キーの削除 - AWS Payment Cryptography

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キーの削除

AWS Payment Cryptography キーを削除すると、キーマテリアルとキーに関連付けられたすべてのメタデータが削除され、キーのコピーが AWS Payment Cryptography の外部で利用できる場合を除き、元に戻すことはできません。キーを削除すると、そのキーで暗号化されたデータを復号できなくなります。これは、そのデータが回復不能になることを意味します。キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。不明な場合は、削除するのではなく、キーを無効化することを検討します。後で再度使用する必要がある場合は、無効化されたキーを再度有効にできますが、削除した AWS Payment Cryptography キーを別のソースから再インポートできる場合を除き、復元することはできません。

キーを削除する前に、キーが不要になったことを確認する必要があります。 AWS Payment Cryptography は CVV2 などの暗号化オペレーションの結果を保存せず、永続的な暗号化マテリアルにキーが必要かどうかを判断できません。

AWS Payment Cryptography は、明示的に削除をスケジュールし、必須の待機期間が終了しない限り、アクティブな AWS アカウントに属するキーを削除しません。

ただし、次のいずれかの理由で AWS Payment Cryptography キーを削除することもできます。

  • 不要になったきーのキーライフサイクルを完了する

  • 未使用の AWS Payment Cryptography キーの維持に関連する管理オーバーヘッドを回避するには

注記

を閉じまたは削除 AWS アカウントすると、 AWS Payment Cryptography キーにアクセスできなくなります。Payment Cryptography AWS キーの削除は、アカウントの閉鎖とは別にスケジュールする必要はありません。

AWS Payment Cryptography は、 AWS Payment Cryptography キーの削除をスケジュールし、 AWS Payment Cryptography キーが実際に削除されたときに、AWS CloudTrailログにエントリを記録します。

待機期間について

キーの削除は元に戻すことができないため、 AWS Payment Cryptography では 3~180 日間の待機期間を設定する必要があります。デフォルトの待機時間は、7 日です。

ただし、実際の待機期間は、スケジュールした待機期間よりも最大 24 時間長くなる場合があります。 AWS Payment Cryptography キーが削除される実際の日時を取得するには、GetKey オペレーションを使用します。必ずタイムゾーンをメモしておきます。

待機期間中、 AWS Payment Cryptography のキーステータスとキーステータスは削除保留中です。

注記

削除保留中の AWS Payment Cryptography キーは、暗号化オペレーションでは使用できません。

待機期間が終了すると、 AWS Payment Cryptography は AWS Payment Cryptography キー、そのエイリアス、および関連するすべての AWS Payment Cryptography メタデータを削除します。

待機期間を使用して、現在または将来に AWS Payment Cryptography キーが不要になるようにします。待機期間中にキーが必要になった場合は、待機期間の終了前にキーの削除をキャンセルできます。待機期間の終了後は、キーの削除はキャンセルできず、 サービスはキーを削除します。

    この例では、キーの削除をリクエストしています。基本的なキー情報の他に、キーの状態が DELETE_PENDING に変更されたというフィールドと、DeletePendingTimestamp がキーの現在の削除予定日時を表すフィールドが 2 つあります。

    $ aws payment-cryptography delete-key \ --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "0A3674", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "DELETE_PENDING", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00", "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00" } }

    この例では、保留中の削除がキャンセルされます。正常に完了すると、そのキーは以前のスケジュールに従って削除されなくなります。レスポンスには基本的なキー情報が含まれています。さらに、KeyState および deletePendingTimestamp の 2 つの関連フィールドが変更されました。 KeyState は CREATE_COMPLETE の値に戻されるが、DeletePendingTimestamp は削除されます。

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
    { "Key": { "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h", "KeyAttributes": { "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY", "KeyClass": "SYMMETRIC_KEY", "KeyAlgorithm": "TDES_3KEY", "KeyModesOfUse": { "Encrypt": false, "Decrypt": false, "Wrap": false, "Unwrap": false, "Generate": true, "Sign": false, "Verify": true, "DeriveKey": false, "NoRestrictions": false } }, "KeyCheckValue": "0A3674", "KeyCheckValueAlgorithm": "ANSI_X9_24", "Enabled": false, "Exportable": true, "KeyState": "CREATE_COMPLETE", "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY", "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00", "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00" } }