Eliminar un AWS KMS key - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminar un AWS KMS key

Eliminar un AWS KMS key es destructivo y potencialmente peligroso. Elimina el material de claves y todos los metadatos asociados con la clave KMS. Esta acción es irreversible. Una vez que se elimina una clave KMS, ya no pueden descifrar los datos que se habían cifrado con ella, lo que significa que no se pueden recuperar. (Las únicas excepciones son las claves de réplica de varias regiones y las claves HMAC de KMS y asimétricas con material de claves importado). Este riesgo es importante en el caso de las claves KMS asimétricas que se utilizan para el cifrado, ya que, sin previo aviso ni error, los usuarios pueden seguir generando textos cifrados con la clave pública que no se pueden descifrar una vez eliminada la clave privada. AWS KMS

Debe eliminar una clave KMS solo cuando esté seguro de que ya no necesita usarla. Si no está seguro, considere la posibilidad de desactivar la clave KMS en lugar de eliminarla. Puede volver a habilitar una clave de KMS deshabilitada y cancelar la eliminación programada de una clave de KMS, pero no puede recuperar una clave de KMS eliminada.

Solo puede programar la eliminación de una clave administrada por el cliente. No puede eliminar o. Claves administradas por AWS Claves propiedad de AWS

Antes de eliminar una clave KMS, es posible que desee saber cuántos textos cifrados se cifraron con esa clave KMS. AWS KMS no almacena esta información ni almacena ninguno de los textos cifrados. Para obtener esta información, debe determinar por su cuenta el uso anterior de una clave KMS. Para obtener ayuda, consulte Determinar el uso anterior de una KMS clave.

AWS KMS nunca elimina sus claves de KMS a menos que las programe explícitamente para que se eliminen y venza el período de espera obligatorio.

Sin embargo, puede decidir eliminar una clave KMS por uno o varios de los motivos siguientes:

  • Para completar el ciclo de vida de clave de las claves KMS que ya no necesita

  • Evitar los gastos generales de administración y los costos asociados con el mantenimiento de las claves KMS no usadas

  • Para reducir el número de claves KMS que se contabilizan para su cuota de recursos de clave KMS

nota

Si cierras las tuyas Cuenta de AWS, tus claves de KMS se vuelven inaccesibles y ya no se te facturará por ellas.

AWS KMS registra una entrada en su AWS CloudTrail registro cuando programa la eliminación de la clave KMS y cuando se elimina realmente la clave KMS.

Acerca del período de espera

Dado que eliminar una clave de KMS es destructivo y potencialmente peligroso, es AWS KMS necesario establecer un período de espera de 7 a 30 días. El periodo de espera predeterminado es de 30 días.

Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el programado. Para obtener la fecha y la hora reales en las que se eliminará la clave KMS, utilice la DescribeKeyoperación. O en el consola AWS KMS , en la página de detalles para la clave KMS, en la sección Configuración general, consulte la eliminación programada. Asegúrese de anotar la zona horaria.

Durante el periodo de espera, el estado de la clave KMS y el estado de la clave son Pending deletion (Pendiente de eliminación).

Una vez finalizado el período de espera, AWS KMS elimina la clave KMS, sus alias y todos los metadatos relacionados AWS KMS .

Es posible que programar la eliminación de una clave de KMS no afecte inmediatamente a las claves de datos cifradas por la clave de KMS. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Use el periodo de espera para asegurarse de que no necesita la clave KMS ahora ni en el futuro. Puedes configurar una CloudWatch alarma de Amazon para que te avise si una persona o aplicación intenta usar la clave KMS durante el período de espera. Para recuperar la clave KMS, puede cancelar la eliminación de claves antes de que finalice el periodo de espera. Una vez finalizado el período de espera, no podrá cancelar la eliminación de la clave y AWS KMS eliminará la clave KMS.

Consideraciones especiales

Antes de programar la eliminación de las claves, revise las siguientes consideraciones especiales para eliminar las claves KMS de propósito especial.

Eliminación de claves KMS asimétricas

Los usuarios autorizados pueden eliminar las claves KMS simétricas y asimétricas. El procedimiento para programar la eliminación de estas claves KMS es el mismo para ambos tipos de claves. Sin embargo, dado que la clave pública de una clave KMS asimétrica se puede descargar y utilizar fuera de ella AWS KMS, la operación plantea riesgos adicionales importantes, especialmente en el caso de las claves KMS asimétricas que se utilizan para el cifrado (el uso de la clave es). ENCRYPT_DECRYPT

  • Cuando planifica la eliminación de una clave KMS, el estado de la clave de la clave KMS cambia a Pending deletion (Pendiente de eliminación) y la clave KMS no se puede utilizar en operaciones criptográficas. Sin embargo, programar la eliminación no tiene ningún efecto en las claves públicas ajenas a. AWS KMS Los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. No reciben ninguna notificación de que se haya cambiado el estado de la clave. A menos que se cancele la eliminación, el texto cifrado creado con la clave pública no se puede descifrar.

  • Las alarmas, los registros y otras estrategias que detectan los intentos de uso de la clave KMS que está pendiente de eliminación no pueden detectar el uso de la clave pública fuera de AWS KMS.

  • Cuando se elimina la clave KMS, todas AWS KMS las acciones relacionadas con esa clave KMS fallan. Sin embargo, los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. Estos textos cifrados no se pueden descifrar.

Si debe eliminar una clave KMS asimétrica con un uso de clave igual aENCRYPT_DECRYPT, utilice las entradas de CloudTrail registro para determinar si la clave pública se ha descargado y compartido. Si ha sido así, compruebe que la clave pública no se utilice fuera de AWS KMS. Después, considere la posibilidad de desactivar la clave KMS en lugar de eliminarla.

El riesgo que supone eliminar una clave de KMS asimétrica se mitiga en el caso de las claves de KMS asimétricas con material de claves importado. Para obtener más información, consulte Deleting KMS keys with imported key material.

Eliminación de claves de varias regiones

Para eliminar una clave principal, debe programar la eliminación de todas sus claves de réplica y esperar a que se eliminen las claves de réplica. El período de espera necesario para eliminar una clave principal comienza cuando se elimina la última de sus claves de réplica. Si debe eliminar una clave principal de una región concreta sin eliminar sus claves de réplica, cambie la clave principal por una clave de réplica mediante actualización de la región principal.

Puede eliminar una clave réplica en cualquier momento. No depende del estado de la clave de ninguna otra clave KMS. Si elimina por error una clave de réplica, puede volver a crearla replicando la misma clave primaria en la misma región. La nueva clave de réplica que cree tendrá las mismas propiedades compartidas que la clave de réplica original.

Eliminación de claves KMS con material de claves importado

Eliminar el material de claves de una clave de KMS con material de claves importado es temporal y reversible. Para restaurar la clave, vuelva a importar su material de claves.

Por el contrario, eliminar una clave KMS es irreversible. Si programa la eliminación de la clave y vence el período de espera requerido, eliminará de AWS KMS forma permanente e irreversible la clave KMS, su material clave y todos los metadatos asociados a la clave KMS.

Sin embargo, el riesgo y las consecuencias de eliminar una clave de KMS con material de claves importado dependen del tipo (“especificación de clave”) de la clave de KMS.

  • Claves de cifrado simétrico: si elimina una clave de KMS de cifrado simétrico, no se podrán recuperar los textos cifrados restantes cifrados con esa clave. No puede crear una nueva clave de KMS de cifrado simétrico que pueda descifrar los textos cifrados de una clave de KMS de cifrado simétrico eliminada, incluso si tiene el mismo material de claves. Los metadatos exclusivos de cada clave de KMS están enlazados criptográficamente a cada texto cifrado simétrico. Esta característica de seguridad garantiza que solo la clave de KMS que cifró el texto cifrado simétrico pueda descifrarlo, pero le impide volver a crear una clave de KMS equivalente.

  • Claves asimétricas y HMAC: si dispone del material clave original, puede crear una nueva clave KMS con las mismas propiedades criptográficas que una clave KMS asimétrica o HMAC que se haya eliminado. AWS KMS genera firmas y textos cifrados RSA estándar, firmas ECC y etiquetas HMAC, que no incluyen ninguna característica de seguridad exclusiva. Además, puede utilizar una clave HMAC o la clave privada de un par de claves asimétricas fuera de AWS.

    Una clave de KMS nueva que cree con el mismo material de clave asimétrica o HMAC tendrá un identificador de clave diferente. Tendrá que crear una nueva política de claves, volver a crear los alias y actualizar las políticas y concesiones de IAM existentes para hacer referencia a la nueva clave.

Eliminar claves KMS de un almacén de claves AWS CloudHSM

Al programar la eliminación de una clave KMS de un almacén de AWS CloudHSM claves, su estado de clave cambia a Pendiente de eliminación. La clave de KMS conservará el estado Pending deletion (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque ha desconectado el almacén de claves personalizado. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera.

Cuando vence el período de espera, AWS KMS elimina la clave KMS de AWS KMS. A continuación, AWS KMS hace todo lo posible por eliminar el material clave del AWS CloudHSM clúster asociado. Si AWS KMS no puede eliminar el material de claves, como, por ejemplo, cuando el almacén de claves está desconectado de AWS KMS, es probable que tenga que eliminar el material de claves huérfano manualmente del clúster.

AWS KMS no elimina el material clave de las copias de seguridad del clúster. Incluso si elimina la clave de KMS AWS KMS y elimina su material clave del AWS CloudHSM clúster, los clústeres creados a partir de las copias de seguridad pueden contener el material clave eliminado. Para eliminar permanentemente el material clave, utilice la DescribeKeyoperación para identificar la fecha de creación de la clave KMS. A continuación, elimine todas las copias de seguridad del clúster que puedan contener el material de claves.

Al programar la eliminación de una clave de KMS de un almacén de AWS CloudHSM claves, la clave de KMS queda inutilizable de inmediato (sujeto a una posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a Servicios de AWS muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Eliminación de claves KMS de un almacén de claves externo

La eliminación de una clave de KMS de un almacén de claves externo no afecta a la clave externa que sirvió como material de claves.

Cuando programa la eliminación de una clave de KMS de un almacén de claves externo, su estado de clave cambia a Pending deletion (Eliminación pendiente). La clave de KMS conservará el estado Pending deletion (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque ha desconectado el almacén de claves externo. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera. Cuando caduque el período de espera, AWS KMS elimina la clave KMS de AWS KMS.

Al programar la eliminación de una clave de KMS de un almacén de claves externo, la clave de KMS queda inutilizable de inmediato (sujeto a la posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.