Penjadwalan penghapusan kunci KMS dari toko kunci AWS CloudHSM - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penjadwalan penghapusan kunci KMS dari toko kunci AWS CloudHSM

Ketika Anda yakin bahwa Anda tidak perlu menggunakan untuk operasi kriptografi apa pun, Anda dapat menjadwalkan penghapusan kunci KMS. AWS KMS key Gunakan prosedur yang sama yang akan Anda gunakan untuk menjadwalkan penghapusan kunci KMS apa pun. AWS KMS Selain itu, jaga agar toko AWS CloudHSM kunci Anda tetap terhubung sehingga AWS KMS dapat menghapus materi kunci yang sesuai dari AWS CloudHSM klaster terkait saat masa tunggu berakhir.

Anda dapat memantau penjadwalan, pembatalan, dan penghapusan kunci KMS di log Anda. AWS CloudTrail

Awas

Menghapus kunci KMS adalah operasi yang merusak dan berpotensi berbahaya yang mencegah Anda memulihkan semua data yang dienkripsi di bawah kunci KMS. Sebelum menjadwalkan penghapusan kunci KMS, periksa penggunaan sebelumnya dari kunci KMS dan buat CloudWatch alarm Amazon yang memberi tahu Anda ketika seseorang mencoba menggunakan kunci KMS saat sedang menunggu penghapusan. Jika memungkinkan, nonaktifkan kunci KMS, alih-alih menghapusnya.

Saat Anda menjadwalkan penghapusan kunci KMS dari toko kunci, status AWS CloudHSM kuncinya berubah menjadi penghapusan Tertunda. Kunci KMS tetap dalam status penghapusan Tertunda selama masa tunggu, bahkan jika kunci KMS menjadi tidak tersedia karena Anda telah memutuskan penyimpanan kunci kustom. Ini memungkinkan Anda untuk membatalkan penghapusan kunci KMS kapan saja selama masa tunggu.

Ketika masa tunggu berakhir, AWS KMS hapus kunci KMS dari. AWS KMS Kemudian AWS KMS membuat upaya terbaik untuk menghapus material kunci dari klaster AWS CloudHSM yang terkait. Jika AWS KMS tidak dapat menghapus material kunci, seperti ketika penyimpanan kunci terputus dari AWS KMS, Anda mungkin harus secara manual menghapus material kunci orphaned dari klaster.

AWS KMS tidak menghapus material kunci dari pencadangan klaster. Bahkan jika Anda menghapus kunci KMS dari AWS KMS dan menghapus materi kuncinya dari AWS CloudHSM klaster Anda, cluster yang dibuat dari cadangan mungkin berisi materi kunci yang dihapus. Untuk menghapus materi kunci secara permanen, lihat tanggal pembuatan kunci KMS. Kemudian hapus semua klaster pencadangan yang mungkin berisi material kunci.

Ketika Anda menjadwalkan penghapusan kunci KMS dari toko kunci, AWS CloudHSM kunci KMS menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhiLayanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data.