AWS KMS keys を削除する

AWS KMS key を削除することは破壊的であり、リスクが伴います。これは、キーマテリアルと KMS キーに関連付けられているすべてのメタデータを削除し、元に戻すことはできません。KMS キーを削除すると、その KMS キーで暗号化されたデータを復号できなくなります。これは、そのデータが回復不能になることを意味します。(唯一の例外は、マルチリージョンのレプリカキーと、キーマテリアルを含む非対称キーと HMAC KMS キーです。) 暗号化に使用される非対称 KMS キーの場合に重大なリスクとなります。この場合、ユーザーは、AWS KMS からプライベートキーが削除された後、警告やエラーが発生することなく、パブリックキーを使用して暗号文を生成し続けることができます。

KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。不明な場合は、削除するのではなく、KMS キーを無効化することを検討します。無効にした KMS キーを再度有効にしたり、KMS キーの削除のスケジュールをキャンセルしたりすることは可能ですが、すでに削除した KMS キーを復元することはできません。

スケジュールできるのは、カスタマーマネージドキーの削除のみです。AWS マネージドキー または AWS 所有のキー を削除することはできません。

KMS キーを削除する前に、その KMS キーで暗号化された暗号文の数の確認が必要な場合があります。AWS KMS は、この情報や暗号文を保存しません。この情報を取得するには、KMS キーの過去の使用状況を特定する必要があります。ヘルプについては、KMS キーの過去の使用状況を確認する を参照してください。

明示的に削除をスケジュールし、必須の待機期間が終了しない限り、AWS KMS は KMS キーを削除しません。

KMS キーを削除する理由には次の 1 つ以上のものが考えられます。

• 不要になった KMS キーのキーライフサイクルを完了する

• 使用しない KMS キーの維持に伴う管理オーバーヘッドとコストを回避する

• KMS キーリソースクォータに対してカウントされる KMS キーの数を減らすには

注記

AWS アカウント を終了すると、KMS キーにアクセスできなくなり、それらに対して課金されることはなくなります。

AWS KMS は、KMS キーの削除をスケジュールするとき、および KMS キーが実際に削除されたときに、AWS CloudTrail ログにエントリを記録します。

マルチリージョンのプライマリキーおよびレプリカキーの削除の詳細については、マルチリージョンキーを削除する を参照してください。

トピック

• 待機期間について
• 非対称 KMS キーの削除
• マルチリージョンキーを削除する
• インポートされたキーマテリアルを含む KMS キーの削除
• キー削除へのアクセスを制御する
• キーの削除のスケジュールとキャンセル
• 削除保留中の KMS キーの使用を検出するアラームの作成
• KMS キーの過去の使用状況を確認する

待機期間について

KMS キーを削除することは、破壊的でリスクを伴うため、AWS KMS で待機期間を 7 ～ 30 日に設定する必要があります。デフォルトの待機時間は、30 日です。

ただし、実際の待機期間は、スケジュールした待機期間よりも最大 24 時間長くなる場合があります。KMS キーが削除される実際の日時を取得するには、 DescribeKeyオペレーションを使用します。または、AWS KMS コンソール、KMS キーの詳細ページ、[General configuration] (一般的な設定) セクションで、スケジュールされた削除の日付を参照してください。必ずタイムゾーンをメモしておきます。

削除の待機期間中は、KMS キーステータスおよびキーの状態が削除保留中になります。

• 削除保留中の KMS キーを暗号化オペレーションで使用することはできません。

• AWS KMS は削除保留中の KMS キーのキーマテリアルをローテーションしません。

待機期間終了後、AWS KMS は KMS キー、そのエイリアス、関連するすべての AWS KMS メタデータを削除します。

KMS キーの削除をスケジュールしても、KMS キーで暗号化されたデータキーに、ただちに影響しない場合もあります。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

待機期間を設定することにより、KMS キーが不要であり、今後も使用することがないことを確認できます。待機期間中にユーザーまたはアプリケーションが KMS キーを使用しようとした場合に警告するように Amazon CloudWatch アラームを設定できます。KMS キーを復元するには、待機期間の終了前にキーの削除をキャンセルします。待機期間の終了後は、キーの削除はキャンセルできず、AWS KMS は KMS キーを削除します。

非対称 KMS キーの削除

認可されたユーザーは、対称または非対称 KMS キーを削除できます。これらの KMS キーの削除をスケジュールする手順は、どちらの種類のキーも同じです。ただし、非対称 KMS キーのパブリックキーは AWS KMS の外部でダウンロードして使用できるため、特に暗号化に使用される非対称 KMS キー (キーの使用法が ENCRYPT_DECRYPT) では、オペレーションに重大な追加リスクが生じます。

• KMS キーの削除をスケジュールすると、KMS キーのキーステータスが削除保留中に変わり、KMS キーを暗号化オペレーションで使用できなくなります。ただし、削除をスケジュールしても、AWS KMS の外部にあるパブリックキーには影響しません。パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。キーの状態が変更されたという通知は受信しません。削除がキャンセルされない限り、パブリックキーで作成された暗号文は復号できません。

• 削除保留中の KMS キーを使用する試みを検出するアラーム、ログ、その他の戦略では、AWS KMS の外部でのパブリックキーの使用は検出できません。

• KMS キーが削除されると、その KMS キーに関連するすべての AWS KMS アクションは失敗します。ただし、パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。これらの暗号文は復号できません。

キーの使用方法が である非対称 KMS キーを削除する必要がある場合はENCRYPT_DECRYPT、 CloudTrail ログエントリを使用して、パブリックキーがダウンロードおよび共有されているかどうかを確認します。完了している場合は、パブリックキーが AWS KMS の外部で使用されていないことを確認します。次に、削除するのではなく、KMS キーを無効にすることを検討します。

非対称 KMS キーの削除によって生じるリスクは、インポートされたキーマテリアルを含む非対称 KMS キーであれば軽減されます。　 詳細については、「キーマテリアルがインポートされた KMS キーの削除」を参照してください。

マルチリージョンキーを削除する

許可されているユーザーは、マルチリージョンのプライマリキーとレプリカキーの削除をスケジュールできます。ただし、AWS KMS では、レプリカキーを持つマルチリージョンのプライマリキーは削除されません。また、プライマリキーが存在する限り、削除されたマルチリージョンのレプリカキーを再作成することもできます。詳細については、「マルチリージョンキーを削除する」を参照してください。

インポートされたキーマテリアルを含む KMS キーの削除

承認されたユーザーは、インポートされたキーマテリアルを含む KMS キーの削除をスケジュールできます。このアクションにより、KMS キー、それのキーマテリアル、および KMS キーに関連するすべてのメタデータが完全に削除されます。

キーマテリアルのコピーがある場合でも、削除された対称暗号化キーの暗号文をインポートされたキーマテリアルで復号できる新しい対称暗号化 KMS キーを作成することはできません。ただし、キーマテリアルがあれば、インポートされたキーマテリアルを持つ非対称 KMS キーまたは HMAC KMS キーを効果的に再作成できます。詳細については、「キーマテリアルがインポートされた KMS キーの削除」を参照してください。