Eliminación de AWS KMS keys - AWS Key Management Service
Acerca del período de esperaEliminación de claves KMS asimétricasEliminación de claves de varias regionesEliminación de claves de KMS con material de claves importado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminación de AWS KMS keys

La eliminación de una AWS KMS key es un proceso destructivo y potencialmente peligroso. Elimina el material de claves y todos los metadatos asociados con la clave KMS. Esta acción es irreversible. Una vez que se elimina una clave KMS, ya no pueden descifrar los datos que se habían cifrado con ella, lo que significa que no se pueden recuperar. (Las únicas excepciones son las claves de réplica de varias regiones y las claves HMAC de KMS y asimétricas con material de claves importado). Este riesgo es importante en el caso de las claves de KMS asimétricas que se utilizan para el cifrado, ya que, sin previo aviso ni error, los usuarios pueden seguir generando textos cifrados con la clave pública que no se pueden descifrar una vez eliminada la clave privada de AWS KMS.

Debe eliminar una clave KMS solo cuando esté seguro de que ya no necesita usarla. Si no está seguro, considere la posibilidad de desactivar la clave KMS en lugar de eliminarla. Puede volver a habilitar una clave de KMS deshabilitada y cancelar la eliminación programada de una clave de KMS, pero no puede recuperar una clave de KMS eliminada.

Solo puede programar la eliminación de una clave administrada por el cliente. No puede eliminar Claves administradas por AWS ni Claves propiedad de AWS.

Antes de eliminar una clave KMS, es recomendable que averigüe cuántos textos se han cifrado con dicha clave. AWS KMS no almacena esta información ni ninguno de los textos cifrados. Para obtener esta información, debe determinar por su cuenta el uso anterior de una clave KMS. Para obtener ayuda, consulte Determinar el uso anterior de una clave KMS.

AWS KMS nunca elimina las claves KMS a menos que las programe explícitamente para su eliminación y venza el periodo de espera obligatorio.

Sin embargo, puede decidir eliminar una clave KMS por uno o varios de los motivos siguientes:

  • Para completar el ciclo de vida de clave de las claves KMS que ya no necesita

  • Evitar los gastos generales de administración y los costos asociados con el mantenimiento de las claves KMS no usadas

  • Para reducir el número de claves KMS que se contabilizan para su cuota de recursos de clave KMS

nota

Si cierra su Cuenta de AWS, sus claves de KMS dejarán de estar accesibles y no se le facturará por ellas.

AWS KMS registra una entrada en su registro AWS CloudTrail cuando programa la eliminación de la clave de KMS y cuando la clave de KMS se elimina en realidad.

Para obtener información acerca de cómo eliminar claves principales y réplicas de varias regiones, consulte Eliminación de claves de varias regiones.

Temas

Acerca del período de espera

Como la eliminación de una clave KMS es un proceso destructivo y potencialmente peligroso, AWS KMS requiere que establezca un período de espera de 7 a 30 días. El periodo de espera predeterminado es de 30 días.

Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el programado. Para obtener la fecha y la hora reales en las que se eliminará la clave KMS, utilice la DescribeKeyoperación. O en el consola AWS KMS, en la página de detalles para la clave KMS, en la sección Configuración general, consulte la eliminación programada. Asegúrese de anotar la zona horaria.

Durante el periodo de espera, el estado de la clave KMS y el estado de la clave son Pending deletion (Pendiente de eliminación).

Una vez finalizado el período de espera, AWS KMS elimina la clave KMS, sus alias y todos los metadatos de AWS KMS.

Es posible que programar la eliminación de una clave de KMS no afecte inmediatamente a las claves de datos cifradas por la clave de KMS. Para obtener más detalles, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Use el periodo de espera para asegurarse de que no necesita la clave KMS ahora ni en el futuro. Puedes configurar una CloudWatch alarma de Amazon para que te avise si una persona o aplicación intenta usar la clave KMS durante el período de espera. Para recuperar la clave KMS, puede cancelar la eliminación de claves antes de que finalice el periodo de espera. Una vez que finaliza el periodo de espera, no puede cancelar la eliminación de claves y AWS KMS elimina la clave KMS.

Eliminación de claves KMS asimétricas

Los usuarios autorizados pueden eliminar las claves KMS simétricas y asimétricas. El procedimiento para programar la eliminación de estas claves KMS es el mismo para ambos tipos de claves. Sin embargo, debido a que la clave pública de una clave KMS asimétrica se puede descargar y utilizar fuera de AWS KMS, la operación plantea riesgos adicionales significativos, especialmente para las claves KMS asimétricas utilizadas para el cifrado (el uso de la clave es ENCRYPT_DECRYPT).

  • Cuando planifica la eliminación de una clave KMS, el estado de la clave de la clave KMS cambia a Pending deletion (Pendiente de eliminación) y la clave KMS no se puede utilizar en operaciones criptográficas. Sin embargo, la eliminación de la programación no tiene ningún efecto en las claves públicas fuera de AWS KMS. Los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. No reciben ninguna notificación de que se haya cambiado el estado de la clave. A menos que se cancele la eliminación, el texto cifrado creado con la clave pública no se puede descifrar.

  • Las alarmas, los registros y otras estrategias que detectan los intentos de uso de la clave KMS que está pendiente de eliminación no pueden detectar el uso de la clave pública fuera de AWS KMS.

  • Cuando se elimina la clave KMS, todas las acciones de AWS KMS que involucran a esa clave KMS fallan. Sin embargo, los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. Estos textos cifrados no se pueden descifrar.

Si debe eliminar una clave KMS asimétrica con un uso de clave igual aENCRYPT_DECRYPT, utilice las entradas de CloudTrail registro para determinar si la clave pública se ha descargado y compartido. Si ha sido así, compruebe que la clave pública no se utilice fuera de AWS KMS. Después, considere la posibilidad de desactivar la clave KMS en lugar de eliminarla.

El riesgo que supone eliminar una clave de KMS asimétrica se mitiga en el caso de las claves de KMS asimétricas con material de claves importado. Para obtener más detalles, consulte Eliminación de una clave de KMS con material de claves importado.

Eliminación de claves de varias regiones

Los usuarios autorizados puede programar la eliminación de claves primarias y réplicas de varias regiones. Sin embargo, AWS KMS no eliminará una clave principal de varias regiones que tenga claves de réplica. Además, siempre y cuando exista su clave principal, puede volver a crear una clave de réplica de varias regiones eliminada. Para obtener más detalles, consulte Eliminación de claves de varias regiones.

Eliminación de claves de KMS con material de claves importado

Los usuarios autorizados pueden programar la eliminación de claves de KMS con material de claves importado. Esta acción elimina de forma permanente la clave de KMS, su material de claves y todos los metadatos asociados con la clave de KMS.

No puede crear una nueva clave de KMS de cifrado simétrico que pueda descifrar los textos cifrados de una clave de cifrado simétrico eliminada con material de claves importado, incluso si tiene una copia de su material de claves. Sin embargo, si tiene el material de claves, puede recrear de manera efectiva una clave de KMS asimétrica o una clave HMAC de KMS con material de claves importado. Para obtener más detalles, consulte Eliminación de una clave de KMS con material de claves importado.