インポートされたキーマテリアルを削除する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インポートされたキーマテリアルを削除する

インポートされたキーマテリアルは、KMS キーからいつでも削除できます。また、有効期限のあるインポートされたキーマテリアルが期限切れになると、AWS KMS はキーマテリアルを削除します。どちらの場合も、キーマテリアルが削除されると、KMS キーのキーステータスがインポート保留中に変わり、同じキーマテリアルを再インポートするまで、KMS キーを暗号化オペレーションで使用することはできません。(別のキーマテリアルを KMS キーにインポートすることはできません)。

KMS キーの無効化とアクセス許可の取り消しに加えて、キーマテリアルの削除は、KMS キーの使用をすぐに、しかし一時的に停止する戦略として使用できます。これとは対照的に、キーマテリアルがインポートされた KMS キーの削除をスケジュールすることでも、KMS キーの使用をすぐに停止できます。ただし、待機期間中に削除をキャンセルしないと、KMS キー、キーマテリアル、およびすべてのキーメタデータは完全に削除されます。詳細については、「Deleting KMS keys with imported key material」を参照してください。

キーマテリアルを削除するには、AWS KMS コンソールまたは DeleteImportedKeyMaterial API オペレーションを使用できます。AWS KMS は、インポートしたキーマテリアルを削除したり期限切れのキーマテリアルが AWS KMS によって削除されたりすると、AWS CloudTrail ログにエントリを記録します。

キーマテリアルの削除が AWS サービスに及ぼす影響

キーマテリアルを削除すると、キーマテリアルを持たない KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

AWS KMS コンソールを使用して、キーマテリアルを削除できます。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. 次のいずれかを行います。

    • キーマテリアルがインポートされた KMS キーのチェックボックスをオンにします。[キーのアクション]、[キーマテリアルの削除] を選択します。

    • キーマテリアルがインポートされた KMS キーのエイリアスまたはキー ID を選択します。[ キーマテリアル ] タブを選択し、[ キーマテリアルを削除] を選択します。

  5. キーマテリアルを削除することを確認してから、[キーマテリアルの削除] を選択します。KMS キーのステータスに対応するそのキーステータスは、インポート保留中に変わります。

AWS KMS API を使用して、キーマテリアルを削除するには、DeleteImportedKeyMaterial リクエストを送信します。次の例では、AWS CLI を使用してこのオペレーションを行う方法を示します。

1234abcd-12ab-34cd-56ef-1234567890ab を、削除する予定のキーマテリアルを持つ KMS キーのキー ID と置き換えます。KMS キーのキー ID または ARN を使用できますが、このオペレーションにエイリアスを使用することはできません。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab