刪除金鑰 - AWS 付款密碼編譯
關於等待期

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

刪除金鑰

刪除 AWS 付款密碼編譯金鑰會刪除金鑰材料和與金鑰相關聯的所有中繼資料,除非金鑰副本在 AWS 付款密碼編譯之外可用,否則將無法復原。刪除金鑰後,您無法再解密在該金鑰下加密的資料,這表示資料可能無法復原。只有當您確定不再需要使用金鑰,且沒有其他方正在使用此金鑰時,才應該刪除金鑰。如果您不確定,請考慮停用金鑰,而不是刪除它。如果您稍後需要再次使用已刪除的 AWS 付款密碼編譯金鑰,您可以重新啟用停用的金鑰,但除非您能夠從其他來源重新匯入,否則無法復原已刪除的付款密碼編譯金鑰。

在刪除金鑰之前,您應該確保不再需要金鑰。 AWS 付款密碼編譯不會儲存 CVV2 等密碼編譯操作的結果,也無法判斷任何持久性密碼編譯材料是否需要金鑰。

AWS 除非您明確排定刪除金鑰,且強制等待期過期,否則付款密碼編譯永遠不會刪除屬於作用中 AWS 帳戶的金鑰。

不過,由於下列一個或多個原因,您可以選擇刪除 AWS 付款密碼編譯金鑰:

  • 為不再需要的金鑰完成金鑰生命週期

  • 為了避免與維護未使用的 AWS 付款密碼編譯金鑰相關聯的管理開銷

注意

如果您關閉或刪除 AWS 帳戶,則無法存取您的 AWS 付款密碼編譯金鑰。您不需要將刪除 AWS 付款密碼編譯金鑰與關閉帳戶分開排程。

AWS 當您排程刪除 AWS 付款密碼編譯金鑰,以及實際刪除 AWS 付款密碼編譯金鑰時,付款密碼編譯會在AWS CloudTrail日誌中記錄項目。

關於等待期

由於刪除金鑰是不可逆的, AWS 因此付款密碼編譯需要您設定介於 3–180 天的等待期。預設等待期為七天。

不過,實際等待期可能比您排定的等待期長最多 24 小時。若要取得要刪除 AWS 付款密碼編譯金鑰的實際日期和時間,請使用 GetKey 操作。請務必注意時區。

在等待期間, AWS 付款密碼編譯金鑰狀態和金鑰狀態為待刪除

注意

等待刪除的 AWS 付款密碼編譯金鑰不能用於任何密碼編譯操作

等待期結束後, AWS 付款密碼編譯會刪除 AWS 付款密碼編譯金鑰、其別名和所有相關 AWS 付款密碼編譯中繼資料。

使用等待期來確保您現在或未來不需要 AWS 付款密碼編譯金鑰。如果您在等待期間確實需要 金鑰,您可以在等待期間結束前取消刪除金鑰。等待期結束後,您無法取消刪除金鑰,且服務會刪除金鑰。

範例

    在此範例中,系統會請求刪除金鑰。除了基本金鑰資訊之外,兩個相關欄位表示金鑰狀態已變更為 DELETE_PENDING,而 deletePendingTimestamp 表示目前排程刪除金鑰的時間。

    $ aws payment-cryptography delete-key \
                    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
                  
    

  {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
            "KeyClass": "SYMMETRIC_KEY",
            "KeyAlgorithm": "TDES_3KEY",
            "KeyModesOfUse": {
                "Encrypt": false,
                "Decrypt": false,
                "Wrap": false,
                "Unwrap": false,
                "Generate": true,
                "Sign": false,
                "Verify": true,
                "DeriveKey": false,
                "NoRestrictions": false
            }
        },
        "KeyCheckValue": "",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "Enabled": false,
        "Exportable": true,
        "KeyState": "DELETE_PENDING",
        "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
        "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00",
        "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00",
        "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00"
    }
}

    在此範例中,待定刪除已取消。成功完成之後,系統就不會再根據先前的排程刪除金鑰。回應包含基本金鑰資訊;此外,兩個相關欄位已變更 - KeyStatedeletePendingTimestampKeyState 會傳回 CREATE_COMPLETE 的值,而 DeletePendingTimestamp 則會移除。

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
                    
    {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
            "KeyClass": "SYMMETRIC_KEY",
            "KeyAlgorithm": "TDES_3KEY",
            "KeyModesOfUse": {
                "Encrypt": false,
                "Decrypt": false,
                "Wrap": false,
                "Unwrap": false,
                "Generate": true,
                "Sign": false,
                "Verify": true,
                "DeriveKey": false,
                "NoRestrictions": false
            }
        },
        "KeyCheckValue": "",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "Enabled": false,
        "Exportable": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
        "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00",
        "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00"
    }
}