Löschen von multiregionalen Schlüsseln - AWS Key Management Service
Berechtigungen zum Löschen von multiregionalen SchlüsselnLöschen eines ReplikatschlüsselsLöschen eines Primärschlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Löschen von multiregionalen Schlüsseln

Wenn Sie keinen multiregionalen Primär- oder Replikatschlüssel mehr verwenden, können Sie dessen Löschung planen.

Obwohl das Löschen von KMS-Schlüsseln immer mit Vorsicht erfolgen sollte, ist das Löschen eines Replikats eines multiregionalen Schlüssels weniger riskant, vorausgesetzt, dass der Primärschlüssel noch in AWS KMS existiert. Wenn Sie einen Replikatschlüssel aus seiner Region löschen, aber Chiffretext ermitteln, der unter dem gelöschten Schlüssel verschlüsselt wurde, können Sie diesen Chiffretext mit einem beliebigen verwandten multiregionalen Schlüssel entschlüsseln. Sie können den Replikatschlüssel auch neu erstellen, indem Sie den Primärschlüssel erneut in die Region des Replikatschlüssels replizieren.

Das Löschen eines Primärschlüssels und aller seiner Replikatschlüssel ist jedoch eine sehr gefährliche Produktion, die dem Löschen eines einzelregionalen Schlüssels entspricht.

Warnung

Das Löschen eines KMS-Schlüssels ist ein endgültiger und potenziell gefährlicher Vorgang. Fahren Sie nur fort, wenn Sie sicher sind, dass Sie den KMS-Schlüssel später nicht mehr verwenden müssen. Wenn Sie nicht sicher sind, sollten Sie den KMS-Schlüssel deaktivieren, anstatt ihn zu löschen.

Um einen Primärschlüssel zu löschen, müssen Sie zunächst alle seine Replikatschlüssel löschen. Wenn Sie einen Primärschlüssel aus einer bestimmten Region löschen müssen, ohne dessen Replikatschlüssel zu löschen, ändern Sie den Primärschlüssel in einen Replikatschlüssel, indem Sie die primäre Region aktualisieren.

Bevor Sie das Löschen eines KMS-Schlüssels planen, lesen Sie die Hinweise im Löschen von AWS KMS keys Thema und die Themen, die erklären, wie Sie die frühere Verwendung eines KMS-Schlüssels ermitteln und wie Sie einen CloudWatch Alarm einrichten, der Sie während der Wartezeit über die Verwendung des KMS-Schlüssels informiert. Bevor Sie den Primärschlüssel eines asymmetrischen multiregionalen Schlüssel löschen, lesen Sie das Thema Löschen asymmetrischer Schlüssel.

Berechtigungen zum Löschen von multiregionalen Schlüsseln

Um das Löschen eines multiregionalen Schlüssels zu planen, benötigen Sie nur die folgende Berechtigung.

  • kms:ScheduleKeyDeletion – um das Löschen des multiregionalen Schlüssels zu planen und seine Wartezeit festzulegen.

Es wird auch dringend empfohlen, dass Sie über die folgenden verwandten Berechtigungen verfügen.

  • kms:CancelKeyDeletion – , um das geplante Löschen des multiregionalen Schlüssels abzubrechen.

  • kms:DescribeKey – um den Schlüsselstatus des multiregionalen Schlüssels und die Liste der verwandten multiregionalen Schlüssel anzuzeigen.

  • kms:DisableKey – um Ihnen die Möglichkeit zu geben, einen multiregionalen Schlüssel zu deaktivieren, anstatt ihn zu löschen.

  • kms:EnableKey – , um die Funktionalität eines multiregionalen Schlüssels nach dem Abbrechen des Löschens wiederherzustellen.

Sie können auch die Berechtigung zum Replizieren des Primärschlüssels und zum Ändern des Primärschlüssels einschließen.

Sie können diese Berechtigungen in eine IAM-Richtlinie einschließen. Es ist jedoch eine bewährte Methode, sie in eine Schlüsselrichtlinie einzuführen, in der sie nur für den KMS-Schlüssel gelten, den Sie verwalten müssen.

Löschen eines Replikatschlüssels

Sie können die AWS KMS-Konsole oder die AWS KMS-API verwenden, um einen Replikatschlüssel zu löschen. Sie können einen Replikatschlüssel jederzeit löschen. Es hängt nicht vom Schlüsselstatus eines anderen KMS-Schlüssels ab.

Wenn Sie versehentlich einen Replikatschlüssel löschen, können Sie ihn neu erstellen, indem Sie denselben Primärschlüssel in derselben Region replizieren. Der neue Replikatschlüssel, den Sie erstellen, hat die gleichen gemeinsamen Eigenschaften wie der ursprüngliche Replikatschlüssel.

Das Verfahren zum Löschen eines multiregionalen Replikatschlüssels entspricht dem Löschen eines einzelregionalen Schlüssels.

Löschen von multiregionalen Replikatschlüsseln

  1. Löschen des Replikatschlüssels planen. Wählen Sie eine Wartezeit von 7–30 Tagen. Die Standardwartezeit beträgt 30 Tage.

  2. Während der Wartezeit ändert sich der Schlüsselstatus des Replikatschlüssels in Pending deletion (PendingDeletion) und Sie können ihn nicht in kryptografischen Produktionen verwenden.

  3. Sie können das geplante Löschen des Replikatschlüssels zu einem beliebigen Zeitpunkt in der Wartezeit abbrechen. Der Schlüsselstatus wechselt zu Disabled, aber Sie können den KMS-Schlüssel erneut aktivieren.

  4. Wenn die Wartezeit abgelaufen ist, löscht AWS KMS den Replikatschlüssel.

Sie können einen Datensatz Ihrer Aktionen in Ihrem AWS CloudTrail-Protokoll anzeigen. AWS KMS zeichnet die Produktionen auf, die das Löschen des KMS-Schlüssels planen und die Aktion, die den KMS-Schlüssel löscht.

Löschen eines Replikatschlüssels (Konsole)

Um das Löschen eines multiregionalen Replikatschlüssels zu planen, verwenden Sie das gleiche Verfahren, mit dem Sie das Löschen eines einzelregionalen Schlüssels planen.

Da verwandte Replikatschlüssel in verschiedenen AWS-Regionen sind, können Sie nicht das Löschen von mehr als einem Replikatschlüssel gleichzeitig planen. Um alle verwandte Replikatschlüssel zu löschen, verwenden Sie ein Muster wie das folgende.

So planen Sie das Löschen aller verwandten Replikatschlüssel

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  3. Wählen Sie mit der Regionsauswahl in der oberen rechten Ecke die Region des multiregionalen Primärschlüssels aus.

  4. Wählen Sie den Alias oder die Schlüssel-ID des Primärschlüssels aus.

  5. Wählen Sie die Registerkarte Regionality (Regionalität) aus.

  6. Unter Related multi-Region keys (verwandte multiregionale Schlüssel) wählen Sie die Schlüssel-ARN eines Replikatschlüssels aus.

    Diese Aktion öffnet die Seite mit den Schlüsseldetails des Replikatschlüssels in einer neuen Browser-Registerkarte. Die Konsole ist auf die Region des Replikatschlüssels festgelegt.

  7. Wählen Sie im Menü Key actions (Schlüsselaktionen) Schedule key deletion (Schlüssellöschung planen) aus.

    Diese Aktion startet den Vorgang zur Planung der Löschung des Schlüssels. Den Vorgang zur Planung der Löschung des Schlüssels abschließen. Details hierzu finden Sie unter Planen und Abbrechen der Löschung eines Schlüssels (Konsole).

  8. Kehren Sie zur Browser-Registerkarte zurück, auf der die Registerkarte Regionality (Regionalität) des Primärschlüssels angezeigt wird. (Möglicherweise müssen Sie die Seite aktualisieren, um den aktualisierten Status der Replikatschlüssel anzuzeigen. Wählen Sie den Schlüssel-ARN eines anderen Replikatschlüssels aus, und wiederholen Sie den Vorgang zur Planung der Löschung des Replikatschlüssels.

Löschen eines Replikatschlüssels (AWS KMS-API)

Um das Löschen eines multiregionalen Replikatschlüssels zu planen, verwenden Sie die -ScheduleKeyDeletionOperation. Um den KMS-Schlüssel anzugeben, verwenden Sie dessen Schlüssel-ID oder Schüssel-ARN. Wenn Sie mit multiregionalen Schlüsseln arbeiten, können Sie die Häufigkeit von Fehlern reduzieren, indem Sie den Schlüssel-ARN mit dem expliziten Regions-Wert verwenden.

Dieser Befehl löscht beispielsweise einen Replikatschlüssel aus der Region USA West (Oregon) (us-west-2). Da der Befehl keine Wartezeit angibt, wird die Wartezeit auf den Standardwert von 30 Tagen festgelegt. 

$ aws kms schedule-key-deletion \
    --region us-west-2 \
    --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Wenn der Befehl erfolgreich ausgeführt wurde, werden der Schlüssel-ARN (KeyId), die Wartezeit (PendingWindowInDays) und das Löschdatum (DeletionDate) zurückgegeben, sowie der aktuelle Schlüsselstatus (KeyState), der voraussichtlich PendingDeletion sein wird.

Stellen Sie beim Löschen eines multiregionalen Replikatschlüssels sicher, dass die Schlüssel-ID und die Regions-Werte im Schlüssel-ARN die erwarteten Werte sind.

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
    "DeletionDate": 1599523200.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 30
}

Um alle Replikate eines multiregionalen Primärschlüssels programmgesteuert zu löschen, erstellen Sie eine Liste der Regionen, die Replikatschlüssel enthalten. Rufen Sie dann für jede Region in der Liste die ScheduleKeyDeletion-Produktion auf, wie oben gezeigt.

Im Gegensatz zu einem einzelregionalen Schlüssel, der dauerhaft gelöscht wird, können Sie einen Replikatschlüssel wiederherstellen. Dazu replizieren Sie den Primärschlüssel in die Region, in der sich der gelöschte Replikatschlüssel befand.

Um den Status des Replikatschlüssels zu überprüfen und den Primärschlüssel und die Replikatschlüssel eines multiregionalen Schlüssels anzuzeigen, verwenden Sie die -DescribeKeyOperation.

Löschen eines Primärschlüssels

Sie können jederzeit das Löschen eines multiregionalen Primärschlüssels planen. AWS KMS löscht jedoch keinen multiregionalen Primärschlüssel, der Replikatschlüssel enthält, selbst wenn sie zum Löschen geplant sind.

Um einen Primärschlüssel zu löschen, müssen Sie das Löschen all seiner Replikatschlüssel planen und dann warten, bis die Replikatschlüssel gelöscht werden. Die erforderliche Wartezeit für das Löschen eines Primärschlüssels beginnt, wenn der letzte seiner Replikatschlüssel gelöscht wird. Wenn Sie einen Primärschlüssel aus einer bestimmten Region löschen müssen, ohne dessen Replikatschlüssel zu löschen, ändern Sie den Primärschlüssel in einen Replikatschlüssel, indem Sie die primäre Region aktualisieren.

Wenn ein Primärschlüssel keine Replikatschlüssel hat, ist der Prozess identisch mit dem Löschen eines Replikatschlüssels oder dem Löschen eines beliebigen regionalen KMS-Schlüssels.

Während ein Primärschlüssel zum Löschen geplant ist, können Sie ihn nicht in kryptografischen Produktionen verwenden, und Sie können ihn nicht replizieren. Die Replikatschlüssel sind jedoch nicht davon betroffen, es sei denn, sie werden ebenfalls zum Löschen geplant.

