Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Planification et annulation d'une suppression de clé
Les procédures suivantes décrivent comment planifier une suppression de clé et annuler la suppression de AWS KMS keys (clés KMS) à région unique dans AWS KMS à l'aide de la AWS Management Console, de l'AWS CLI et de AWS SDK for Java.
Pour plus d'informations sur la planification de la suppression de clés multi-région, veuillez consulter Suppression de clés multi-régions.
Avertissement
La suppression d'une clé KMS est destructrice et potentiellement dangereuse. Vous devez y avoir recours seulement lorsque vous êtes sûr de ne plus avoir besoin d'utiliser la clé KMS maintenant ni par la suite. Si vous n'en êtes pas sûr, vous devriez désactiver la clé KMS au lieu de la supprimer.
Avant de pouvoir supprimer une clé KMS, vous devez avoir la permission de le faire. Pour plus d'informations sur l'octroi de ces autorisations aux administrateurs de clés, veuillez consulter la rubrique Contrôle de l'accès à une suppression de clé. Vous pouvez également utiliser la clé de condition kms:ScheduleKeyDeletionPendingWindowInDays pour limiter davantage le délai d'attente, par exemple en imposant un délai d'attente minimum.
AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous planifiez la suppression de la clé KMS et lorsque la clé KMS est réellement supprimée.
Planification et annulation d'une suppression de clé (console)
Dans la AWS Management Console, vous pouvez planifier et annuler la suppression de plusieurs clés KMS à la fois.
Pour planifier une suppression de clé
-
Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms
. -
Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
-
Dans le volet de navigation, choisissez Clés gérées par le client.
Vous ne pouvez pas planifier la suppression deClés gérées par AWS ou de Clés détenues par AWS.
-
Cochez la case en regard de la clé KMS que vous souhaitez supprimer.
-
Choisissez Actions de clé, Planifier une suppression de clé.
-
Lisez et tenez compte de l'avertissement et des informations sur l'annulation de la suppression pendant la période d'attente. Si vous décidez d'annuler la suppression, en bas de la page, sélectionnez Cancel (Annuler).
-
Pour Période d'attente (en jours), tapez un nombre de jours compris entre 7 et 30.
-
Vérifiez les clés KMS que vous supprimez.
-
Cochez la case en regard de Confirm you want to schedule this key for deletion in
<number of days>days. (Confirmez que cette clé doit être supprimée dans <number of days> jours). -
Choisissez Schedule deletion (Planifier la suppression).
L'état de la clé KMS passe à Pending deletion (En attente de suppression).
Pour annuler une suppression de clé
-
Ouvrez la console AWS KMS à l’adresse https://console.aws.amazon.com/kms
. -
Pour changer de Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
-
Dans le volet de navigation, choisissez Clés gérées par le client.
-
Cochez la case en regard de la clé KMS que vous souhaitez récupérer.
-
Choisissez Actions de clé, Annuler la suppression de clé.
L'état de la clé KMS passe de Pending deletion (En attente de suppression) à Disabled (Désactivé). Pour utiliser la clé KMS, vous devez l'activer.
Planification et annulation d'une suppression de clé (AWS CLI)
Utilisez la commande aws kms
schedule-key-deletion pour planifier une suppression de clé gérée par le client, comme illustré dans l'exemple suivant.
Vous ne pouvez pas planifier la suppression d'une Clé gérée par AWS ou d'une Clé détenue par AWS.
$ aws kms schedule-key-deletion --key-id1234abcd-12ab-34cd-56ef-1234567890ab--pending-window-in-days 10
Lorsqu'elle est utilisée avec succès, l'AWS CLI renvoie une sortie similaire à celle affichée dans l'exemple suivant :
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }
Utilisez la commande aws kms
cancel-key-deletion pour annuler une suppression de clé à partir de l'AWS CLI, comme illustré dans l'exemple suivant.
$ aws kms cancel-key-deletion --key-id1234abcd-12ab-34cd-56ef-1234567890ab
Lorsqu'elle est utilisée avec succès, l'AWS CLI renvoie une sortie similaire à celle affichée dans l'exemple suivant :
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }
L'état de la clé KMS passe de Pending Deletion (En attente de suppression) à Disabled (Désactivé). Pour utiliser la clé KMS, vous devez l'activer.
Planification et annulation d'une suppression de clé (AWS SDK for Java)
L'exemple suivant montre comment planifier la suppression d'une clé gérée par le client à l'aide de AWS SDK for Java. Cet exemple exige que vous instanciiez auparavant un client AWSKMSClient en tant que kms.
String KeyId = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"; int PendingWindowInDays = 10; ScheduleKeyDeletionRequest scheduleKeyDeletionRequest = new ScheduleKeyDeletionRequest().withKeyId(KeyId).withPendingWindowInDays(PendingWindowInDays); kms.scheduleKeyDeletion(scheduleKeyDeletionRequest);
L'exemple suivant montre comment annuler la suppression d'une clé à l'aide du kit AWS SDK for Java. Cet exemple exige que vous instanciiez auparavant un client AWSKMSClient en tant que kms.
String KeyId = "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"; CancelKeyDeletionRequest cancelKeyDeletionRequest = new CancelKeyDeletionRequest().withKeyId(KeyId); kms.cancelKeyDeletion(cancelKeyDeletionRequest);
L'état de la clé KMS passe de Pending Deletion (En attente de suppression) à Disabled (Désactivé). Pour utiliser la clé KMS, vous devez l'activer.
