Importation des éléments de clé dans les clés AWS KMS - AWS Key Management Service

Importation des éléments de clé dans les clés AWS KMS

Vous pouvez créer une AWS KMS keys (clé KMS) avec les éléments de clé que vous fournissez.

Une clé KMS est une représentation logique d'une clé de chiffrement. Les métadonnées d'une clé KMS incluent l'ID d’éléments de clé utilisé pour chiffrer et déchiffrer des données. Lorsque vous créez une clé KMS, par défaut, AWS KMS génère les éléments de clé pour cette clé KMS. Mais vous pouvez créer une clé KMS sans éléments de clé, puis importer vos propres éléments de clé dans cette clé KMS, une fonction souvent appelée « Bring Your Own Key » (BYOK).

Note

AWS KMS ne prend pas en charge le déchiffrement de texte chiffré AWS KMS en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec des éléments de clé importés. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.

Les éléments de clé importés sont pris en charge uniquement pour les clés KMS de chiffrement symétriques dans les magasins de clés AWS KMS, y compris les clés KMS de chiffrement symétriques multi-région. Ils ne sont pas pris en charge sur les clés KMS asymétriques, les clés KMS HMAC ou les clés KMS dans les magasins de clés personnalisés.

Lorsque vous utilisez des éléments de clé importés, vous restez responsable des éléments de clé tout en autorisant AWS KMS à en utiliser une copie. Vous pouvez choisir de le faire pour une ou plusieurs des raisons suivantes :

  • Pour prouver que vous avez généré les éléments de clé en utilisant une source d'entropie correspondant à vos besoins.

  • Pour utiliser des éléments de clé de votre propre infrastructure avec des services AWS et pour utiliser AWS KMS pour gérer le cycle de vie de ces éléments de clé au sein d'AWS.

  • Pour définir un délai d'expiration pour les éléments de clé dans AWS et pour les supprimer manuellement, mais également pour les rendre disponibles à nouveau ultérieurement. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle vous ne pouvez pas récupérer la clé KMS supprimée.

  • Pour posséder la copie originale des éléments de clé et la conserver en dehors d'AWS pour bénéficier de plus de durabilité et d'une reprise après sinistre au cours du cycle de vie des éléments de clé.

Les éléments de clé importés sont pris en charge uniquement pour les clés KMS de chiffrement symétriques dans les magasins de clés AWS KMS, y compris les clés KMS symétriques multi-région. Ils ne sont pas pris en charge sur les clés KMS asymétriques, les clés KMS HMAC ou les clés KMS dans les magasins de clés personnalisés.

Vous pouvez surveiller l'utilisation et la gestion d'une clé KMS avec des éléments de clé importés. AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous créez la clé KMS, téléchargez la clé publique et le jeton d'importation et importez les éléments de clé. AWS KMS enregistre également une entrée lorsque vous supprimez manuellement des éléments de clé importés ou lorsque AWS KMS supprime des éléments de clé expirés.

Pour obtenir des informations sur les différences importantes entre les clés KMS avec des éléments de clé importés et celles avec des éléments de clé générés par AWS KMS, veuillez consulter À propos des clés importées.

Régions

L'élément de clé importé est pris en charge dans toutes les Régions AWS que AWS KMS prend en charge. Les exigences relatives à l'élément de clé importé sont différentes dans les régions de Chine. Pour plus d'informations, veuillez consulter la rubrique Importation des éléments de clé – Étape 3 : Chiffrement des éléments de clé

À propos des clés importées

Avant de décider d'importer des éléments de clé dans AWS KMS, vous devez comprendre les caractéristiques suivantes propres aux éléments de clé importés.

Vous générez les éléments de clé.

Vous êtes responsable de la génération des éléments de clé à l'aide d'une source aléatoire qui répond à vos exigences de sécurité. Les éléments de clé que vous importez doivent être une clé de chiffrement symétrique de 256 bits, sauf dans les régions de Chine, où il doit s'agir d'une clé de chiffrement symétrique de 128 bits.

Vous pouvez supprimer les éléments de clé.

Vous pouvez supprimer les éléments importés d'une clé KMS, ce qui la rend immédiatement inutilisable. De plus, lorsque vous importez des éléments dans une clé KMS, vous pouvez définir sa date d'expiration si vous souhaitez qu'elle en ait une. À la date d'expiration, AWS KMS supprime les éléments de clé. Sans éléments de clé, la clé KMS ne peut pas être utilisée dans une opération de chiffrement. Pour restaurer la clé, vous devez y réimporter les mêmes éléments de clé.

Impossible de modifier les éléments de clé

Lorsque vous importez des éléments de clé dans une clé KMS, celle-ci est définitivement associée à ces éléments de clé. Vous pouvez réimporter les mêmes éléments de clé, mais vous ne pouvez pas en importer d'autres dans cette clé KMS. De plus, vous ne pouvez pas activer la rotation automatique des clés pour une clé KMS dont les éléments de clé sont importés. Toutefois, vous pouvez soumettre à une rotation manuelle une clé KMS avec les éléments de clé importés.

Impossible de modifier l'origine des éléments de clé

Les clés KMS conçues pour les éléments importés sont dotées d'une valeur origin (origine) non modifiable définie sur EXTERNAL. Vous ne pouvez pas convertir une clé KMS conçue pour utiliser des éléments importés pour utiliser des éléments de clé provenant d'une autre source, y compris AWS KMS.

Impossible de déchiffrer avec une autre clé KMS

Lorsque vous chiffrez des données sous une clé KMS, le texte chiffré est associé de façon permanente à la clé et à ses éléments. Il ne peut pas être déchiffré à l'aide d'une autre clé KMS, y compris une clé différente avec les mêmes éléments. Il s'agit d'une fonction de sécurité des clés KMS.

La seule exception est les clés multi-région, qui sont conçues pour être interopérables. Pour plus de détails, veuillez consulter Pourquoi toutes les clés KMS avec des éléments de clé importés ne sont-elles pas interopérables ?.

Pas de fonctions de portabilité ou de mise sous séquestre

Les textes chiffrés produits par AWS KMS ne sont pas portables. AWS KMS ne prend pas en charge le déchiffrement de texte chiffré AWS KMS en dehors de AWS KMS, même si le texte chiffré a été chiffré sous une clé KMS avec des éléments de clé importés. AWS KMS ne publie pas le format de texte chiffré requis par cette tâche, et le format peut changer sans préavis.

En outre, vous ne pouvez pas utiliser d'outils AWS, tels que le AWS Encryption SDK ou le chiffrement Simple Storage Service (Amazon S3) côté client pour déchiffrer les textes chiffrés AWS KMS.

Par conséquent, vous ne pouvez pas utiliser de clés avec les éléments de clé importés pour prendre en charge les dispositifs de séquestre pour lesquels un tiers autorisé doté d'un accès conditionnel aux éléments de clé, peut déchiffrer certains textes chiffrés en dehors de AWS KMS. Pour prendre en charge le séquestre de clés, utilisez le kit AWS Encryption SDK pour chiffrer votre message sous une clé indépendante de AWS KMS.

Vous êtes responsable de la disponibilité et de la durabilité.

Vous êtes responsable de la disponibilité et de la durabilité globales des clés. AWS KMS est conçu pour maintenir la haute disponibilité des clés importées. En revanche, AWS KMS ne gère pas la durabilité des éléments de clé importés au même niveau que les éléments générés par AWS KMS. Pour restaurer les éléments de clé importés qui ont été supprimés d'une clé KMS, vous devez conserver une copie des éléments de clé dans un système que vous contrôlez. Ensuite, vous pouvez les réimporter dans la clé KMS.

Cette différence est significative dans les cas suivants :

  • Lorsque vous définissez un délai d'expiration de vos éléments de clé importés, AWS KMS supprime les éléments après leur expiration. AWS KMS ne supprime pas la clé KMS ni ses métadonnées. Vous pouvez créer une alarme Amazon CloudWatch qui vous avertit lorsque les éléments de clé importés approchent de leur date d'expiration.

    Vous ne pouvez pas supprimer des éléments de clé que AWS KMS génère pour une clé KMS et vous ne pouvez pas définir de délai d'expiration pour les éléments de clé AWS KMS, bien que vous puissiez les faire pivoter.

  • Lorsque vous supprimez manuellement des éléments de clé importés, AWS KMS supprime les éléments de clé, mais ne supprime pas la clé KMS ni ses métadonnées. En revanche, une planification de suppression de clé nécessite une période d'attente de 7 à 30 jours, après laquelle AWS KMS supprime définitivement la clé KMS, ses éléments de clé et ses métadonnées.

  • Dans l'éventualité improbable d'une panne régionale affectant AWS KMS (telles qu'une panne électrique généralisée), AWS KMS ne peut pas restaurer automatiquement vos éléments de clé importés. Toutefois, AWS KMS peut restaurer la clé KMS et ses métadonnées.

Autorisations d'importation des éléments de clé

Pour créer et gérer des clés KMS avec des éléments de clé importés, l'utilisateur a besoin d'une autorisation pour les opérations de ce processus. Vous pouvez fournir les autorisations kms:GetParametersForImport, kms:ImportKeyMaterial et kms:DeleteImportedKeyMaterial dans la politique de clé lorsque vous créez la clé KMS. Dans la console AWS KMS, ces autorisations sont ajoutées automatiquement pour les administrateurs de clé lorsque vous créez une clé ayant une origine des éléments de clé externe.

Pour créer des clés KMS avec des éléments de clé importés, le principal a besoin des autorisations suivantes.

  • kms:CreateKey (politique IAM)

    • Pour limiter cette autorisation aux clés KMS avec des éléments de clé importés, utilisez la condition de politique kms:KeyOrigin avec une valeur de EXTERNAL.

      { "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
  • kms:GetParametersForImport (politique de clé ou politique IAM)

    • Pour limiter cette autorisation aux demandes qui utilisent un algorithme d'encapsulage particulier et une spécification de clé d'encapsulage, utilisez les conditions de politique kms:WrappingAlgorithm et kms:WrappingKeySpec.

  • kms:ImportKeyMaterial (politique de clé ou politique IAM)

    • Pour autoriser ou interdire les éléments de clé qui expirent et contrôler la date d'expiration, utilisez les conditions de politique kms:ExpirationModel et kms:ValidTo.

Pour réimporter les éléments de clé importés, le principal a besoin des autorisations kms:GetParametersForImport et kms:ImportKeyMaterial.

Pour supprimer des éléments de clé importés, le principal a besoin de l'autorisation kms:DeleteImportedKeyMaterial.

Par exemple, pour donner à l'exemple l'autorisation KMSAdminRole de gérer tous les aspects d'une clé KMS avec des éléments de clé importés, incluez une instruction de politique de clé telle que celle suivante dans la politique clé de la clé KMS.

{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }

Comment importer des éléments de clé

La présentation suivante explique comment importer vos éléments de clé dans AWS KMS. Pour plus d'informations sur chaque étape du processus, consultez la rubrique correspondante.

  1. Création d'une clé KMS de chiffrement symétrique sans élément de clé – La spécification de clé doit être SYMMETRIC_DEFAULT et l'origine doit être EXTERNAL. Une origine de clé EXTERNAL indique que la clé est conçue pour les éléments de clé importés et empêche AWS KMS de générer des éléments de clé pour la clé KMS. Dans une étape ultérieure, vous importerez vos propres éléments de clé dans cette clé KMS.

  2. Téléchargement de la clé publique et du jeton d'importation – Une fois l'étape 1 terminée, téléchargez une clé publique et un jeton d'importation. Ces éléments protègent vos éléments de clé lors de leur importation dans AWS KMS.

  3. Chiffrement des éléments de clé – Utilisez la clé publique que vous avez téléchargée à l'étape 2 pour chiffrer les éléments de clé que vous avez créés sur votre propre système.

  4. Importation des éléments de clé – Téléchargez les éléments de clé chiffrés que vous avez créés à l'étape 3 et le jeton d'importation que vous avez téléchargé à l'étape 2.

    Lorsque l'opération d'importation est terminée, l'état de la clé KMS passe de PendingImport à Enabled. Vous pouvez désormais utiliser la clé KMS dans des opérations de chiffrement.

AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous créez la clé KMS, téléchargez la clé publique et importez le jeton, et importez les éléments de clé. AWS KMS enregistre également une entrée lorsque vous supprimez des éléments de clé importés ou lorsque AWS KMS supprime des éléments de clé expirés.

Comment réimporter des éléments de clé

Si vous gérez une clé KMS avec des éléments de clé importés, vous pouvez avoir besoin de les réimporter. Vous pouvez réimporter du matériel clé pour remplacer celui expiré ou supprimé. Vous pouvez également réimporter du matériel clé pour modifier le modèle d'expiration ou la date d'expiration dudit matériel.

Vous devez réimporter les mêmes éléments de clé initialement importés dans la clé KMS. Vous ne pouvez pas importer d'autres éléments de clé dans une clé KMS. De plus, AWS KMS ne peut pas créer d'éléments de clé pour une clé KMS qui est créée sans éléments de clé.

Pour réimporter des éléments de clé, utilisez la même procédure que pour importer les éléments de clé la première fois, avec les exceptions suivantes.

  • Utilisez une clé KMS existante au lieu de créer une nouvelle clé KMS. Vous pouvez ignorer l'étape 1 de la procédure d'importation.

  • Si la clé KMS a importé le matériel clé, vous devez supprimer les éléments de clé existants avant de réimporter les éléments de clé.

  • Lorsque vous réimportez du matériel clé, vous pouvez modifier le modèle et la date d’expiration

Chaque fois que vous importez des éléments de clé pour une clé KMS, vous devez télécharger et utiliser une nouvelle clé d'encapsulage et un nouveau jeton d'importation pour la clé KMS. La procédure d'encapsulage n'affecte pas le contenu des clés. Vous pouvez donc utiliser différentes clés d'encapsulage (et différents jetons d'importation) pour importer les mêmes clés.

Comment identifier les clés KMS avec des éléments de clé importés

Lorsque vous créez une clé KMS sans éléments de clé, la valeur de la propriété Origin de la clé KMS est EXTERNAL et ne peut pas être modifiée. Contrairement à l'état de la clé, la valeur Origin ne dépend pas de la présence ou non d'éléments de clé.

Vous pouvez utiliser la valeur d'origine EXTERNAL pour identifier les clés KMS conçues pour les éléments clé importés. Vous pouvez trouver l'origine de la clé dans la console AWS KMS ou à l'aide de l'opération DescribeKey. Vous pouvez également afficher les propriétés des éléments de clé, par exemple leur date d'expiration éventuelle, à l'aide de la console ou des API.

Pour identifier les clés KMS avec des éléments de clé importés (console)

  1. Ouvrez la console AWS KMS à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer de Région AWS, utilisez le sélecteur de Région dans l'angle supérieur droit de la page.

  3. Utilisez l'une des techniques suivantes pour afficher la propriété Origin de vos clés KMS.

    • Pour ajouter une colonne d'origine à votre table de clé KMS. Dans le coin supérieur droit, choisissez l'icône Settings (Paramètres). Choisissez Origine, puis Confirmer. La colonne Origin (Origine) permet d'identifier facilement les clés KMS avec une valeur de propriété d'origine EXTERNAL.

    • Pour rechercher la valeur de la propriété Origin d'une clé KMS particulière, choisissez l'ID de clé ou l'alias de la clé KMS. Choisissez ensuite l'onglet Cryptographic configuration (Configuration du chiffrement). Les onglets se trouvent sous la section General configuration (Configuration générale).

  4. Pour consulter des informations détaillées sur les éléments de clé, sélectionnez l'onglet Key material (Éléments de clé). Cet onglet apparaît sur la page détaillée uniquement pour les clés KMS dont les éléments de clé sont importés.

Pour identifier les clés KMS avec des éléments de clé importés (API AWS KMS)

Utilisez l'opération DescribeKey. La réponse inclut la propriété Origin de la clé KMS, le modèle d'expiration et la date d'expiration, comme illustré dans l'exemple suivant.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab { "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Origin": "EXTERNAL", "ExpirationModel": "KEY_MATERIAL_EXPIRES" "ValidTo": 1568894400.0, "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "AWSAccountId": "111122223333", "CreationDate": 1568289600.0, "Enabled": false, "MultiRegion": false, "Description": "", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "PendingImport", "KeyManager": "CUSTOMER", "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }

Création d'une alarme CloudWatch pour l'expiration d'éléments de clé importés

Vous pouvez créer une alarme CloudWatch qui vous avertit lorsque les éléments de clé importés dans une clé KMS approchent de leur date d'expiration. Par exemple, l'alarme peut vous notifier lorsque le délai d'expiration est inférieur à 30 jours.

Lorsque vous importez des éléments de clé dans une clé KMS, vous pouvez éventuellement spécifier une date et heure à laquelle les éléments de clé doivent expirer. Lorsque les éléments de clé expirent, AWS KMS supprime les éléments de clé et la clé KMS devient inutilisable. Pour utiliser la clé KMS à nouveau, vous devez réimporter les éléments de clé. Toutefois, si vous réimportez les éléments de clé avant qu'ils n'expirent, vous pouvez éviter de perturber les processus qui utilisent cette clé KMS.

Cette alarme utilise la métrique SecondsUntilKeyMaterialExpires que AWS KMS publie sur CloudWatch pour les clés KMS dont les éléments de clé importés arrivent à expiration. Chaque alarme utilise cette métrique pour surveiller les éléments de clé importés pour une clé KMS particulière. Vous ne pouvez pas créer une alarme unique pour toutes les clés KMS dont les éléments de clé expire ou une alarme pour les clés KMS que vous pourriez créer ultérieurement.

Prérequis

Les ressources suivantes sont nécessaires pour une alarme CloudWatch qui surveille l'expiration des éléments de clé importés.

Créez l'alarme

Suivez les instructions de la section Création d'une alerte CloudWatch basée sur un seuil statique à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.

Champ Valeur
Sélectionner une métrique

Choisissez KMS, puis choisissez Per-Key Metrics.

Choisissez la ligne contenant la clé KMS et la métrique SecondsUntilKeyMaterialExpires. Ensuite, choisissez Select metric (Sélectionner une métrique).

La liste Métriques affiche les métriques SecondsUntilKeyMaterialExpires uniquement pour les clés KMS dont les éléments de clé importés expirent. Si vous ne disposez pas de clés KMS avec ces propriétés dans le compte et la région, cette liste est vide.

Statistique Minimum
Période 1 minute
Type de seuil Statique
Chaque fois que … Chaque fois que le nom de la métrique est supérieur à 1

Suppression des éléments de clé importés

Vous pouvez supprimer des éléments de clé importés d'une clé KMS à tout moment. De plus, lorsque les éléments de clé importés arrivent à leur date d'expiration, AWS KMS les supprime. Dans les deux cas, AWS KMS supprime immédiatement les éléments de clé, l'état de la clé KMS passe en pending import (en attente d'importation) et celle-ci ne peut pas être utilisée dans le cadre d'opérations de chiffrement.

Toutefois, ces actions ne suppriment pas la clé KMS. Pour utiliser la clé KMS à nouveau, vous devez y réimporter les mêmes éléments de clé. En revanche, la suppression d'une clé KMS est irréversible. Si vous planifiez une suppression de clé et que la période d'attente requise expire, AWS KMS supprime les éléments de clé et toutes les métadonnées associées à la clé KMS.

Pour supprimer les éléments de clé, vous pouvez utiliser AWS Management Console ou l'API AWS KMS. Vous pouvez utiliser l'API directement en exécutant des demandes HTTP, ou en utilisant un kit SDK AWS, l'AWS Command Line Interface (AWS CLI), ou AWS Tools for PowerShell.

