删除导入的密钥材料 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除导入的密钥材料

您可以随时从 KMS 密钥中删除导入的密钥材料。此外,当具有到期日期的导入密钥到期时,AWS KMS 将会删除密钥材料。在这两种情况下,密钥材料被删除时,KMS 密钥的密钥状态将更改为“待导入”,并且在您重新导入相同密钥材料之前,KMS 密钥不能用于任何加密操作。(您无法将任何其他密钥材料导入 KMS 密钥。)

除了禁用 KMS 密钥和撤回权限外,还可以将删除密钥材料用作一种策略,以快速但暂时地停止使用 KMS 密钥。相比之下,计划删除具有导入密钥材料的 KMS 密钥也会很快停止使用 KMS 密钥。但是,如果在等待期内未取消删除,则会永久删除 KMS 密钥、密钥材料和所有密钥元数据。有关详细信息,请参阅Deleting KMS keys with imported key material

要删除密钥材料,您可以使用 AWS KMS 控制台或 DeleteImportedKeyMaterial API 操作。AWS KMS 在您删除导入的密钥材料AWS KMS 删除过期的密钥材料时将一个条目记录在您的 AWS CloudTrail 日志中。

删除密钥材料对 AWS 服务有何影响

当您删除密钥材料时,没有密钥材料的 KMS 密钥会立即变为不可用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的数据密钥加密的资源不会受到影响。此问题会影响 AWS 服务,因为许多服务使用数据密钥来保护您的资源。有关详细信息,请参阅不可用的 KMS 密钥如何影响数据密钥

您可以使用 AWS KMS 控制台删除密钥材料。

  1. 登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 请执行以下操作之一:

    • 选中带导入密钥材料的 KMS 密钥对应的复选框。依次选择 Key actionsDelete key material

    • 选择带导入密钥材料的 KMS 密钥的别名或密钥 ID。选择 Key material(密钥材料)选项卡,然后选择 Delete key material(删除密钥材料)。

  5. 确认要删除该密钥材料,然后选择 Delete key material。KMS 密钥的状态(对应于其密钥状态)更改为 Pending import(等待导入)。

要使用 AWS KMS API 删除密钥材料,请发送 DeleteImportedKeyMaterial 请求。以下示例说明如何使用 AWS CLI 执行该操作。

1234abcd-12ab-34cd-56ef-1234567890ab 替换为您要删除其密钥材料的 KMS 密钥的密钥 ID。在该操作中,您可以使用 KMS 密钥的密钥 ID 或 ARN,但不能使用别名。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab