Izin untuk menghapus kunci multi-Wilayah Cara menghapus kunci replika Cara menghapus kunci primer

Menghapus kunci multi-Wilayah

Ketika Anda tidak lagi menggunakan kunci primer multi-Wilayah atau kunci replika, Anda dapat menjadwalkan penghapusan.

Meskipun menghapus kunci KMS harus selalu dilakukan dengan hati-hati, menghapus replika kunci Multi-wilayah kurang berisiko, asalkan kunci utama masih ada di. AWS KMS Jika Anda menghapus kunci replika dari Wilayah-nya, tetapi menemukan ciphertext yang dienkripsi di bawah kunci terhapus, Anda dapat mendekripsi ciphertext tersebut dengan kunci multi-Wilayah terkait apa pun. Anda juga dapat membuat kunci replika dengan mereplikasi kunci primer lagi ke replika kunci Wilayah.

Namun, menghapus kunci utama dan semua kunci replika adalah operasi yang sangat berbahaya — setara dengan menghapus kunci wilayah Tunggal.

Awas

Menghapus kunci KMS bersifat merusak dan berpotensi berbahaya. Anda harus melanjutkan hanya ketika Anda yakin bahwa Anda tidak perlu menggunakan kunci KMS lagi dan tidak perlu menggunakannya di masa depan. Jika Anda tidak yakin, Anda harus menonaktifkan kunci KMS alih-alih menghapusnya.

Untuk menghapus kunci primer, Anda harus terlebih dahulu menghapus semua kunci replika. Jika Anda harus menghapus kunci utama dari Wilayah tertentu tanpa menghapus kunci replika, ubah kunci utama menjadi kunci replika dengan memperbarui Wilayah utama.

Sebelum Anda menjadwalkan penghapusan kunci KMS apa pun, tinjau peringatan dalam Menghapus AWS KMS keys topik, dan topik yang menjelaskan cara menentukan penggunaan kunci KMS di masa lalu dan cara mengatur CloudWatch alarm yang mengingatkan Anda untuk menggunakan kunci KMS selama masa tunggu. Sebelum menghapus kunci utama kunci Multi-region asimetris, tinjau topik Menghapus kunci asimetris.

Izin untuk menghapus kunci multi-Wilayah

Untuk menjadwalkan penghapusan kunci multi-Wilayah, Anda hanya memerlukan izin berikut.

kms: ScheduleKeyDeletion — untuk menjadwalkan penghapusan kunci Multi-wilayah dan mengatur masa tunggunya.

Kami juga sangat menyarankan bahwa Anda harus memiliki izin terkait berikut.

kms: CancelKeyDeletion — untuk membatalkan penghapusan terjadwal dari kunci Multi-wilayah.
kms: DescribeKey — untuk melihat status kunci dari kunci Multi-wilayah dan daftar kunci Multi-wilayah terkait.
kms: DisableKey — untuk memberi Anda opsi untuk menonaktifkan kunci Multi-wilayah alih-alih menghapusnya.
kms: EnableKey — untuk mengembalikan fungsionalitas kunci Multi-wilayah setelah membatalkan penghapusannya.

Anda mungkin juga menyertakan izin untuk mereplikasi kunci primer serta mengubah kunci primer.

Anda dapat menyertakan izin ini dalam kebijakan IAM, tetapi merupakan praktik terbaik untuk menempatkannya dalam kebijakan utama yang hanya berlaku untuk kunci KMS yang perlu Anda kelola.

Cara menghapus kunci replika

Anda dapat menggunakan konsol AWS KMS atau API AWS KMS untuk menghapus kunci replika. Anda dapat menghapus kunci replika kapan saja. Itu tidak tergantung pada status kunci dari kunci KMS lainnya.

Jika Anda salah menghapus kunci replika, Anda dapat membuatnya kembali dengan mereplikasi kunci utama yang sama di Wilayah yang sama. Kunci replika baru yang Anda buat akan memiliki properti bersama yang sama dengan kunci replika asli.

Prosedur untuk menghapus kunci replika multi-Wilayah sama dengan menghapus kunci Wilayah tunggal.

Jadwal penghapusan kunci replika. Pilih masa tunggu 7-30 hari. Masa tunggu default adalah 30 hari.
Selama masa tunggu, status kunci dari kunci replika berubah menjadi Pending deletion (PendingDeletion) dan Anda tidak dapat menggunakannya dalam operasi kriptografi.
Anda dapat membatalkan jadwal penghapusan kunci replika pada setiap titik di masa tunggu. Status kunci berubah menjadiDisabled, tetapi Anda dapat mengaktifkan kembali kunci KMS.
Saat masa tunggu kedaluwarsa, AWS KMS menghapus kunci replika.

Anda dapat melihat catatan tindakan Anda di AWS CloudTrail log Anda. AWS KMSmencatat operasi yang menjadwalkan penghapusan kunci KMS dan tindakan yang menghapus kunci KMS.

Menghapus kunci replika (konsol)

Untuk menjadwalkan penghapusan kunci replika multi-Wilayah, gunakan prosedur yang sama yang Anda gunakan untuk menjadwalkan penghapusan kunci Wilayah tunggal.

Karena kunci replika terkait bereda dengan Wilayah AWS, Anda tidak dapat menjadwalkan penghapusan lebih dari satu kunci replika pada satu waktu. Untuk menghapus semua kunci replika terkait, gunakan pola seperti berikut ini.

Untuk menjadwalkan penghapusan semua kunci replika terkait

Masuk ke AWS Management Console lalu buka konsol AWS Key Management Service (AWS KMS) tersebut di https://console.aws.amazon.com/kms.
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
Gunakan pemilih Wilayah di sudut kanan atas untuk memilih Wilayah dari kunci primer multi-Wilayah..
Pilih alias atau ID kunci dari kunci primer.
Pilih tab Regionalitas.
Pada bagian Kunci multi-Wilayah terkait, pilih ARN kunci dari kunci replika.

Tindakan ini membuka halaman detail kunci dari replika kunci di tab peramban baru. Konsol tersebut diatur ke Wilayah kunci replika.
Pilih menu Tindakan kunci, pilih Menjadwalkan penghapusan kunci.

Tindakan ini memulai proses penjadwalan penghapusan kunci. Menyelesaikan proses jadwal penghapusan kunci. UNtuk detailnya, lihat Menjadwalkan dan membatalkan penghapusan kunci (konsol).
Kembali ke tab peramban yang menampilkan tab Regionalitas kunci primer. (Anda mungkin perlu me-refresh halaman untuk melihat status terbaru kunci replika.) Pilih ARN kunci dari kunci replika lain dan ulangi proses penjadwalan penghapusan kunci replika.

Menghapus kunci replika (API AWS KMS)

Untuk menjadwalkan penghapusan kunci replika Multi-wilayah, gunakan operasi. ScheduleKeyDeletion Untuk menentukan kunci KMS, gunakan ID kunci atau kunci ARN. Saat bekerja dengan kunci Multi-region, Anda dapat mengurangi kejadian kesalahan dengan menggunakan kunci ARN dengan nilai Region eksplisit.

Misalnya, perintah ini menghapus kunci replika dari Wilayah us-west-2 (US West (Oregon)). Karena perintah tidak menentukan masa tunggu, masa tunggu diatur ke default 30 hari.


$ aws kms schedule-key-deletion \
    --region us-west-2 \
    --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Ketika perintah berhasil, ia mengembalikan ARN kunci (KeyId), masa tunggu (PendingWindowInDays), tanggal penghapusan (DeletionDate), dan status kunci saat ini (KeyState), yang diharapkan ke PendingDeletion.

Saat menghapus kunci replika multi-Wilayah, pastikan untuk memverifikasi bahwa ID kunci dan nilai Wilayah di ARN kunci seperti yang Anda harapkan.


{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
    "DeletionDate": 1599523200.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 30
}

Untuk menghapus semua replika kunci primer multi-Wilayah secara terprogram, buat daftar wilayah yang berisi kunci replika. Kemudian, untuk setiap Wilayah dalam daftar, panggil operasi ScheduleKeyDeletion, seperti yang ditunjukkan di atas.

Tidak seperti kunci Single-region yang dihapus secara permanen, Anda dapat memulihkan kunci replika dengan mereplikasi kunci utama ke Wilayah tempat kunci replika yang dihapus berada.

Untuk memeriksa status kunci replika dan melihat kunci utama dan kunci replika dari kunci Multi-wilayah, gunakan operasi. DescribeKey

Cara menghapus kunci primer

Anda dapat menjadwalkan penghapusan kunci primer multi-Wilayah kapan saja. Namun, tidak AWS KMS akan menghapus kunci utama Multi-wilayah yang memiliki kunci replika, bahkan jika mereka dijadwalkan untuk dihapus.

Untuk menghapus kunci utama, Anda harus menjadwalkan penghapusan semua kunci replika, dan kemudian menunggu kunci replika dihapus. Masa tunggu yang diperlukan untuk menghapus kunci primer dimulai ketika kunci replika terakhirnya dihapus. Jika Anda harus menghapus kunci utama dari Wilayah tertentu tanpa menghapus kunci replika, ubah kunci utama menjadi kunci replika dengan memperbarui Wilayah utama.

Jika kunci utama tidak memiliki kunci replika, prosesnya identik dengan menghapus kunci replika atau menghapus kunci KMS regional apa pun.

Sementara kunci primer dijadwalkan untuk penghapusan, Anda tidak dapat menggunakannya dalam operasi kriptografi dan Anda tidak dapat mereplikasinya. Namun, kecuali mereka juga dijadwalkan untuk penghapusan, maka kunci replikanya tidak terpengaruh.

Anda dapat menggunakan AWS KMS konsol atau AWS KMS API untuk menjadwalkan penghapusan kunci primer dan replika. Anda dapat menjadwalkan penghapusan kunci utama sebelum, sesudah, atau pada saat yang sama Anda menjadwalkan penghapusan kunci replika. Proses ini mungkin terlihat seperti berikut ini.

Menjadwalkan penghapusan kunci primer. Pilih masa tunggu 7-30 hari. Masa tunggu default adalah 30 hari. Namun, masa tunggu untuk kunci utama tidak dimulai sampai semua kunci replika dihapus.

Jika ada kunci replika yang masih ada, status kunci dari kunci primer berubah menjadi Pending replica deletion (PendingReplicaDeletion). Jika tidak, status berubah menjadi Pending deletion (PendingDeletion). Dalam kedua kasus, Anda tidak dapat menggunakan kunci primer dalam operasi kriptografi dan Anda tidak dapat mereplikasi itu.

Menjadwalkan penghapusan kunci primer tidak memengaruhi kunci replika. Status kunci mereka tetap diaktifkan dan Anda dapat menggunakannya dalam operasi kriptografi. Jika kunci replika tidak dihapus, Pending replica deletion status kunci utama dapat bertahan tanpa batas waktu.
```
KMS key:                    Key state:
Primary (us-east-1)           Pending replica deletion (waiting period 30 days -- not started)
Replica (us-west-2)           Enabled
Replica (eu-west-1)           Enabled
Replica (ap-southeast-2)      Enabled
```
Jadwal penghapusan setiap kunci replika. Pilih masa tunggu 7-30 hari. Masa tunggu default adalah 30 hari. Anda dapat menghapus beberapa kunci replika secara bersamaan. Masa tunggu mereka berjalan bersamaan. Selama masa tunggu, status kunci dari kunci replika berubah menjadi Pending deletion (PendingDeletion) dan Anda tidak dapat menggunakan kunci KMS ini dalam operasi kriptografi.

Misalnya, jika Anda memiliki tiga kunci replika, Anda dapat menjadwalkan penghapusan ketiganya secara bersamaan. Mereka dapat memiliki periode tunggu yang sama atau berbeda. Perhatikan bahwa masa tunggu pada kunci primer belum dimulai. Status kuncinya adalah PendingReplicaDeletion karena ia memiliki kunci replika yang ada.
```
KMS key:                    Key state:
Primary key (us-east-1)       Pending replica deletion (waiting period 30 days -- not started)
Replica (us-west-2)           Pending deletion (7 days)
Replica (eu-west-1)           Pending deletion (7 days)
Replica (ap-southeast-2)      Pending deletion (30 days)
```
Anda dapat membatalkan jadwal penghapusan kunci primer atau kunci replika sampai dihapus. Status kunci berubah menjadiDisabled, tetapi Anda dapat mengaktifkan kembali kunci KMS.
Saat masa tunggu kunci replika terakhir kedaluwarsa, AWS KMS menghapus kunci replika terakhir. Status kunci dari kunci primer berubah dari Pending replica deletion (PendingReplicaDeletion) ke Pending deletion (PendingDeletion) dan 7-30 hari masa tunggu untuk kunci primer dimulai.
```
KMS key:                    Key state:
Primary key (us-east-1)       Pending deletion (waiting period 30 days)
```
Saat masa tunggunya kedaluwarsa, AWS KMS akan menghapus kunci primer.

Waktu minimum untuk menghapus kunci primer dengan replika adalah 14 hari.

Jika Anda menjadwalkan penghapusan kunci utama dan semua kunci replika dengan masa tunggu 7 hari, kunci replika akan dihapus setelah 7 hari. Kunci primer dihapus pada hari ke 14.

Hari 1: Jadwalkan penghapusan kunci primer dan replika dengan masa tunggu minimum 7 hari. Masa tunggu penghapusan 7 hari untuk kunci replika dimulai. Masa tunggu penghapusan untuk kunci primer belum dimulai.
Hari 7: Masa tunggu penghapusan untuk kunci replika berakhir. AWS KMSmenghapus semua kunci replika. Ketika kunci replika terakhir dihapus, periode tunggu penghapusan 7 hari untuk kunci utama dimulai.
Hari 14: Periode tunggu penghapusan untuk kunci primer berakhir. AWS KMS akan menghapus kunci primer.

Anda dapat melihat catatan tindakan Anda di AWS CloudTrail log Anda. AWS KMSmencatat operasi yang menjadwalkan penghapusan setiap kunci KMS dan tindakan yang menghapus kunci KMS.

Menghapus kunci primer (konsol)

Untuk menghapus kunci primer multi-Wilayah, gunakan prosedur berikut.

Untuk menjadwalkan penghapusan kunci

Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
Pilih kotak centang di samping kunci primer yang ingin Anda hapus. Anda juga dapat memilih satu atau beberapa tombol KMS, termasuk replika kunci utama ini.
Pilih Tindakan kunci, Jadwalkan penghapusan kunci.
Baca dan pertimbangkan peringatan, serta informasi tentang membatalkan penghapusan selama masa tunggu. Jika Anda memutuskan untuk membatalkan penghapusan, pilih Batalkan.
Untuk Masa tunggu (dalam hari), masukkan beberapa hari antara 7 dan 30. Jika Anda memilih beberapa tombol KMS, masa tunggu yang Anda pilih berlaku untuk semua kunci KMS yang dipilih. Masa tunggu untuk kunci replika berjalan secara bersamaan, tetapi masa tunggu untuk kunci utama tidak dimulai sampai AWS KMS menghapus kunci replika terakhir.
Pilih kotak centang di samping Konfirmasi bahwa Anda ingin menjadwalkan kunci ini untuk dihapus dalam <number of days> hari.
Pilih Jadwalkan penghapusan.

Untuk memeriksa status penghapusan kunci KMS Anda, pada halaman detail untuk kunci utama, lihat bagian Konfigurasi umum. Status kunci muncul di bidang Status. Ketika status kunci dari kunci primer berubah menjadi Pending deletion Tanggal penghapusan terjadwal ditampilkan.

Anda juga dapat memeriksa status kunci (Status) dari semua kunci primer dan replika pada tab Regionalitas halaman detail untuk setiap kunci Multi-wilayah. Untuk detailnya, lihat Melihat kunci multi-Wilayah.

Tampilkan lebih banyak

Tampilkan lebih sedikit

Menghapus kunci primer (API AWS KMS)

Untuk menghapus kunci replika Multi-wilayah, gunakan operasi. ScheduleKeyDeletion Untuk menentukan kunci KMS, gunakan ID kunci atau kunci ARN. Saat bekerja dengan kunci Multi-region, Anda dapat mengurangi kejadian kesalahan dengan menggunakan kunci ARN dengan nilai Region eksplisit.

Misalnya, perintah ini menghapus kunci primer dari Wilayah us-east-1 (US East (N. Virginia)). Karena perintah tidak menentukan masa tunggu, masa tunggu diatur ke default 30 hari.


$ aws kms schedule-key-deletion \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Ketika perintah berhasil, ia mengembalikan ARN kunci, status kunci yang dihasilkan, dan masa tunggu (PendingWindowInDays).

Jika kunci primer tidak memiliki replika, status kunci dari kunci primer adalah PendingDeletion dan output termasuk bidang DeletionDate. Jika ada kunci replika yang tersisa, status kunci dari kunci utama DeletionDate adalah PendingReplicaDeletion dan dihilangkan karena tidak pasti. Bahkan jika kunci replika juga dijadwalkan untuk dihapus, Anda dapat membatalkan penghapusan terjadwal.

Saat menghapus kunci primer multi-Wilayah, pastikan untuk memverifikasi bahwa ID kunci dan nilai Wilayah di ARN kunci sudah sesuai.


{
    "KeyId": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
    "KeyState": "PendingReplicaDeletion",
    "PendingWindowInDays": 30
}

Untuk memeriksa status penghapusan kunci KMS Anda, gunakan DescribeKeyoperasi pada kunci utama atau kunci replika yang tersisa. Jam periode tunggu untuk kunci utama tidak dimulai sampai replika terakhir dihapus dan status kunci berubah menjadiPendingDeletion.

Untuk menghitung tanggal penghapusan diharapkan kunci primer, loop melalui ARN kunci replika dalam respon, jalankan DescribeKey pada masing-masing, dapatkan nilai DeletionDate terbaru, dan kemudian tambahkan nilai PendingDeletionWindowInDays untuk kunci primer. Periode tunggu untuk kunci replika berjalan secara bersamaan.

Dalam contoh berikut, kunci KMS adalah kunci utama Multi-region dengan kunci replika yang ada. Karena status kunci adalah PendingReplicaDeletion, respon meliputi masa tunggu (PendingWindowInDays), tetapi bukan DeletionDate. Tanggal penghapusan sebenarnya dari kunci primer tergantung pada kapan kunci replika dihapus.


$ aws kms describe-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1597902361.481,
        "Enabled": false,
        "Description": "",
        "KeySpec": "SYMMETRIC_DEFAULT",        
        "KeyState": "PendingReplicaDeletion",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "us-west-2"
                },
{
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                },
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                }
            ]
        },
        "PendingDeletionWindowInDays": 30
    }
}

Ketika semua replika dihapus, keluaran DescribeKey menunjukkan kunci primer yang tersisa dengan status kunci PendingDeletion. Sementara status kunci adalah PendingDeletion, bidang DeletionDate akan ditampilkan, bukan bidang PendingWindowInDays.


$ aws kms describe-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Arn": "",
        "CreationDate": 1597902361.481,
        "Enabled": false,
        "Description": "",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "PendingDeletion",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "DeletionDate": 1597968000.0,
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": []
        }
    }
}

Tampilkan lebih banyak

Tampilkan lebih sedikit

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengimpor materi kunci ke kunci multi-Wilayah

Materi kunci yang diimpor