排程金鑰刪除 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

排程金鑰刪除

下列程序說明如何 AWS KMS 使用 和 ,在 中排程金鑰刪除 AWS Management Console 和取消 AWS KMS keys (KMS 金鑰) 的金鑰刪除 AWS KMS API。

警告

刪除KMS金鑰具有破壞性且可能危險。只有當您確定不再需要使用KMS金鑰,且未來不需要使用金鑰時,才應繼續進行。如果您不確定,您應該停用 KMS 金鑰,而不是刪除它。

在刪除KMS金鑰之前,您必須具有執行此動作的許可。如需有關將這些許可授予給金鑰管理員的資訊,請參閱 控制金鑰刪除的存取權。您也可利用 kms:ScheduleKeyDeletionPendingWindowInDays 條件金鑰來進一步限制等待期間,例如強制執行最短等待期。

AWS KMS 當您排程刪除KMS金鑰和KMS實際刪除金鑰 時, 會在 AWS CloudTrail 日誌中記錄項目。

在 中 AWS Management Console,您可以一次排程和取消刪除多個KMS金鑰。

排程金鑰刪除
  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

    您無法排程刪除 AWS 受管金鑰AWS 擁有的金鑰

  4. 選擇您要刪除之KMS金鑰旁的核取方塊。

  5. 選擇 Key actions (金鑰動作)Schedule key deletion (排程金鑰刪除)

  6. 閱讀並考量於等待期間取消刪除的警告及資訊。如果決定取消刪除,請選擇頁面底部的 Cancel (取消)。

  7. 對於 Waiting period (in days) (等候期間 (以天為單位)),輸入介於 7 和 30 之間的數字。

  8. 檢閱您要刪除的KMS金鑰。

  9. 選擇確認您要排程此金鑰以在 中刪除的核取方塊 <number of days>

  10. 選擇 Schedule deletion (排定刪除)。

KMS 金鑰狀態會變更為待定刪除

使用 aws kms schedule-key-deletion 命令排程客戶受管金鑰的金鑰刪除,如以下範例所示。

您無法排程刪除 AWS 受管金鑰 或 AWS 擁有的金鑰。

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

成功使用時, 會 AWS CLI 傳回輸出,如下列範例所示:

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }