Programar la eliminación de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Programar la eliminación de claves

Los siguientes procedimientos describen cómo programar y cancelar la eliminación de claves de AWS KMS keys (claves KMS) en AWS KMS utilizando la AWS Management Console y la API de AWS KMS.

aviso

La eliminación de una clave KMS es un proceso destructivo y potencialmente peligroso. Solo debe hacerlo si está seguro de que ya no necesitará la clave KMS y no tendrá que usarla en el futuro. Si no está seguro, debe desactivar la clave KMS en lugar de eliminarla.

Para poder eliminar una clave KMS, debe disponer de permiso para hacerlo. Para obtener información sobre cómo conceder estos permisos a los administradores de claves, consulte Control del acceso a la eliminación de claves. También puede usar la clave de condición kms:ScheduleKeyDeletionPendingWindowInDays para restringir aún más el periodo de espera, por ejemplo, para imponer un periodo de espera mínimo.

AWS KMS registra una entrada en su registro AWS CloudTrail cuando programa la eliminación de la clave de KMS y cuando la clave de KMS se elimina en realidad.

En la AWS Management Console, puede programar y cancelar la eliminación de varias claves KMS a la vez.

Para programar la eliminación de claves
  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

    No puede programar la eliminación de Claves administradas por AWS o Claves propiedad de AWS.

  4. Seleccione la casilla de verificación situada junto a la clave de KMS que desea eliminar.

  5. Elija Key actions (Acciones de claves), Schedule key deletion (Programar la eliminación de claves).

  6. Lea y tenga en cuenta la advertencia y la información sobre la cancelación de la eliminación durante el período de espera. Si decide cancelar la eliminación, en la parte inferior de la página, elija Cancel (Cancelar).

  7. En Waiting period (in days) [Período de espera (en días)], indique un número de días entre 7 y 30.

  8. Revise las claves KMS que está eliminando.

  9. Seleccione la casilla de verificación situada junto a Confirm you want to schedule this key for deletion in <number of days> days (Confirme que quiere programar la eliminación de esta clave para dentro de <número de días> días).

  10. Elija Schedule deletion.

El estado de clave KMS cambia a Pending deletion (Eliminación pendiente).

Utilice el comando aws kms schedule-key-deletion para programar la eliminación de una clave administrada por el cliente, tal y como se muestra en el siguiente ejemplo.

No puede programar la eliminación de una Clave administrada de AWS o una Clave propiedad de AWS.

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

Cuando se utiliza de forma correcta, la AWS CLI devuelve una salida como la que se muestra en el ejemplo siguiente:

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }