翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を削除する AWS KMS key
<a name="deleting-keys"></a>

の削除 AWS KMS key は破壊的であり、潜在的に危険です。これは、キーマテリアルと KMS キーに関連付けられているすべてのメタデータを削除し、元に戻すことはできません。KMS キーを削除すると、その KMS キーで暗号化されたデータを復号できなくなります。これは、そのデータが回復不能になることを意味します。(唯一の例外は、[マルチリージョンのレプリカキー](#deleting-mrks)と、キーマテリアルを含む非対称キーと HMAC KMS キーです。) このリスクは、[暗号化に使用される非対称 KMS キー](#deleting-asymmetric-cmks)では重要です。この場合、警告やエラーなしに、ユーザーはパブリックキーを使用して暗号化テキストを生成し続け、プライベートキーの削除後に復号することはできません AWS KMS。

KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。不明な場合は、削除するのではなく、[KMS キーを無効化する](enabling-keys.md)ことを検討します。無効にした KMS キーを再度有効にしたり、KMS キーの[削除のスケジュールをキャンセル](deleting-keys-scheduling-key-deletion.md)したりすることは可能ですが、すでに削除した KMS キーを復元することはできません。

スケジュールできるのは、カスタマーマネージドキーの削除のみです。 AWS マネージドキー または は削除できません AWS 所有のキー。

KMS キーを削除する前に、その KMS キーで暗号化された暗号文の数を知りたい場合があります。 AWS KMS はこの情報を保存せず、暗号文も保存しません。この情報を取得するには、KMS キーの過去の使用状況を特定する必要があります。ヘルプについては、[KMS キーの過去の使用状況を確認する](deleting-keys-determining-usage.md) を参照してください。

AWS KMS 削除を明示的にスケジュールし、必須の待機期間が終了しない限り、 は KMS キーを削除しません。

KMS キーを削除する理由には次の 1 つ以上のものが考えられます。
+ 不要になった KMS キーのキーライフサイクルを完了する
+ 使用しない KMS キーの維持に伴う管理オーバーヘッドと[コスト](https://aws.amazon.com/kms/pricing/)を回避する
+ [KMS キーリソースクォータ](resource-limits.md#kms-keys-limit)に対してカウントされる KMS キーの数を減らすには

**注記**  
[を閉じる AWS アカウント](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)と、KMS キーにアクセスできなくなり、課金されなくなります。

AWS KMS は、KMS キー[の削除をスケジュール](ct-schedule-key-deletion.md)したとき、および [KMS キーが実際に削除](ct-delete-key.md)されたときに AWS CloudTrail 、ログにエントリを記録します。

## 待機期間について
<a name="deleting-keys-how-it-works"></a>

KMS キーの削除は破壊的で潜在的に危険であるため、 では 7～30 日間の待機期間を設定 AWS KMS する必要があります。デフォルトの待機時間は、30 日です。

ただし、実際の待機期間は、スケジュールした待機期間よりも最大 24 時間長くなる場合があります。KMS キーが削除される実際の日付と時刻を取得するには、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用します。または、 AWS KMS コンソール、KMS キーの[詳細ページ](finding-keys.md#viewing-console-details)、[**General configuration**] (一般的な設定) セクションで、**スケジュールされた削除の日付**を参照してください。必ずタイムゾーンをメモしておきます。

削除の待機期間中は、KMS キーステータスおよびキーの状態が**削除保留中**になります。
+ 削除保留中の KMS キーを[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で使用することはできません。
+ AWS KMS は[、削除保留中の KMS キーのキーマテリアルをローテーション](rotate-keys.md#rotate-keys-how-it-works)しません。

待機期間が終了すると、 は KMS キー、そのエイリアス、および関連するすべての AWS KMS メタデータ AWS KMS を削除します。

KMS キーの削除をスケジュールしても、KMS キーで暗号化されたデータキーに、ただちに影響しない場合もあります。詳細については、「[使用できない KMS キーがデータキーに及ぼす影響](unusable-kms-keys.md)」を参照してください。

待機期間を設定することにより、KMS キーが不要であり、今後も使用することがないことを確認できます。待機期間中にユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するように [Amazon CloudWatch アラームを設定](deleting-keys-creating-cloudwatch-alarm.md)できます。KMS キーを復元するには、待機期間の終了前にキーの削除をキャンセルします。待機期間が終了すると、キーの削除をキャンセルできず、 は KMS キー AWS KMS を削除します。

## 特別な考慮事項
<a name="special-considerations-delete"></a>

キー削除をスケジュールする前に、特定用途向けの KMS キーの削除に関する以下の注意事項を確認してください。

** 非対称 KMS キーの削除**  
[認可されたユーザー](deleting-keys-adding-permission.md)は、対称または非対称 KMS キーを削除できます。これらの KMS キーの削除をスケジュールする手順は、どちらの種類のキーも同じです。ただし、[非対称 KMS キーのパブリックキーは の外部でダウンロード](download-public-key.md)して使用できるため AWS KMS、特に暗号化に使用される非対称 KMS キー (キーの用途は ) の場合、オペレーションには大きなリスクが伴います`ENCRYPT_DECRYPT`。  
+ KMS キーの削除をスケジュールすると、KMS キーのキーステータスが**削除保留中**に変わり、KMS キーを[暗号化オペレーション](kms-cryptography.md#cryptographic-operations)で使用できなくなります。ただし、削除をスケジュールしても、 外のパブリックキーには影響しません AWS KMS。パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。キーの状態が変更されたという通知は受信しません。削除がキャンセルされない限り、パブリックキーで作成された暗号文は復号できません。
+ 削除保留中の KMS キーを使用する試みを検出するアラーム、ログ、その他の戦略では、 AWS KMSの外部でのパブリックキーの使用は検出できません。
+ KMS キーが削除されると、その KMS キーを含むすべての AWS KMS アクションは失敗します。ただし、パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。これらの暗号文は復号できません。
キーの使用方法が `ENCRYPT_DECRYPT` である非対称 KMS キーを削除する必要がある場合は、CloudTrail ログエントリを使用して、パブリックキーがダウンロードおよび共有されているかどうかを確認します。完了している場合は、パブリックキーが AWS KMSの外部で使用されていないことを確認します。次に、削除するのではなく、[KMS キーを無効にする](enabling-keys.md)ことを検討します。  
非対称 KMS キーの削除によって生じるリスクは、インポートされたキーマテリアルを含む非対称 KMS キーであれば軽減されます。　 詳細については、「[Deleting KMS keys with imported key material](#import-delete-key)」を参照してください。

** マルチリージョンキーの削除**  
プライマリキーを削除するには、すべてのレプリカキーの削除をスケジュールし、レプリカキーが削除されるまで待機する必要があります。プライマリキーの削除に必要な待機時間は、最後のレプリカキーが削除された時点から始まります。レプリカキーを削除せずに特定のリージョンからプライマリキーを削除する必要がある場合は、[プライマリリージョンの更新](multi-region-update.md)を使用して、プライマリキーをレプリカキーに変更します。  
レプリカキーはいつでも削除することができます。これは、他の KMS キーのキーステータスに依存しません。誤ってレプリカキーを削除した場合は、同じリージョンで同じプライマリキーをレプリケートすることで再度作成できます。作成した新しいレプリカキーは、元のレプリカキーと同じ[共有プロパティ](multi-region-keys-overview.md#mrk-sync-properties)を有します。

** インポートされたキーマテリアルを含む KMS キーの削除**  
キーマテリアルがインポートされた KMS キーのキーマテリアルの削除は一時的で、元に戻すことができます。キーを復元するには、キーマテリアルを再インポートします。  
一方、KMS キーの削除は破棄できません。[キーの削除をスケジュール](#deleting-keys-how-it-works)し、必要な待機期間が終了すると、 は KMS キー、そのキーマテリアル、および KMS キーに関連付けられたすべてのメタデータを AWS KMS 永続的および元に戻すことなく削除します。  
ただし、キーマテリアルがインポートされた KMS キーを削除した場合のリスクと結果は、KMS キーのタイプ (「キー仕様」) によって異なります。  
+ 対称暗号化キー – 対称暗号化 KMS キーを削除すると、そのキーで暗号化された残りの暗号文はすべて回復できなくなります。同じキーマテリアルを使用しても、削除された対称暗号化 KMS キーの暗号文を復号できる新しい対称暗号化 KMS キーを作成することはできません。各 KMS キーに固有のメタデータは、各対称暗号文に暗号的にバインドされます。このセキュリティ機能により、対称暗号文を暗号化した KMS キーのみで復号できることが保証されますが、同等の KMS キーを再作成することができなくなっています。
+ 非対称キーと HMAC キー — 元のキーマテリアルがある場合は、削除された非対称キーまたは HMAC KMS キーと同じ暗号化プロパティを持つ新しい KMS キーを作成できます。 は、一意のセキュリティ機能を含まない標準の RSA 暗号文と署名、ECC 署名、および HMAC タグ AWS KMS を生成します。また、HMAC キーまたは非対称キーペアのプライベートキーを AWSの外部で使用できます。

  同じ非対称キーマテリアルまたは HMAC キーマテリアルを使用して作成した新しい KMS キーには、異なるキー識別子が割り当てられます。新しいキーポリシーを作成し、エイリアスをすべて再作成し、新しいキーを参照するように既存の IAM ポリシーとアクセス許可を更新する必要があります。

**キーストアからの KMS AWS CloudHSM キーの削除**  
 AWS CloudHSM キーストアからの KMS キーの削除をスケジュールすると、[そのキーの状態](key-state.md)は**削除保留中**に変わります。KMS キーは、[カスタムキーストアの切断](disconnect-keystore.md)によって KMS キーが使用できなくなった場合でも、待期期間中を通して**削除保留中**ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。  
待機期間が終了すると、 は KMS キー AWS KMS を削除します AWS KMS。次に AWS KMS 、 は、関連付けられた AWS CloudHSM クラスターからキーマテリアルを削除するために最善を尽くします。キーストアが AWS KMSから切断されるなど、 AWS KMS でキーマテリアルを削除できない場合は、クラスターから手動で[孤立したキーマテリアルを削除](fix-keystore.md#fix-keystore-orphaned-key)できます。  
AWS KMS は、クラスターバックアップからキーマテリアルを削除しません。から KMS キーを削除 AWS KMS し、そのキーマテリアルを AWS CloudHSM クラスターから削除した場合でも、バックアップから作成されたクラスターには削除されたキーマテリアルが含まれている可能性があります。キーマテリアルを恒久的に削除するには、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用してその KMS キーの作成日を特定します。次に、キーのマテリアルを含む可能性のある [すべてのクラスタバックアップを削除します](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html) 。  
 AWS CloudHSM キーストアからの KMS キーの削除をスケジュールすると、KMS キーはすぐに使用できなくなります (結果整合性の影響を受ける）。ただし、KMS キーで保護された[データキー](data-keys.md)で暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービスに影響します。その多くは、データキーを使用してリソースを保護します。詳細については、「[使用できない KMS キーがデータキーに及ぼす影響](unusable-kms-keys.md)」を参照してください。

** 外部キーストアからの KMS キーの削除**  
外部キーストアから KMS キーを削除しても、キーマテリアルとして使用されていた[外部キー](keystore-external.md#concept-external-key)には影響しません。  
外部キーストアの KMS キーの削除をスケジュールすると、[キーステータス](key-state.md)が**[Pending deletion]** (削除保留中) に変わります。KMS キーは、[外部キーストアの切断](xks-connect-disconnect.md)によって KMS キーが使用できなくなった場合でも、待期期間中を通して**[Pending deletion]** (削除保留中) ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。待機期間が終了すると、 は KMS キー AWS KMS を削除します AWS KMS。  
外部キーストアの KMS キーの削除をスケジュールすると、その KMS キーは直ちに使用できなくなります (結果整合性の影響を受けます)。ただし、KMS キーで保護された[データキー](data-keys.md)で暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「[使用できない KMS キーがデータキーに及ぼす影響](unusable-kms-keys.md)」を参照してください。