Suppression de AWS KMS keys - AWS Key Management Service
À propos de la période d'attenteSuppression des clés KMS asymétriquesSuppression de clés multi-régionSuppression des clés KMS avec des éléments de clé importés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suppression de AWS KMS keys

La suppression d'une AWS KMS key est destructrice et potentiellement dangereuse. Elle supprime les éléments de clé et toutes les métadonnées associées à la clé KMS, et elle est irréversible. Après la suppression d'une clé KMS, vous ne pouvez plus déchiffrer les données chiffrées sous cette clé, ce qui signifie que les données deviennent irrécupérables. (Les seules exceptions sont les clés de réplica multi-région et les clés asymétriques et KMS HMAC avec un élément de clé importé.) Ce risque est important pour les clés KMS asymétriques utilisées pour le chiffrement où, sans avertissement ni erreur, les utilisateurs peuvent continuer à générer des textes chiffrés avec la clé publique qui ne peuvent pas être déchiffrés une fois la clé privée supprimée de AWS KMS.

Vous devez supprimer une clé KMS seulement lorsque vous êtes sûr de ne plus avoir besoin de l'utiliser. Si vous n'en êtes pas sûr, envisagez de désactiver la clé KMS au lieu de la supprimer. Vous pouvez réactiver une clé KMS désactivée et annuler la suppression planifiée d'une clé KMS, mais vous ne pouvez pas récupérer une clé KMS supprimée.

Vous ne pouvez pas planifier la suppression d'une clé gérée par le client. Vous ne pouvez pas supprimer des Clés gérées par AWS ou Clés détenues par AWS.

Avant de supprimer une clé KMS, vous pouvez découvrir combien de textes chiffrés ont été chiffrés sous cette clé. AWS KMS ne stocke pas ces informations et ne stocke aucun texte chiffré. Pour obtenir ces informations, vous devez déterminer l'utilisation passée d'une clé KMS. Pour obtenir de l'aide, rendez-vous sur Déterminer l'utilisation passée d'une clé KMS.

AWS KMS ne supprime jamais vos clés KMS, sauf si vous les planifiez explicitement pour suppression et que la période d'attente obligatoire expire.

Toutefois, vous pouvez choisir de supprimer une clé KMS pour une ou plusieurs des raisons suivantes :

  • Pour terminer le cycle de vie de clés KMS dont vous n'avez plus besoin

  • Pour éviter les frais généraux et les coûts de gestion associés à la maintenance des clés KMS inutilisées

  • Pour réduire le nombre de clés KMS qui comptent par rapport à votre quota de ressources de clés KMS

Note

Si vous fermez votre Compte AWS, vos clés KMS deviennent inaccessibles et ne vous sont plus facturées.

AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous planifiez la suppression de la clé KMS et lorsque la clé KMS est réellement supprimée.

Pour plus d'informations sur la suppression de clés principales et de réplica multi-région, veuillez consulter Suppression de clés multi-régions.

Rubriques

À propos de la période d'attente

Étant donné que la suppression d'une clé KMS est une action destructrice et potentiellement dangereuse, AWS KMS vous oblige à définir un délai d'attente de 7 à 30 jours. La période d'attente par défaut est de 30 jours.

Cependant, la période d'attente réelle peut être jusqu'à 24 heures plus longue celle que vous avez planifiée. Pour obtenir la date et l'heure réelles auxquelles la clé KMS sera supprimée, utilisez l'DescribeKeyopération. Ou, dans la console AWS KMS, dans la page de détails de la clé KMS, dans la section General configuration (Configuration générale), veuillez consulter la Scheduled deletion date (Date de suppression planifiée). Assurez-vous de noter le fuseau horaire.

Pendant la période d'attente, l'état de la clé KMS est Pending deletion (Suppression en attente).

Après la fin du délai d'attente, AWS KMS supprime la clé KMS, ses alias et toutes les métadonnées AWS KMS associées.

La planification de la suppression d'une clé KMS peut ne pas affecter immédiatement les clés de données chiffrées par la clé KMS. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.

Utilisez la période d'attente pour vous assurer de ne pas avoir besoin de la clé KMS maintenant ni par la suite. Vous pouvez configurer une CloudWatch alarme Amazon pour vous avertir si une personne ou une application tente d'utiliser la clé KMS pendant la période d'attente. Pour récupérer la clé KMS, vous pouvez annuler la suppression de clé avant la fin de la période d'attente. Une fois la période d'attente terminée, vous ne pouvez pas annuler la suppression de la clé et AWS KMS supprime la clé KMS.

Suppression des clés KMS asymétriques

Les utilisateurs autorisés peuvent supprimer des clés KMS symétriques ou asymétriques. La procédure pour planifier la suppression de ces clés KMS est la même pour les deux types de clés. Cependant, comme la clé publique d'une clé KMS asymétrique peut être téléchargée et utilisée en dehors d'AWS KMS, l'opération présente des risques supplémentaires importants, en particulier pour les clés KMS asymétriques utilisées pour le chiffrement (l'utilisation de la clé est ENCRYPT_DECRYPT).

  • Lorsque vous planifiez la suppression d'une clé KMS, l'état de la clé KMS devient Pending deletion (Suppression en attente), et la clé ne peut pas être utilisée dans les opérations cryptographiques. Cependant, la suppression de la planification n'a aucun effet sur les clés publiques en dehors d'AWS KMS. Les utilisateurs disposant de la clé publique peuvent continuer à les utiliser pour chiffrer les messages. Ils ne reçoivent aucune notification indiquant que l'état de la clé est modifié. Sauf si la suppression est annulée, le texte chiffré créé avec la clé publique ne peut pas être déchiffré.

  • Les alarmes, les journaux et les autres politiques qui détectent les tentatives d'utilisation de la clé KMS en attente de suppression ne peuvent pas détecter l'utilisation de la clé publique en dehors d'AWS KMS.

  • Lorsque la clé KMS est supprimée, toutes les actions AWS KMS impliquant cette clé échouent. Toutefois, les utilisateurs disposant de la clé publique peuvent continuer à les utiliser pour chiffrer les messages. Ces textes chiffrés ne peuvent pas être déchiffrés.

Si vous devez supprimer une clé KMS asymétrique dont la clé d'utilisation est deENCRYPT_DECRYPT, utilisez les entrées de votre CloudTrail journal pour déterminer si la clé publique a été téléchargée et partagée. Si c'est le cas, vérifiez que la clé publique n'est pas utilisée en dehors d'AWS KMS. Ensuite, pensez à désactiver la clé KMS au lieu de la supprimer.

Le risque lié à la suppression d'une clé KMS asymétrique est atténué pour les clés KMS asymétriques avec un élément de clé importé. Pour plus de détails, consultez Suppression d'une clé KMS avec des éléments de clé importés.

Suppression de clés multi-région

Les utilisateurs qui sont autorisés peuvent planifier la suppression des clés principales et de réplica multi-région. Toutefois, AWS KMS ne supprimera pas une clé principale multi-région qui possède des clés de réplica. Aussi, tant que sa clé principale existe, vous pouvez recréer une clé de réplica multi-région supprimée. Pour plus de détails, veuillez consulter Suppression de clés multi-régions.

Suppression des clés KMS avec des éléments de clé importés

Les utilisateurs autorisés peuvent planifier la suppression des clés KMS avec des éléments de clé importés. Cette action supprime définitivement la clé KMS, ses éléments de clé et toutes les métadonnées associées à la clé KMS.

Vous ne pouvez pas créer une nouvelle clé KMS de chiffrement symétrique capable de déchiffrer les textes chiffrés d'une clé de chiffrement symétrique supprimée avec l’élément de clé importé, même si vous disposez d’une copie de son élément de clé. Toutefois, si vous disposez des éléments de clé, vous pouvez recréer de manière efficace une clé KMS asymétrique ou une clé KMS HMAC avec des éléments de clé importés. Pour plus de détails, consultez Suppression d'une clé KMS avec des éléments de clé importés.