Supprimer un AWS KMS key - AWS Key Management Service
À propos de la période d'attenteConsidérations spéciales

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Supprimer un AWS KMS key

La suppression d'un AWS KMS key est destructrice et potentiellement dangereuse. Elle supprime les éléments de clé et toutes les métadonnées associées à la clé KMS, et elle est irréversible. Après la suppression d'une clé KMS, vous ne pouvez plus déchiffrer les données chiffrées sous cette clé, ce qui signifie que les données deviennent irrécupérables. (Les seules exceptions sont les clés de réplica multi-région et les clés asymétriques et KMS HMAC avec un élément de clé importé.) Ce risque est important pour les clés KMS asymétriques utilisées pour le chiffrement où, sans avertissement ni erreur, les utilisateurs peuvent continuer à générer des textes chiffrés avec la clé publique qui ne peuvent pas être déchiffrés une fois la clé privée supprimée. AWS KMS

Vous devez supprimer une clé KMS seulement lorsque vous êtes sûr de ne plus avoir besoin de l'utiliser. Si vous n'en êtes pas sûr, envisagez de désactiver la clé KMS au lieu de la supprimer. Vous pouvez réactiver une clé KMS désactivée et annuler la suppression planifiée d'une clé KMS, mais vous ne pouvez pas récupérer une clé KMS supprimée.

Vous ne pouvez pas planifier la suppression d'une clé gérée par le client. Vous ne pouvez pas supprimer Clés gérées par AWS ou Clés détenues par AWS.

Avant de supprimer une clé KMS, vous souhaiterez peut-être savoir combien de textes chiffrés ont été chiffrés sous cette clé KMS. AWS KMS ne stocke pas ces informations et ne stocke aucun texte chiffré. Pour obtenir ces informations, vous devez déterminer l'utilisation passée d'une clé KMS. Pour obtenir de l'aide, rendez-vous sur Déterminer l'utilisation passée d'une clé KMS.

AWS KMS ne supprime jamais vos clés KMS à moins que vous ne les programmiez explicitement pour leur suppression et que le délai d'attente obligatoire expire.

Toutefois, vous pouvez choisir de supprimer une clé KMS pour une ou plusieurs des raisons suivantes :

  • Pour terminer le cycle de vie de clés KMS dont vous n'avez plus besoin

  • Pour éviter les frais généraux et les coûts de gestion associés à la maintenance des clés KMS inutilisées

  • Pour réduire le nombre de clés KMS qui comptent par rapport à votre quota de ressources de clés KMS

Note

Si vous fermez votre Compte AWS, vos clés KMS deviennent inaccessibles et ne vous sont plus facturées.

AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous planifiez la suppression de la clé KMS et lorsque la clé KMS est effectivement supprimée.

À propos de la période d'attente

Comme il est destructeur et potentiellement dangereux de supprimer une clé KMS AWS KMS , vous devez définir un délai d'attente de 7 à 30 jours. La période d'attente par défaut est de 30 jours.

Cependant, la période d'attente réelle peut être jusqu'à 24 heures plus longue celle que vous avez planifiée. Pour obtenir la date et l'heure réelles auxquelles la clé KMS sera supprimée, utilisez l'DescribeKeyopération. Ou, dans la console AWS KMS , dans la page de détails de la clé KMS, dans la section General configuration (Configuration générale), veuillez consulter la Scheduled deletion date (Date de suppression planifiée). Assurez-vous de noter le fuseau horaire.

Pendant la période d'attente, l'état de la clé KMS est Pending deletion (Suppression en attente).

Une fois la période d'attente terminée, AWS KMS supprime la clé KMS, ses alias et toutes les métadonnées associées AWS KMS .

La planification de la suppression d'une clé KMS peut ne pas affecter immédiatement les clés de données chiffrées par la clé KMS. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.

Utilisez la période d'attente pour vous assurer de ne pas avoir besoin de la clé KMS maintenant ni par la suite. Vous pouvez configurer une CloudWatch alarme Amazon pour vous avertir si une personne ou une application tente d'utiliser la clé KMS pendant la période d'attente. Pour récupérer la clé KMS, vous pouvez annuler la suppression de clé avant la fin de la période d'attente. Une fois la période d'attente terminée, vous ne pouvez pas annuler la suppression de la clé et AWS KMS supprimez la clé KMS.

Considérations spéciales

Avant de planifier la suppression de vos clés, passez en revue les considérations spéciales suivantes concernant la suppression de clés KMS à usage spécifique.

Suppression de clés KMS asymétriques

Les utilisateurs autorisés peuvent supprimer des clés KMS symétriques ou asymétriques. La procédure pour planifier la suppression de ces clés KMS est la même pour les deux types de clés. Cependant, étant donné que la clé publique d'une clé KMS asymétrique peut être téléchargée et utilisée à l'extérieur AWS KMS, l'opération présente des risques supplémentaires importants, en particulier pour les clés KMS asymétriques utilisées pour le chiffrement (l'utilisation de la clé estENCRYPT_DECRYPT).

  • Lorsque vous planifiez la suppression d'une clé KMS, l'état de la clé KMS devient Pending deletion (Suppression en attente), et la clé ne peut pas être utilisée dans les opérations cryptographiques. Cependant, la planification de la suppression n'a aucun effet sur les clés publiques en dehors de AWS KMS. Les utilisateurs disposant de la clé publique peuvent continuer à les utiliser pour chiffrer les messages. Ils ne reçoivent aucune notification indiquant que l'état de la clé est modifié. Sauf si la suppression est annulée, le texte chiffré créé avec la clé publique ne peut pas être déchiffré.

  • Les alarmes, les journaux et les autres politiques qui détectent les tentatives d'utilisation de la clé KMS en attente de suppression ne peuvent pas détecter l'utilisation de la clé publique en dehors d' AWS KMS.

  • Lorsque la clé KMS est supprimée, toutes les AWS KMS actions impliquant cette clé KMS échouent. Toutefois, les utilisateurs disposant de la clé publique peuvent continuer à les utiliser pour chiffrer les messages. Ces textes chiffrés ne peuvent pas être déchiffrés.

Si vous devez supprimer une clé KMS asymétrique dont la clé d'utilisation est deENCRYPT_DECRYPT, utilisez les entrées de votre CloudTrail journal pour déterminer si la clé publique a été téléchargée et partagée. Si c'est le cas, vérifiez que la clé publique n'est pas utilisée en dehors d' AWS KMS. Ensuite, pensez à désactiver la clé KMS au lieu de la supprimer.

Le risque lié à la suppression d'une clé KMS asymétrique est atténué pour les clés KMS asymétriques avec un élément de clé importé. Pour plus de détails, consultez Deleting KMS keys with imported key material.

Suppression de clés multirégionales

Pour supprimer une clé principale, vous devez planifier la suppression de toutes ses clés de réplica, puis attendre que celles-ci soient supprimées. Le délai d'attente requis pour la suppression d'une clé principale commence lorsque la dernière de ses clés de réplica est supprimée. Si vous devez supprimer une clé principale d'une région particulière sans supprimer ses clés de réplica, transformez la clé principale en clé de réplica en mettant à jour la région principale.

Vous pouvez supprimer une clé de réplica à tout moment. Cela ne dépend pas de l'état de clé d'une autre clé KMS. Si vous supprimez par erreur une clé de réplica, vous pouvez la recréer en répliquant la même clé primaire dans la même région. La nouvelle clé de réplica que vous allez créer aura les mêmes propriétés partagées que la clé de réplica d'origine.

Suppression de clés KMS avec du matériel clé importé

La suppression des éléments de clé d'une clé KMS avec des éléments de clé importés est temporaire et réversible. Pour restaurer la clé, réimportez son élément de clé.

En revanche, la suppression d'une clé KMS est irréversible. Si vous planifiez la suppression de la clé et que le délai d'attente requis expire, supprime AWS KMS définitivement et irréversiblement la clé KMS, son contenu clé et toutes les métadonnées associées à la clé KMS.

Cependant, les risques et les conséquences liés à la suppression d'une clé KMS contenant un élément de clé importé dépendent du type (« spécification de clé ») de la clé KMS.

  • Clés de chiffrement symétriques – Si vous supprimez une clé KMS de chiffrement symétrique, tous les textes chiffrés restants chiffrés par cette clé sont irrécupérables. Vous ne pouvez pas créer une nouvelle clé KMS de chiffrement symétrique capable de déchiffrer les textes chiffrés d'une clé KMS de chiffrement symétrique supprimée, même si vous disposez du même élément de clé. Les métadonnées propres à chaque clé KMS sont liées par cryptographie à chaque texte chiffré symétrique. Cette fonctionnalité de sécurité garantit que seule la clé KMS qui a chiffré le texte chiffré symétrique peut le déchiffrer, mais elle vous empêche de recréer une clé KMS équivalente.

  • Clés asymétriques et HMAC : si vous disposez du contenu de la clé d'origine, vous pouvez créer une nouvelle clé KMS avec les mêmes propriétés cryptographiques qu'une clé asymétrique ou HMAC KMS supprimée. AWS KMS génère des textes chiffrés et des signatures RSA standard, des signatures ECC et des balises HMAC, qui n'incluent aucune fonctionnalité de sécurité unique. Vous pouvez également utiliser une clé HMAC ou la clé privée d'une paire de clés asymétriques à l'extérieur de AWS.

    Une nouvelle clé KMS que vous créez avec le même élément de clé asymétrique ou HMAC aura un identifiant de clé différent. Vous devrez créer une nouvelle stratégie de clé, recréer tous les alias et mettre à jour les politiques et autorisations IAM existantes pour faire référence à la nouvelle clé.

Supprimer des clés KMS d'un magasin de AWS CloudHSM clés

Lorsque vous planifiez la suppression d'une clé KMS d'un magasin de AWS CloudHSM clés, son état de clé passe à En attente de suppression. La clé KMS reste à l'état Pending deletion (En attente de suppression) tout au long de la période d'attente, même si la clé KMS n'est pas disponible parce que vous avez déconnecté la clé personnalisée. Cela vous permet d'annuler la suppression de la clé KMS à tout moment au cours de la période d'attente.

Lorsque le délai d'attente expire, AWS KMS supprime la clé KMS de AWS KMS. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé du AWS CloudHSM cluster associé. Si AWS KMS ne peut pas supprimer les clés, comme lorsque, par exemple, le magasin de clés est déconnecté de AWS KMS, il se peut que vous ayez besoin de supprimer manuellement les clé orphelines du cluster.

AWS KMS ne supprime pas le matériel clé des sauvegardes du cluster. Même si vous supprimez la clé KMS AWS KMS et son contenu clé de votre AWS CloudHSM cluster, les clusters créés à partir de sauvegardes peuvent contenir le contenu clé supprimé. Pour supprimer définitivement le contenu clé, utilisez l'DescribeKeyopération pour identifier la date de création de la clé KMS. Ensuite, supprimez toutes les sauvegardes de cluster qui peuvent contenir la clé.

Lorsque vous planifiez la suppression d'une clé KMS d'un magasin de AWS CloudHSM clés, la clé KMS devient immédiatement inutilisable (sous réserve de cohérence éventuelle). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème concerne la Services AWS plupart d'entre eux qui utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.

Supprimer des clés KMS d'un magasin de clés externe

La suppression d'une clé KMS d'un magasin de clés externe n'a aucun effet sur la clé externe qui lui a servi d'élément de clé.

Lorsque vous planifiez la suppression d'une clé KMS d'un magasin de clés externe, son état de clé passe à Pending deletion (Suppression en attente). La clé KMS reste à l'état Pending deletion (Suppression en attente) tout au long de la période d'attente, même si la clé KMS n'est pas disponible parce que vous avez déconnecté le magasin de clés externe. Cela vous permet d'annuler la suppression de la clé KMS à tout moment au cours de la période d'attente. Lorsque le délai d'attente expire, AWS KMS supprime la clé KMS de AWS KMS.

Lorsque vous planifiez la suppression d'une clé KMS d'un magasin de clés externe, la clé KMS devient immédiatement inutilisable (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.