本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
排程金鑰刪除
下列程序說明如何 AWS KMS 使用 和 ,在 中排程金鑰刪除 AWS Management Console 和取消 AWS KMS keys (KMS 金鑰) 的金鑰刪除 AWS KMS API。
警告
刪除KMS金鑰具有破壞性且可能危險。只有當您確定不再需要使用KMS金鑰,且未來不需要使用金鑰時,才應繼續進行。如果您不確定,您應該停用 KMS 金鑰,而不是刪除它。
在刪除KMS金鑰之前,您必須具有執行此動作的許可。如需有關將這些許可授予給金鑰管理員的資訊,請參閱 控制金鑰刪除的存取權。您也可利用 kms:ScheduleKeyDeletionPendingWindowInDays 條件金鑰來進一步限制等待期間,例如強制執行最短等待期。
AWS KMS 當您排程刪除KMS金鑰和KMS實際刪除金鑰 時, 會在 AWS CloudTrail 日誌中記錄項目。
在 中 AWS Management Console,您可以一次排程和取消刪除多個KMS金鑰。
排程金鑰刪除
-
登入 AWS Management Console 並在 https://console.aws.amazon.com/kms
開啟 AWS Key Management Service (AWS KMS) 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。
-
選擇您要刪除之KMS金鑰旁的核取方塊。
-
選擇 Key actions (金鑰動作)、Schedule key deletion (排程金鑰刪除)。
-
閱讀並考量於等待期間取消刪除的警告及資訊。如果決定取消刪除,請選擇頁面底部的 Cancel (取消)。
-
對於 Waiting period (in days) (等候期間 (以天為單位)),輸入介於 7 和 30 之間的數字。
-
檢閱您要刪除的KMS金鑰。
-
選擇確認您要排程此金鑰以在 中刪除的核取方塊
<number of days>
天。 -
選擇 Schedule deletion (排定刪除)。
KMS 金鑰狀態會變更為待定刪除 。
使用 aws kms
schedule-key-deletion
命令排程客戶受管金鑰的金鑰刪除,如以下範例所示。
您無法排程刪除 AWS 受管金鑰 或 AWS 擁有的金鑰。
$ aws kms schedule-key-deletion --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
--pending-window-in-days 10
成功使用時, 會 AWS CLI 傳回輸出,如下列範例所示:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }