Suppression des éléments de clé importés - AWS Key Management Service

Suppression des éléments de clé importés

Vous pouvez supprimer des éléments de clé importés d'une clé KMS à tout moment. De plus, lorsque les éléments de clé importés arrivent à leur date d'expiration, AWS KMS les supprime. Dans les deux cas, AWS KMS supprime immédiatement les éléments de clé, l'état de la clé KMS passe en pending import (en attente d'importation) et celle-ci ne peut pas être utilisée dans le cadre d'opérations de chiffrement.

Toutefois, ces actions ne suppriment pas la clé KMS. Pour utiliser la clé KMS à nouveau, vous devez y réimporter les mêmes éléments de clé. En revanche, la suppression d'une clé KMS est irréversible. Si vous planifiez une suppression de clé et que la période d'attente requise expire, AWS KMS supprime les éléments de clé et toutes les métadonnées associées à la clé KMS.

Pour supprimer les éléments de clé, vous pouvez utiliser AWS Management Console ou l'API AWS KMS. Vous pouvez utiliser l'API directement en exécutant des demandes HTTP, ou en utilisant un kit SDK AWS, l'AWS Command Line Interface (AWS CLI), ou AWS Tools for PowerShell.

AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous supprimez les éléments de clé importés et lorsque AWS KMS supprime les éléments de clé expirés.

Comment la suppression des éléments de clé affecte les services AWS intégrés à AWS KMS

Lorsque vous supprimez les éléments de clé, la clé KMS devient immédiatement inutilisable. Cependant, les clés de données que les services AWS utilisent ne sont pas immédiatement affectées. Cela signifie que la suppression des éléments de clé peut ne pas affecter immédiatement toutes les donnés ni toutes les ressources AWS protégées sous la clé KMS, bien qu'elles soient affectées à terme.

Plusieurs services AWS s'intègrent à AWS KMS pour protéger vos données. Certains de ces services, tels qu'Amazon EBS et Amazon Redshift, utilisent une AWS KMS key (clé KMS) dans AWS KMS pour générer une clé de données, qu'ils utilisent pour chiffrer vos données. Ces clés de données en texte brut sont conservées en mémoire tant que les données qu'elles protègent sont utilisées activement.

Par exemple, envisagez le scénario suivant :

  1. Vous créez un volume EBS chiffré et spécifiez une clé KMS avec les éléments de clé importés. Amazon EBS demande à AWS KMS d'utiliser votre clé KMS pour générer une clé de données chiffrée pour le volume. Amazon EBS stocke la clé de données chiffrée avec le volume.

  2. Lorsque vous attachez le volume EBS à une instance EC2, Amazon EC2 demande à AWS KMS d'utiliser votre clé KMS pour déchiffrer la clé de données chiffrée du volume EBS. Amazon EC2 stocke la clé de données en texte brut dans la mémoire de l'hyperviseur et l'utilise pour chiffrer les I/O de disque sur le volume EBS. La clé de données est conservée en mémoire tant que le volume EBS est attaché à l'instance EC2.

  3. Vous supprimez les éléments de clé importés de la clé KMS, ce qui la rend inutilisable. Cela n'a aucun effet immédiat sur l'instance EC2 ou le volume EBS. La raison est qu'Amazon EC2 utilise la clé de données en texte brut et non la clé KMS pour chiffrer toutes les I/O de disque alors que le volume est attaché à l'instance.

  4. Toutefois, lorsque le volume EBS chiffré est détaché de l'instance EC2, Amazon EBS supprime la clé en texte brut de la mémoire. La prochaine fois que le volume EBS chiffré est attaché à une instance EC2, l'attachement échoue, car Amazon EBS ne peut pas utiliser la clé KMS pour déchiffrer la clé de données chiffrée du volume. Pour utiliser le volume EBS à nouveau, vous devez réimporter les mêmes éléments de clé dans la clé KMS.

Supprimer les éléments de clé (console)

Vous pouvez utiliser AWS Management Console pour supprimer les éléments de clé.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de Région AWS, utilisez Region selector (Sélecteur de Région) dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Effectuez l'une des actions suivantes :

    • Cochez la case correspondant à une clé KMS avec les éléments de clé importés. Choisissez Key actions, Delete key material.

    • Choisissez l'alias ou l'ID de clé d'une clé KMS avec les éléments de clé importés. Cliquez sur l'onglet Key material (Éléments de clé), puis choisissez Delete key material (Suppression des éléments de clé).

  5. Confirmez que vous souhaitez supprimer les éléments de clé, puis choisissez Delete key material. Le statut de la clé KMS, qui correspond à son état de clé, passe à Pending import (En attente d'importation).

Suppression des éléments de clé (API AWS KMS)

Pour utiliser l'API AWS KMS pour supprimer les éléments de clé, envoyez une demande DeleteImportedKeyMaterial. L'exemple suivant montre comment procéder avec AWS CLI.

Remplacez 1234abcd-12ab-34cd-56ef-1234567890ab par l'ID de clé de la clé KMS dont vous souhaitez supprimer les éléments de clé. Vous pouvez utiliser l'ID de clé ou le nom ARN de la clé KMS, mais vous ne pouvez pas utiliser un alias pour cette opération.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab