Planifier la suppression des clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Planifier la suppression des clés

Les procédures suivantes décrivent comment planifier la suppression des clés et annuler la suppression des clés AWS KMS keys (clés KMS) à AWS KMS l'aide de l'API AWS Management Console et de l' AWS KMS API.

Avertissement

La suppression d'une clé KMS est destructrice et potentiellement dangereuse. Vous devez y avoir recours seulement lorsque vous êtes sûr de ne plus avoir besoin d'utiliser la clé KMS maintenant ni par la suite. Si vous n'en êtes pas sûr, vous devriez désactiver la clé KMS au lieu de la supprimer.

Avant de pouvoir supprimer une clé KMS, vous devez avoir la permission de le faire. Pour plus d'informations sur l'octroi de ces autorisations aux administrateurs de clés, veuillez consulter la rubrique Contrôler l'accès à la suppression des clés. Vous pouvez également utiliser la clé de condition kms:ScheduleKeyDeletionPendingWindowInDays pour limiter davantage le délai d'attente, par exemple en imposant un délai d'attente minimum.

AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous planifiez la suppression de la clé KMS et lorsque la clé KMS est effectivement supprimée.

Dans le AWS Management Console, vous pouvez planifier et annuler la suppression de plusieurs clés KMS à la fois.

Pour planifier une suppression de clé
  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

    Vous ne pouvez pas planifier la suppression deClés gérées par AWS ou de Clés détenues par AWS.

  4. Cochez la case en regard de la clé KMS que vous souhaitez supprimer.

  5. Choisissez Actions de clé, Planifier une suppression de clé.

  6. Lisez et tenez compte de l'avertissement et des informations sur l'annulation de la suppression pendant la période d'attente. Si vous décidez d'annuler la suppression, en bas de la page, sélectionnez Cancel (Annuler).

  7. Pour Période d'attente (en jours), tapez un nombre de jours compris entre 7 et 30.

  8. Vérifiez les clés KMS que vous supprimez.

  9. Cochez la case à côté de Confirmer que vous souhaitez planifier la suppression de cette clé dans <number of days> quelques jours. .

  10. Choisissez Schedule deletion (Planifier la suppression).

L'état de la clé KMS passe à Pending deletion (En attente de suppression).

Utilisez la commande aws kms schedule-key-deletion pour planifier une suppression de clé gérée par le client, comme illustré dans l'exemple suivant.

Vous ne pouvez pas planifier la suppression d'un Clé gérée par AWS ou Clé détenue par AWS.

$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10

Lorsqu'il est utilisé avec succès, le résultat AWS CLI renvoyé est similaire à celui illustré dans l'exemple suivant :

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }