を参照してください。必ずタイムゾーンをメモしておきます。

削除の待機期間中は、KMS キーステータスおよびキーの状態が削除保留中になります。

待機期間が終了すると、 は KMS キー、そのエイリアス、および関連するすべての AWS KMS メタデータ AWS KMS を削除します。

KMS キーの削除をスケジュールしても、KMS キーで暗号化されたデータキーに、ただちに影響しない場合もあります。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

待機期間を設定することにより、KMS キーが不要であり、今後も使用することがないことを確認できます。待機期間中にユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するように Amazon CloudWatch アラームを設定できます。KMS キーを復元するには、待機期間の終了前にキーの削除をキャンセルします。待機期間が終了すると、キーの削除をキャンセルできず、 は KMS キー AWS KMS を削除します。

特別な考慮事項

キー削除をスケジュールする前に、特定用途向けの KMS キーの削除に関する以下の注意事項を確認してください。

非対称 KMS キーの削除

認可されたユーザーは、対称または非対称 KMS キーを削除できます。これらの KMS キーの削除をスケジュールする手順は、どちらの種類のキーも同じです。ただし、非対称 KMS キーのパブリックキーは の外部でダウンロードして使用できるため AWS KMS、特に暗号化に使用される非対称 KMS キー (キーの用途は ) では、オペレーションには大きなリスクが伴いますENCRYPT_DECRYPT

  • KMS キーの削除をスケジュールすると、KMS キーのキーステータスが削除保留中に変わり、KMS キーを暗号化オペレーションで使用できなくなります。ただし、削除をスケジュールしても、 外のパブリックキーには影響しません AWS KMS。パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。キーの状態が変更されたという通知は受信しません。削除がキャンセルされない限り、パブリックキーで作成された暗号文は復号できません。

  • 削除保留中の KMS キーを使用する試みを検出するアラーム、ログ、その他の戦略では、 AWS KMSの外部でのパブリックキーの使用は検出できません。

  • KMS キーが削除されると、その KMS キーに関連するすべての AWS KMS アクションは失敗します。ただし、パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。これらの暗号文は復号できません。

キーの使用方法が ENCRYPT_DECRYPT である非対称 KMS キーを削除する必要がある場合は、CloudTrail ログエントリを使用して、パブリックキーがダウンロードおよび共有されているかどうかを確認します。完了している場合は、パブリックキーが AWS KMSの外部で使用されていないことを確認します。次に、削除するのではなく、KMS キーを無効にすることを検討します。

非対称 KMS キーの削除によって生じるリスクは、インポートされたキーマテリアルを含む非対称 KMS キーであれば軽減されます。  詳細については、「Deleting KMS keys with imported key material」を参照してください。

マルチリージョンキーの削除

プライマリキーを削除するには、すべてのレプリカキーの削除をスケジュールし、レプリカキーが削除されるまで待機する必要があります。プライマリキーの削除に必要な待機時間は、最後のレプリカキーが削除された時点から始まります。レプリカキーを削除せずに特定のリージョンからプライマリキーを削除する必要がある場合は、プライマリリージョンの更新を使用して、プライマリキーをレプリカキーに変更します。

レプリカキーはいつでも削除することができます。これは、他の KMS キーのキーステータスに依存しません。誤ってレプリカキーを削除した場合は、同じリージョンで同じプライマリキーをレプリケートすることで再度作成できます。作成した新しいレプリカキーは、元のレプリカキーと同じ共有プロパティを有します。

インポートされたキーマテリアルを含む KMS キーの削除

キーマテリアルがインポートされた KMS キーのキーマテリアルの削除は一時的で、元に戻すことができます。キーを復元するには、キーマテリアルを再インポートします。

一方、KMS キーの削除は破棄できません。キーの削除をスケジュールし、必要な待機期間が終了すると、 は KMS キー、そのキーマテリアル、および KMS キーに関連付けられたすべてのメタデータ AWS KMS を完全に元に戻すことなく削除します。

ただし、キーマテリアルがインポートされた KMS キーを削除した場合のリスクと結果は、KMS キーのタイプ (「キー仕様」) によって異なります。

  • 対称暗号化キー – 対称暗号化 KMS キーを削除すると、そのキーで暗号化された残りの暗号文はすべて回復できなくなります。同じキーマテリアルを使用しても、削除された対称暗号化 KMS キーの暗号文を復号できる新しい対称暗号化 KMS キーを作成することはできません。各 KMS キーに固有のメタデータは、各対称暗号文に暗号的にバインドされます。このセキュリティ機能により、対称暗号文を暗号化した KMS キーのみで復号できることが保証されますが、同等の KMS キーを再作成することができなくなっています。

  • 非対称キーと HMAC キー — 元のキーマテリアルがある場合は、削除された非対称キーまたは HMAC KMS キーと同じ暗号化プロパティを使用して新しい KMS キーを作成できます。 は、一意のセキュリティ機能を含まない標準の RSA 暗号文と署名、ECC 署名、および HMAC タグ AWS KMS を生成します。また、HMAC キーまたは非対称キーペアのプライベートキーを AWSの外部で使用できます。

    同じ非対称キーマテリアルまたは HMAC キーマテリアルを使用して作成した新しい KMS キーには、異なるキー識別子が割り当てられます。新しいキーポリシーを作成し、エイリアスをすべて再作成し、新しいキーを参照するように既存の IAM ポリシーとアクセス許可を更新する必要があります。

キーストアからの KMS AWS CloudHSM キーの削除

AWS CloudHSM キーストアから KMS キーの削除をスケジュールすると、そのキーの状態削除保留中に変わります。KMS キーは、カスタムキーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して削除保留中ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。

待機期間が終了すると、 は KMS キー AWS KMS を削除します AWS KMS。次に AWS KMS 、 は、関連付けられた AWS CloudHSM クラスターからキーマテリアルを削除するために最善を尽くします。キーストアが AWS KMSから切断されるなど、 AWS KMS でキーマテリアルを削除できない場合は、クラスターから手動で孤立したキーマテリアルを削除できます。

AWS KMS は、クラスターバックアップからキーマテリアルを削除しません。から KMS キーを削除 AWS KMS し、そのキーマテリアルを AWS CloudHSM クラスターから削除した場合でも、バックアップから作成されたクラスターには削除されたキーマテリアルが含まれている可能性があります。キーマテリアルを恒久的に削除するには、DescribeKey オペレーションを使用してその KMS キーの作成日を特定します。次に、キーのマテリアルを含む可能性のある すべてのクラスタバックアップを削除します

AWS CloudHSM キーストアから KMS キーの削除をスケジュールすると、KMS キーはすぐに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービスに影響します。その多くは、データキーを使用してリソースを保護します。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

外部キーストアからの KMS キーの削除

外部キーストアから KMS キーを削除しても、キーマテリアルとして使用されていた外部キーには影響しません。

外部キーストアの KMS キーの削除をスケジュールすると、キーステータス[Pending deletion] (削除保留中) に変わります。KMS キーは、外部キーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して[Pending deletion] (削除保留中) ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。待機期間が終了すると、 は KMS キー AWS KMS を削除します AWS KMS。

外部キーストアの KMS キーの削除をスケジュールすると、その KMS キーは直ちに使用できなくなります (結果整合性の影響を受けます)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。