Sie können die AWS KMS-Konsole oder die AWS KMS-API verwenden, um das Löschen von Primärschlüsseln und Replikatschlüsseln zu planen. Sie können das Löschen des Primärschlüssels vor, nach oder gleichzeitig mit dem Löschen der Replikatschlüssel planen. Der Vorgang könnte in etwa wie folgt aussehen:

  1. Planen Sie das Löschen des Primärschlüssels. Wählen Sie eine Wartezeit von 7–30 Tagen. Die Standardwartezeit beträgt 30 Tage. Die Wartezeit für den Primärschlüssel beginnt jedoch erst, wenn alle Replikatschlüssel gelöscht wurden.

    Wenn Replikatschlüssel noch vorhanden sind, wechselt der Schlüsselstatus des Primärschlüssels zu Pending replica deletion (PendingReplicaDeletion). Andernfalls ändert er sich in Pending deletion (PendingDeletion). In beiden Fällen können Sie den Primärschlüssel nicht in kryptografischen Produktionen verwenden, und Sie können ihn nicht replizieren.

    Das Planen des Löschens eines Primärschlüssels wirkt sich nicht auf die Replikatschlüssel aus. Ihr Schlüsselstatus bleibt aktiviert und Sie können sie in kryptografischen Produktionen verwenden. Wenn die Replikatschlüssel nicht gelöscht werden, kann der Pending replica deletion-Zustand des Primärschlüssels unbegrenzt beibehalten werden.

    KMS key:                    Key state:
Primary (us-east-1)           Pending replica deletion (waiting period 30 days -- not started)
Replica (us-west-2)           Enabled
Replica (eu-west-1)           Enabled
Replica (ap-southeast-2)      Enabled
    Planen des Löschens eines multiregionalen Primärschlüssels

  2. Planen Sie das Löschen jedes Replikatschlüssels. Wählen Sie eine Wartezeit von 7–30 Tagen. Die Standardwartezeit beträgt 30 Tage. Sie können mehrere Replikatschlüssel gleichzeitig löschen. Ihre Wartezeiten laufen gleichzeitig. Während der Wartezeit ändert sich der Schlüsselstatus der Replikatschlüssel in Pending deletion (PendingDeletion) und Sie können diese KMS-Schlüssel nicht in kryptografischen Produktionen verwenden.

    Wenn Sie beispielsweise über drei Replikatschlüssel verfügen, können Sie das Löschen aller drei gleichzeitig planen. Sie können die gleichen oder unterschiedliche Wartezeiten haben. Beachten Sie, dass die Wartezeit für den Primärschlüssel noch nicht begonnen hat. Sein Schlüsselstatus ist PendingReplicaDeletion, da er über vorhandene Replikatschlüssel verfügt.

    KMS key:                    Key state:
Primary key (us-east-1)       Pending replica deletion (waiting period 30 days -- not started)
Replica (us-west-2)           Pending deletion (7 days)
Replica (eu-west-1)           Pending deletion (7 days)
Replica (ap-southeast-2)      Pending deletion (30 days)

  3. Sie können das geplante Löschen des Primärschlüssels oder eines Replikatschlüssels abbrechen, bis er gelöscht wird. Der Schlüsselstatus wechselt zu Disabled, aber Sie können den KMS-Schlüssel erneut aktivieren.

  4. Wenn die Wartezeit des letzten Replikatschlüssels abgelaufen ist, löscht AWS KMS den letzten Replikatschlüssel. Der Schlüsselstatus des Primärschlüssels ändert sich von Pending replica deletion (PendingReplicaDeletion) zu Pending deletion (PendingDeletion) und die 7- bis 30-Tage-Wartezeit für den Primärschlüssel beginnt.

    KMS key:                    Key state:
Primary key (us-east-1)       Pending deletion (waiting period 30 days)
    Löschen sämtlicher Replikatschlüssel eines multiregionalen Schlüssels

  5. Wenn die Wartezeit abgelaufen ist, löscht AWS KMS den Primärschlüssel.

Die Mindestwartezeit zum Löschen eines Primärschlüssels mit Replikaten beträgt 14 Tage.

Wenn Sie das Löschen des Primärschlüssels und aller Replikatschlüssel mit einer Wartezeit von 7 Tagen planen, werden die Replikatschlüssel nach 7 Tagen gelöscht. Der Primärschlüssel wird am 14. Tag gelöscht.

  • Tag 1: Planen Sie das Löschen der Primär- und Replikatschlüssel mit der minimalen Wartezeit von 7 Tagen. Die 7-Tage-Wartezeiten für das Löschen der Replikatschlüssel werden gestartet. Die Wartezeit für den Primärschlüssel wird noch nicht gestartet.

  • Tag 7: Die Wartezeiten für das Löschen der Replikatschlüssel enden. AWS KMS löscht alle Replikatschlüssel. Wenn der letzte Replikatschlüssel gelöscht wird, beginnt die 7-Tage-Wartezeit für den Primärschlüssel.

  • Tag 14: Die Wartezeit für den Primärschlüssel endet. AWS KMS löscht den Primärschlüssel.

Sie können einen Datensatz Ihrer Aktionen in Ihrem AWS CloudTrail-Protokoll anzeigen. AWS KMS zeichnet die Produktionen auf, die das Löschen eines jeden KMS-Schlüssels planen und die Aktion, die den KMS-Schlüssel löscht.

Löschen eines Primärschlüssels (Konsole)

Gehen Sie wie folgt vor, um einen multiregionalen Primärschlüssel zu löschen.

So planen Sie die Löschung

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Markieren Sie das Kontrollkästchen neben dem Primärschlüssel, den Sie löschen möchten. Sie können auch einen oder mehrere KMS-Schlüssel auswählen, einschließlich der Replikate dieses Primärschlüssels.

  5. Wählen Sie Key actions (Schlüsselaktionen), Schedule key deletion (Schlüssellöschung planen).

  6. Lesen und berücksichtigen Sie die Warnung und die Informationen zum Abbrechen des Löschens während der Wartezeit. Wenn Sie den Löschvorgang abbrechen möchten, wählen Sie Cancel (Abbrechen).

  7. Geben Sie für Waiting period (in days) (Wartezeit (in Tagen)) eine Anzahl von Tagen zwischen 7 und 30 ein. Wenn Sie mehrere KMS-Schlüssel ausgewählt haben, gilt die von Ihnen gewählte Wartezeit für alle ausgewählten KMS-Schlüssel. Die Wartezeit für Replikatschlüssel wird gleichzeitig ausgeführt, aber die Wartezeit für den Primärschlüssel beginnt erst wenn AWS KMS den letzten Replikatschlüssel löscht.

  8. Aktivieren Sie zur Bestätigung, dass Sie den Schlüssel löschen wollen, das Kontrollkästchen neben Confirm that you want to delete this key in <number of days>.

  9. Wählen Sie Schedule deletion.

Um den Löschstatus Ihrer KMS-Schlüssel zu überprüfen, sehen Sie auf der Detailseite für den Primärschlüssel unter General configuration (allgemeine Konfiguration). Der Schlüsselstatus wird im Dialogfeld Status angezeigt. Wenn sich der Schlüsselstatus des Primärschlüssels in Pending deletion ändert, wird das geplante Löschdatum angezeigt.

Sie können auch den Schlüsselstatus (Status) aller Primär- und Replikatschlüssel auf der Registerkarte Regionality (Regionalität) der Detailseite eines beliebigen multiregionalen Schlüssels überprüfen. Details hierzu finden Sie unter Anzeigen von multiregionalen Schlüsseln.

Mehr anzeigenWeniger anzeigen

Löschen eines Primärschlüssels (AWS KMS-API)

Um einen multiregionalen Replikatschlüssel zu löschen, verwenden Sie die -ScheduleKeyDeletionOperation. Um den KMS-Schlüssel anzugeben, verwenden Sie dessen Schlüssel-ID oder Schüssel-ARN. Wenn Sie mit multiregionalen Schlüsseln arbeiten, können Sie die Häufigkeit von Fehlern reduzieren, indem Sie den Schlüssel-ARN mit dem expliziten Regions-Wert verwenden.

Dieser Befehl löscht beispielsweise einen Primärschlüssel aus der Region us-east-1 (USA Ost (Nord-Virginia)). Da der Befehl keine Wartezeit angibt, wird die Wartezeit auf den Standardwert von 30 Tagen festgelegt. 

$ aws kms schedule-key-deletion \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Wenn der Befehl erfolgreich ausgeführt wurde, gibt er den Schlüssel-ARN, den resultierenden Schlüsselstatus und die Wartezeit (PendingWindowInDays) zurück.

Wenn der Primärschlüssel keine Replikate hat, ist der Schlüsselstatus des Primärschlüssels PendingDeletion und die Ausgabe enthält das DeletionDate-Feld. Wenn Replikatschlüssel verbleiben, ist der Schlüsselstatus des Primärschlüssels PendingReplicaDeletion und DeletionDate wird weggelassen, weil es unsicher ist. Selbst wenn die Replikatschlüssel ebenfalls zum Löschen geplant sind, können Sie den geplanten Löschvorgang abbrechen.

Stellen Sie beim Löschen eines multiregionalen Primärschlüssels sicher, dass die Schlüssel-ID und die Regions-Werte im Schlüssel-ARN die erwarteten Werte sind.

{
    "KeyId": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
    "KeyState": "PendingReplicaDeletion",
    "PendingWindowInDays": 30
}

Um den Löschstatus Ihrer KMS-Schlüssel zu überprüfen, verwenden Sie die -DescribeKeyOperation für den Primärschlüssel oder alle verbleibenden Replikatschlüssel. Die Wartezeit für den Primärschlüssel wird erst gestartet, wenn das letzte Replikat gelöscht wird und der Schlüsselstatus in PendingDeletion ändert.

Um das erwartete Löschdatum des Primärschlüssels zu berechnen, durchlaufen Sie die Replikatschlüssel-ARNs in der Antwort, führen Sie DescribeKey auf jedem aus, erhalten Sie den neuesten DeletionDate-Wert und geben Sie dann den PendingDeletionWindowInDays-Wert für den Primärschlüssel hinzu. Die Wartezeiten für die Replikatschlüssel werden gleichzeitig ausgeführt.

Im folgenden Beispiel ist der KMS-Schlüssel ein multiregionaler Primärschlüssel mit vorhandenen Replikatschlüsseln. Da der Schlüsselstatus PendingReplicaDeletion ist, enthält die Antwort die Wartezeit (PendingWindowInDays), aber nicht das DeletionDate. Das tatsächliche Löschdatum des Primärschlüssels hängt davon ab, wann die Replikatschlüssel gelöscht werden.

$ aws kms describe-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1597902361.481,
        "Enabled": false,
        "Description": "",
        "KeySpec": "SYMMETRIC_DEFAULT",        
        "KeyState": "PendingReplicaDeletion",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "us-west-2"
                },
{
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                }
            ]
        },
        "PendingDeletionWindowInDays": 30
    }
}

Wenn alle Replikate gelöscht werden, zeigt die DescribeKey-Ausgabe den verbleibenden Primärschlüssel mit dem Schlüsselstatus PendingDeletion an. Während der Schlüsselstatus PendingDeletion ist, erscheint das DeletionDate-Feld anstelle des PendingWindowInDays-Felds.

$ aws kms describe-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "",
        "CreationDate": 1597902361.481,
        "Enabled": false,
        "Description": "",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "PendingDeletion",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "DeletionDate": 1597968000.0,
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": []
        }
    }
}
Mehr anzeigenWeniger anzeigen