Programar la eliminación de claves de KMS de un almacén de claves externo - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Programar la eliminación de claves de KMS de un almacén de claves externo

Si está seguro de que no necesitará una AWS KMS key para ninguna operación criptográfica, puede programar la eliminación de la clave KMS. Puede usar el mismo procedimiento que utilizaría para programar la eliminación de una clave KMS de AWS KMS. La eliminación de una clave de KMS de un almacén de claves externo no afecta a la clave externa que sirvió como material de claves.

Puede cancelar la eliminación programada de una clave de KMS durante su periodo de espera. Sin embargo, una clave de KMS eliminada no se puede recuperar. No puede volver a crear una clave de KMS de cifrado simétrico en un almacén de claves externo, incluso si usa la misma clave externa. Como cada clave de KMS simétrica de un almacén de claves externo tiene un material de claves de AWS KMS y metadatos únicos, solo la clave de AWS KMS que cifró un texto cifrado simétrico puede descifrarlo.

aviso

Eliminar una clave de KMS es una operación destructiva y potencialmente peligrosa que evita que recupere todo el cifrado de datos con la clave de KMS. Antes de programar la eliminación de la clave de KMS, examine el uso anterior de la clave de KMS y cree una CloudWatch alarma de Amazon que le avise cuando alguien intente usar la clave de KMS mientras está pendiente de ser eliminada. Es preferible, siempre que sea posible, desactivar la clave KMS a eliminarla.

Cuando programa la eliminación de una clave de KMS de un almacén de claves externo, su estado de clave cambia a Pending deletion (Eliminación pendiente). La clave de KMS conservará el estado Pending deletion (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque ha desconectado el almacén de claves externo. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera. Cuando finaliza el periodo de espera, AWS KMS elimina la clave KMS de AWS KMS.

Al programar la eliminación de una clave de KMS de un almacén de claves externo, la clave de KMS queda inutilizable de inmediato (sujeto a la posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más detalles, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Puede monitorear la programación, la cancelación y la eliminación de la clave de KMS en sus registros de AWS CloudTrail.