AWS KMS enregistre une entrée dans votre journal AWS CloudTrail lorsque vous supprimez les éléments de clé importés et lorsque AWS KMS supprime les éléments de clé expirés.

Comment la suppression des éléments de clé affecte les services AWS intégrés à AWS KMS

Lorsque vous supprimez les éléments de clé, la clé KMS devient immédiatement inutilisable. Cependant, les clés de données que les services AWS utilisent ne sont pas immédiatement affectées. Cela signifie que la suppression des éléments de clé peut ne pas affecter immédiatement toutes les donnés ni toutes les ressources AWS protégées sous la clé KMS, bien qu'elles soient affectées à terme.

Plusieurs services AWS s'intègrent à AWS KMS pour protéger vos données. Certains de ces services, tels qu'Amazon EBS et Amazon Redshift, utilisent une AWS KMS key (clé KMS) dans AWS KMS pour générer une clé de données, qu'ils utilisent pour chiffrer vos données. Ces clés de données en texte brut sont conservées en mémoire tant que les données qu'elles protègent sont utilisées activement.

Par exemple, envisagez le scénario suivant :

  1. Vous créez un volume EBS chiffré et spécifiez une clé KMS avec les éléments de clé importés. Amazon EBS demande à AWS KMS d'utiliser votre clé KMS pour générer une clé de données chiffrée pour le volume. Amazon EBS stocke la clé de données chiffrée avec le volume.

  2. Lorsque vous attachez le volume EBS à une instance EC2, Amazon EC2 demande à AWS KMS d'utiliser votre clé KMS pour déchiffrer la clé de données chiffrée du volume EBS. Amazon EC2 stocke la clé de données en texte brut dans la mémoire de l'hyperviseur et l'utilise pour chiffrer les I/O de disque sur le volume EBS. La clé de données est conservée en mémoire tant que le volume EBS est attaché à l'instance EC2.

  3. Vous supprimez les éléments de clé importés de la clé KMS, ce qui la rend inutilisable. Cela n'a aucun effet immédiat sur l'instance EC2 ou le volume EBS. La raison est qu'Amazon EC2 utilise la clé de données en texte brut et non la clé KMS pour chiffrer toutes les I/O de disque alors que le volume est attaché à l'instance.

  4. Toutefois, lorsque le volume EBS chiffré est détaché de l'instance EC2, Amazon EBS supprime la clé en texte brut de la mémoire. La prochaine fois que le volume EBS chiffré est attaché à une instance EC2, l'attachement échoue, car Amazon EBS ne peut pas utiliser la clé KMS pour déchiffrer la clé de données chiffrée du volume. Pour utiliser le volume EBS à nouveau, vous devez réimporter les mêmes éléments de clé dans la clé KMS.

Supprimer les éléments de clé (console)

Vous pouvez utiliser AWS Management Console pour supprimer les éléments de clé.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer de Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Effectuez l'une des actions suivantes :

    • Cochez la case correspondant à une clé KMS avec les éléments de clé importés. Choisissez Key actions, Delete key material.

    • Choisissez l'alias ou l'ID de clé d'une clé KMS avec les éléments de clé importés. Cliquez sur l'onglet Key material (Éléments de clé), puis choisissez Delete key material (Suppression des éléments de clé).

  5. Confirmez que vous souhaitez supprimer les éléments de clé, puis choisissez Delete key material. Le statut de la clé KMS, qui correspond à son état de clé, passe à Pending import (En attente d'importation).

Suppression des éléments de clé (API AWS KMS)

Pour utiliser l'API AWS KMS pour supprimer les éléments de clé, envoyez une demande DeleteImportedKeyMaterial. L'exemple suivant montre comment procéder avec l’interface AWS CLI.

Remplacez 1234abcd-12ab-34cd-56ef-1234567890ab par l'ID de clé de la clé KMS dont vous souhaitez supprimer les éléments de clé. Vous pouvez utiliser l'ID de clé ou le nom ARN de la clé KMS, mais vous ne pouvez pas utiliser un alias pour cette opération.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab