Excluir material de chave importado - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Excluir material de chave importado

Você pode excluir o material de chave importado de uma chave do KMS a qualquer momento. Além disso, quando o material de chave importado com data de validade expira, o AWS KMS exclui o material da chave. Nos dois casos, quando o material da chave é excluído, o estado de chave da chave do KMS muda para Importação pendente e a chave do KMS não pode ser usada em nenhuma operação criptográfica até que você reimporte o mesmo material de chave. (Não é possível importar material de chave para uma chave do KMS de HMAC.)

Além de desativar a chave do KMS e retirar as permissões, a exclusão do material da chave pode ser usada como uma estratégia para interromper o uso da chave do KMS de forma rápida, mas temporária. Por outro lado, programar a exclusão de uma chave do KMS com material de chave importado também interrompe rapidamente o uso da chave do KMS. No entanto, se a exclusão não for cancelada durante o período de espera, a chave do KMS, o material da chave e todos os metadados da chave serão excluídos permanentemente. Para obter detalhes, consulte Deleting KMS keys with imported key material.

Para excluir o material de chave, é possível usar o console do AWS KMS ou a operação da API DeleteImportedKeyMaterial. O AWS KMS registra uma entrada no log do AWS CloudTrail quando você exclui o material de chave importado e quando o AWS KMS exclui o material de chave expirado.

Como a exclusão do material de chave afeta os serviços da AWS

Quando você exclui o material da chave, a chave do KMS sem material da chave torna-se inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Você pode usar o console do AWS KMS para excluir o material de chave.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Execute um destes procedimentos:

    • Marque a caixa de seleção de uma chave do KMS com material de chave importado. Escolha Key actions (Ações de chave), Delete key material (Excluir material de chaves).

    • Escolha o alias ou ID de uma chave do KMS com material de chave importado. Escolha a guia Key material (Material de chaves) e, em seguida, Delete key material (Excluir material de chave).

  5. Confirme que você deseja excluir o material de chaves e selecione Delete key material (Excluir material de chaves). O status da chave do KMS, que corresponde ao seu estado de chave, muda para Pending import (Importação pendente).

Para usar a API do AWS KMS para excluir o material de chaves, envie uma solicitação DeleteImportedKeyMaterial. O exemplo a seguir mostra como fazer isso com a AWS CLI.

Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS cujo material de chave você quer excluir. É possível usar o ID de chave ou o ARN da chave do KMS, mas não é possível usar um alias para essa operação.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab