本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
刪除 AWS KMS keys
刪除 AWS KMS key 具有破壞性且可能危險。它會刪除金鑰材料以及與KMS金鑰相關聯的所有中繼資料,並且是不可逆的。刪除KMS金鑰後,您無法再解密在該KMS金鑰下加密的資料,這表示資料無法復原。(唯一的例外是多區域複本金鑰,以及具有匯入金鑰材料的非對稱HMACKMS和金鑰。) 對於用於加密的非對稱KMS金鑰而言,此風險相當重大,其中使用者可以在沒有警告或錯誤的情況下,繼續產生具有公有金鑰的加密文字,而該公有金鑰在從 刪除後無法解密 AWS KMS。
只有當您確定不再需要使用KMS金鑰時,才應該刪除金鑰。如果您不確定,請考慮停用KMS金鑰,而不是刪除它。您可以重新啟用停用的KMS金鑰,並取消金鑰的排程刪除,但無法復原已刪除的KMS金鑰。 KMS
您只能排程刪除客戶受管金鑰。您無法刪除 AWS 受管金鑰 或 AWS 擁有的金鑰。
在刪除KMS金鑰之前,您可能想知道在該KMS金鑰下有多少密碼文字已加密。 AWS KMS 不會儲存此資訊,也不會儲存任何密碼文字。若要取得此資訊,您必須判斷過去的KMS金鑰用量。如需協助,請前往 判斷KMS金鑰的過去用量。
AWS KMS 永遠不會刪除您的KMS金鑰,除非您明確排定要刪除的金鑰,且強制等待期過期。
不過,由於下列一或多個原因,您可以選擇刪除KMS金鑰:
-
為不再需要的金鑰完成KMS金鑰生命週期
-
為了避免與維護未使用的KMS金鑰相關的管理開銷和成本
-
減少根據KMS金鑰KMS資源配額計算的金鑰數量
注意
如果您關閉 AWS 帳戶,您的 KMS 金鑰將無法存取,而且您不再需要支付這些金鑰的費用。
AWS KMS 當您排程刪除KMS金鑰以及KMS金鑰實際刪除時, 會在 AWS CloudTrail 日誌中記錄項目。
關於等待期
由於刪除KMS金鑰具有破壞性且可能危險,因此 AWS KMS 需要您設定 7 – 30 天的等待期。預設等待期間為 30 天。
不過,實際等待期可能比您排定的等待期長最多 24 小時。若要取得要刪除KMS金鑰的實際日期和時間,請使用 DescribeKey操作。或在 AWS KMS 主控台中,在KMS金鑰的詳細資訊頁面上,在一般組態區段中,請參閱排程刪除日期。請務必注意時區。
在等待期間,KMS金鑰狀態和金鑰狀態為待刪除。
-
KMS 金鑰待定刪除無法用於任何密碼編譯操作 。
-
AWS KMS 不會輪換待刪除金鑰的金鑰材料。 KMS
等待期結束後, 會 AWS KMS 刪除KMS金鑰、其別名和所有相關 AWS KMS 中繼資料。
排程刪除KMS金鑰可能不會立即影響KMS金鑰加密的資料金鑰。如需詳細資訊,請參閱 無法使用的KMS金鑰如何影響資料金鑰。
使用等待期來確保您現在或未來不需要 KMS金鑰。您可以設定 Amazon CloudWatch 警示,以便在等待期間有人或應用程式嘗試使用KMS金鑰時發出警告。若要復原KMS金鑰,您可以在等待期結束前取消刪除金鑰。等待期結束後,您無法取消刪除金鑰,並 AWS KMS 刪除KMS金鑰。
特殊考量
排定要刪除的金鑰之前,請檢閱下列刪除特殊用途KMS金鑰的特殊考量。
- 刪除非對稱KMS金鑰
-
獲得授權的使用者可以刪除對稱或非對稱KMS金鑰。排程刪除這些KMS金鑰的程序對於這兩種類型的金鑰都是相同的。但是,由於非對稱金鑰的公有KMS金鑰可以在 之外下載和使用 AWS KMS,因此操作會帶來重大的額外風險,特別是用於加密的非對稱KMS金鑰 (金鑰使用量為
ENCRYPT_DECRYPT)。-
當您排程刪除KMS金鑰時,KMS金鑰的狀態會變更為待定刪除 ,且KMS金鑰無法用於密碼編譯操作 。不過,排程刪除不會影響 外部的公有金鑰 AWS KMS。擁有公有金鑰的使用者可以繼續使用這些金鑰加密訊息。他們不會收到金鑰狀態變更的任何通知。除非取消刪除,否則無法解密使用公有金鑰建立的加密文字。
-
偵測嘗試使用待刪除KMS金鑰的警示、日誌和其他策略,無法偵測在 外部使用公有金鑰 AWS KMS。
-
刪除KMS金鑰時,所有涉及該KMS金鑰 AWS KMS 的動作都會失敗。不過,擁有公有金鑰的使用者可以繼續使用這些金鑰加密訊息。無法解密這些加密文字。
如果您必須刪除使用 金鑰的非對稱KMS金鑰
ENCRYPT_DECRYPT,請使用您的 CloudTrail 日誌項目來判斷是否已下載並共用公有金鑰。如果是,請驗證公有金鑰未用在 AWS KMS之外。然後,請考慮停用KMS金鑰,而不是將其刪除。刪除非對稱KMS金鑰會對具有匯入金鑰材料的非對稱KMS金鑰減輕風險。如需詳細資訊,請參閱 Deleting KMS keys with imported key material。
-
- 刪除多區域金鑰
-
若要刪除主要金鑰,您必須排程刪除其所有複本金鑰,然後等待刪除複本金鑰。刪除主要金鑰所需的等待期間在刪除其最後一個複本金鑰時開始。如果您必須從特定區域刪除主要金鑰而不刪除其複本金鑰,請透過更新主要區域將主要金鑰變更為複本金鑰。
您可以隨時刪除複本金鑰。它不依賴任何其他金鑰的KMS金鑰狀態。如果錯誤地刪除了複本密鑰,則可透過在同一區域中複寫相同的主要金鑰來重新建立。您建立的新複本金鑰將具有相同的共用屬性作為原始複本金鑰。
- 使用匯入KMS的金鑰材料刪除金鑰
-
使用匯入的金鑰材料刪除KMS金鑰的金鑰材料是暫時且可逆的。若要還原金鑰,請重新匯入其金鑰資料。
相反地,刪除KMS金鑰是不可逆的。如果您排程刪除金鑰,且所需的等待期間過期, 會 AWS KMS 永久且不可逆地刪除KMS金鑰、其金鑰材料,以及與KMS金鑰相關聯的所有中繼資料。
不過,使用匯入KMS的金鑰材料刪除金鑰的風險和後果取決於KMS金鑰的類型 ("金鑰規格")。
-
對稱加密金鑰 — 如果您刪除對稱加密KMS金鑰,該金鑰加密的所有剩餘密碼文字都無法復原。即使您擁有相同的金鑰材料,也無法建立新的對稱加密KMS金鑰,以解密已刪除對稱加密KMS金鑰的加密文字。每個KMS金鑰唯一的中繼資料以密碼編譯方式繫結到每個對稱密碼文字。此安全功能保證只有加密對稱密碼文字的KMS金鑰才能解密,但它可防止您重新建立同等KMS金鑰。
-
非對稱和HMAC金鑰 — 如果您有原始金鑰材料,您可以建立新的KMS金鑰,其密碼編譯屬性與已刪除的非對稱或HMACKMS金鑰相同。 AWS KMS 會產生標準RSA密碼文字和簽章、ECC簽章和HMAC標籤,其中不包含任何唯一的安全功能。此外,您可以使用 外部非對稱HMAC金鑰對的金鑰或私有金鑰 AWS。
您使用相同非對稱或HMAC金鑰材料建立的新KMS金鑰將有不同的金鑰識別符。您必須建立新的金鑰政策、重新建立任何別名,以及更新現有的IAM政策和授予,以參考新的金鑰。
-
- 從KMS金鑰存放區刪除 AWS CloudHSM 金鑰
-
當您排程從KMS金鑰存放區刪除 AWS CloudHSM 金鑰時,其金鑰狀態會變更為待定刪除。在整個等待期間,即使您已中斷連接自訂KMS金鑰存放區,KMS金鑰仍處於待刪除狀態。 中斷連接 AWS CloudHSM 金鑰存放區這可讓您在等待期間隨時取消刪除KMS金鑰。
當等待期到期時, 會從 AWS KMS 中刪除KMS金鑰 AWS KMS。然後 AWS KMS 盡最大努力從關聯的 AWS CloudHSM 叢集中刪除金鑰材料。如果 AWS KMS 無法刪除金鑰資料 (例如,當金鑰存放區與 AWS KMS中斷連接時),您可能需要手動從叢集刪除遺棄的金鑰資料。
AWS KMS 不會從叢集備份中刪除金鑰材料。即使您從 刪除KMS金鑰 AWS KMS 並從 AWS CloudHSM 叢集刪除其金鑰材料,從備份建立的叢集也可能包含已刪除的金鑰材料。若要永久刪除金鑰材料,請使用 DescribeKey操作來識別KMS金鑰的建立日期。然後,刪除所有叢集備份,其中可能包含金鑰資料。
當您排程從KMS金鑰存放區刪除 AWS CloudHSM 金鑰時,KMS金鑰會立即變得無法使用 (取決於最終一致性)。不過,在再次KMS使用KMS金鑰以 金鑰保護的資料金鑰加密的資源之前,不會受到影響,例如解密資料金鑰。此問題會影響 AWS 服務,其中許多 都使用資料金鑰來保護您的資源。如需詳細資訊,請參閱 無法使用的KMS金鑰如何影響資料金鑰。
- 從外部KMS金鑰存放區刪除金鑰
-
從外部KMS金鑰存放區刪除金鑰不會影響作為其金鑰材料的外部金鑰。
當您排程從外部KMS金鑰存放區刪除金鑰時,其金鑰狀態會變更為待定刪除。即使您已中斷外部KMS金鑰存放區 的連線,即使KMS金鑰無法使用,金鑰仍會在等待期間保持待刪除狀態。 連接和中斷連接外部金鑰存放區這可讓您在等待期間隨時取消刪除KMS金鑰。當等待期到期時, 會從 AWS KMS 中刪除KMS金鑰 AWS KMS。
當您排程從外部KMS金鑰存放區刪除金鑰時,KMS金鑰會立即變得無法使用 (取決於最終一致性)。不過,在再次KMS使用金鑰以解密資料金鑰之前,使用受KMS金鑰保護的資料金鑰加密的資源不會受到影響。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱 無法使用的KMS金鑰如何影響資料金鑰。
