Planen der Löschung von KMS-Schlüsseln aus einem externen Schlüsselspeicher - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Planen der Löschung von KMS-Schlüsseln aus einem externen Schlüsselspeicher

Wenn Sie sich sicher sind, dass Sie einen AWS KMS key nicht mehr für kryptografische Operationen benötigen, können Sie die Löschung des KMS-Schlüssels planen. Gehen Sie dazu genau so vor wie beim Planen der Löschung anderer KMS-Schlüssel aus AWS KMS. Das Löschen eines KMS-Schlüssels aus einem externen Schlüsselspeicher hat keine Auswirkungen auf den externen Schlüssel, der als sein Schlüsselmaterial diente.

Sie können die geplante Löschung eines KMS-Schlüssels während der vorgegebenen Wartezeit abbrechen. Ein gelöschter KMS-Schlüssel kann jedoch nicht wiederhergestellt werden. Sie können einen symmetrischen KMS-Schlüssel in einem externen Schlüsselspeicher nicht wiederherstellen, selbst wenn Sie denselben externen Schlüssel verwenden. Da jeder symmetrische KMS-Schlüssel in einem externen Schlüsselspeicher über eindeutiges AWS KMS-Schlüsselmaterial und Metadaten verfügt, kann nur der AWS KMS-Schlüssel, der einen symmetrischen Geheimtext verschlüsselt hat, diesen entschlüsseln.

Warnung

Das Löschen eines KMS-Schlüssels ist ein potentiell gefährliches Verfahren, wodurch alle Daten, die mit dem KMS-Schlüssel verschlüsselt wurden, nicht wieder entschlüsselt werden können. Bevor Sie das Löschen des KMS-Schlüssels planen, untersuchen Sie die frühere Nutzung des KMS-Schlüssels und erstellen Sie einen Amazon- CloudWatch Alarm, der Sie benachrichtigt, wenn jemand versucht, den KMS-Schlüssel zu verwenden, während er gelöscht werden soll. Es wird empfohlen, im Zweifelsfall den KMS-Schlüssel zu deaktivieren anstelle ihn zu löschen.

Wenn Sie die Löschung eines KMS-Schlüssels aus einem externen Schlüsselspeicher planen, ändert sich der Status des Schlüssels in Pending deletion (Löschung ausstehend). Der KMS-Schlüssel verbleibt auch während der Wartezeit im Status Pending deletion (Löschung ausstehend), selbst wenn der KMS-Schlüssel nicht mehr verfügbar ist, weil Sie die Verbindung zum externen Schlüsselspeicher getrennt haben. Dies erlaubt es Ihnen, die Löschung des KMS-Schlüssels vor Ablauf der Wartezeit jederzeit abzubrechen. Nach Ablauf der Wartezeit löscht AWS KMS den KMS-Schlüssel aus AWS KMS.

Wenn Sie die Löschung eines KMS-Schlüssels aus einem externen Schlüsselspeicher planen, wird der KMS-Schlüssel sofort unbrauchbar (vorbehaltlich einer letztendlichen Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel.

Sie können die Planung, Stornierung und Löschung des KMS-Schlüssels in Ihren AWS CloudTrail-Protokollen überwachen.