Penjadwalan penghapusan kunci KMS dari toko kunci eksternal - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penjadwalan penghapusan kunci KMS dari toko kunci eksternal

Ketika Anda yakin bahwa Anda tidak perlu menggunakan untuk operasi kriptografi apa pun, Anda dapat menjadwalkan penghapusan kunci KMS. AWS KMS key Gunakan prosedur yang sama yang akan Anda gunakan untuk menjadwalkan penghapusan kunci KMS apa pun. AWS KMS Menghapus kunci KMS dari penyimpanan kunci eksternal tidak berpengaruh pada kunci eksternal yang berfungsi sebagai bahan utamanya.

Anda dapat membatalkan penghapusan kunci KMS yang dijadwalkan selama masa tunggu wajibnya. Namun, kunci KMS yang dihapus tidak dapat dipulihkan. Anda tidak dapat membuat ulang kunci KMS enkripsi simetris di penyimpanan kunci eksternal, bahkan Anda menggunakan kunci eksternal yang sama. Karena setiap kunci KMS simetris di penyimpanan kunci eksternal memiliki bahan kunci dan metadata yang unik, hanya AWS KMS kunci yang mengenkripsi ciphertext simetris yang dapat mendekripsi itu. AWS KMS

Awas

Menghapus kunci KMS adalah operasi yang merusak dan berpotensi berbahaya yang mencegah Anda memulihkan semua data yang dienkripsi di bawah kunci KMS. Sebelum menjadwalkan penghapusan kunci KMS, periksa penggunaan sebelumnya dari kunci KMS dan buat CloudWatch alarm Amazon yang memberi tahu Anda ketika seseorang mencoba menggunakan kunci KMS saat sedang menunggu penghapusan. Jika memungkinkan, nonaktifkan kunci KMS, alih-alih menghapusnya.

Saat Anda menjadwalkan penghapusan kunci KMS dari penyimpanan kunci eksternal, status kuncinya berubah menjadi penghapusan Tertunda. Kunci KMS tetap dalam status penghapusan Tertunda selama periode tunggu, bahkan jika kunci KMS menjadi tidak tersedia karena Anda telah memutuskan penyimpanan kunci eksternal. Ini memungkinkan Anda untuk membatalkan penghapusan kunci KMS kapan saja selama masa tunggu. Ketika masa tunggu berakhir, AWS KMS hapus kunci KMS dari. AWS KMS

Ketika Anda menjadwalkan penghapusan kunci KMS dari penyimpanan kunci eksternal, kunci KMS menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhiLayanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Untuk detailnya, lihat Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data.

Anda dapat memantau penjadwalan, pembatalan, dan penghapusan kunci KMS di log Anda. AWS CloudTrail