Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Programar la eliminación de claves de KMS de un almacén de claves de AWS CloudHSM
Si está seguro de que no necesitará una AWS KMS key para ninguna operación criptográfica, puede programar la eliminación de la clave KMS. Puede usar el mismo procedimiento que utilizaría para programar la eliminación de una clave KMS de AWS KMS. Además, debe mantener el almacén de claves de AWS CloudHSM conectado para que AWS KMS pueda eliminar el material de claves correspondiente del clúster de AWS CloudHSM asociado cuando venza el periodo de espera.
Puede monitorear la programación, la cancelación y la eliminación de la clave de KMS en sus registros de AWS CloudTrail.
aviso
Eliminar una clave de KMS es una operación destructiva y potencialmente peligrosa que evita que recupere todo el cifrado de datos con la clave de KMS. Antes de programar la eliminación de la clave de KMS, examine el uso anterior de la clave de KMS y cree una CloudWatch alarma de Amazon que le avise cuando alguien intente usar la clave de KMS mientras está pendiente de ser eliminada. Es preferible, siempre que sea posible, desactivar la clave KMS a eliminarla.
Si programa la eliminación de una clave de KMS de un almacén de claves de AWS CloudHSM, su estado de clave cambiará a Pending deletion (Eliminación pendiente). La clave de KMS conservará el estado Pending deletion (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque ha desconectado el almacén de claves personalizado. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera.
Cuando finaliza el periodo de espera, AWS KMS elimina la clave KMS de AWS KMS. AWS KMS hará lo posible por eliminar el material de claves del clúster de AWS CloudHSM asociado. Si AWS KMS no puede eliminar el material de claves, como, por ejemplo, cuando el almacén de claves está desconectado de AWS KMS, es probable que tenga que eliminar el material de claves huérfano manualmente del clúster.
AWS KMS no elimina el material de claves de las copias de seguridad del clúster. Incluso si elimina la clave KMS de AWS KMS y borra su material de claves de su clúster de AWS CloudHSM, los clústers creados a partir de copias de seguridad podrían incluir material de claves eliminado. Para eliminar el material de claves de forma permanente, consulte la fecha de creación de la clave KMS. A continuación, elimine todas las copias de seguridad del clúster que puedan contener el material de claves.
Al programar la eliminación de una clave de KMS de un almacén de claves de AWS CloudHSM, la clave de KMS queda inutilizable de inmediato (sujeto a la posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.
