Eliminazione di AWS KMS keys - AWS Key Management Service
Informazioni sul periodo di attesaEliminazione delle chiavi KMS asimmetricheEliminazione di chiavi multi-regioneEliminazione di chiavi KMS con materiale della chiave importato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Eliminazione di AWS KMS keys

L'eliminazione di una AWS KMS key è un'operazione distruttiva e potenzialmente pericolosa. Infatti, elimina il materiale della chiave e tutti i metadati associati alla chiave KMS ed è irreversibile. Dopo l'eliminazione di una chiave KMS, non è più possibile decrittare i dati crittografati usando tale chiave KMS, che quindi non possono più essere recuperati. (Le uniche eccezioni sono rappresentate da chiavi di replica multi-regione e chiavi KMS asimmetriche e HMAC con materiale della chiave importato.) Questo rischio è significativo per le chiavi KMS asimmetriche utilizzate per la crittografia in cui, senza avvertenze o errori, gli utenti possono continuare a generare con la chiave pubblica testi criptati che non possono essere decrittografati dopo l'eliminazione della chiave privata da AWS KMS.

Dovresti eliminare una chiave KMS solo quando hai la certezza di non doverla più utilizzare. In caso di dubbio, valuta la possibilità di disabilitare la chiave KMS invece di eliminarla. Puoi riabilitare una chiave KMS disabilitata e annullare l'eliminazione pianificata di una chiave KMS, ma non puoi recuperare una chiave KMS eliminata.

È possibile solamente pianificare l'eliminazione di una chiave gestita dal cliente. Non è possibile eliminare Chiavi di proprietà di AWS o Chiavi gestite da AWS.

Prima di eliminare una chiave KMS, potresti voler sapere in che modo numerosi testi cifrati sono stati crittografati per quella chiave KMS. AWS KMS non archivia queste informazioni né i testi cifrati. Per ottenere queste informazioni, devi determinare l'utilizzo passato di una chiave KMS. Per assistenza, vai a Stabilire l'utilizzo passato di una chiave KMS.

AWS KMS non elimina mai le chiavi KMS a meno che non le pianifichi esplicitamente per l'eliminazione e il periodo di attesa obbligatorio scada.

Potresti scegliere di eliminare una chiave KMS per uno o più dei seguenti motivi:

  • Per completare il ciclo di vita delle chiavi per le chiavi KMS che non sono più necessarie

  • Per evitare i costi di gestione delle chiavi KMS inutilizzate

  • Per ridurre il numero di chiavi KMS conteggiate nella quota di risorse delle chiavi KMS

Nota

Se chiudi il tuo Account AWS, le tue chiavi KMS diventano inaccessibili e non ti vengono più fatturate.

AWS KMS registra una voce nel log AWS CloudTrail quando pianifichi l'eliminazione della chiave KMS e quando la chiave KMS viene effettivamente eliminata.

Per informazioni sull'eliminazione di chiavi primarie e di replica multi-regione, consulta Eliminazione di chiavi multiregione.

Argomenti

Informazioni sul periodo di attesa

Poiché eliminare una chiave KMS è un'operazione distruttiva e potenzialmente pericolosa, AWS KMS richiede di impostare un periodo di attesa di 7-30 giorni. Il periodo di attesa predefinito è di 30 giorni.

Tuttavia, il periodo di attesa effettivo potrebbe essere fino a 24 ore più lungo di quello pianificato. Per ottenere la data e l'ora effettive in cui la chiave KMS verrà eliminata, utilizzare l'DescribeKeyoperazione. O nella console AWS KMS, nella pagina dei dettagli per la chiave KMS, nella sezione Configurazione generale, consulta Data di eliminazione pianificata. Assicurati di segnare il fuso orario.

Durante il periodo di attesa, lo stato della chiave KMS e quello della chiave è In attesa di eliminazione.

Al termine del periodo di attesa, AWS KMS elimina la chiave KMS, i relativi alias e tutti i relativi metadati AWS KMS.

La pianificazione dell'eliminazione di una chiave KMS potrebbe non influire immediatamente sulle chiavi di dati crittografate dalla chiave KMS. Per informazioni dettagliate, vedi In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati.

Utilizza il periodo di attesa per assicurarti che la chiave KMS non sia necessaria ora o in futuro. Puoi configurare un CloudWatch allarme Amazon per avvisarti se una persona o un'applicazione tenta di utilizzare la chiave KMS durante il periodo di attesa. Per ripristinare la chiave KMS, puoi annullare l'eliminazione della chiave prima del termine del periodo di attesa. Dopo il termine del periodo di attesa, non puoi annullare l'eliminazione della chiave e AWS KMS elimina la chiave KMS.

Eliminazione delle chiavi KMS asimmetriche

Gli utenti autorizzati possono eliminare chiavi KMS simmetriche o asimmetriche. La procedura per pianificare l'eliminazione di queste chiavi KMS è la stessa per entrambi i tipi di chiave. Tuttavia, poiché la chiave pubblica di una chiave KMS asimmetrica può essere scaricata e utilizzata al di fuori di AWS KMS, l'operazione comporta notevoli rischi aggiuntivi, soprattutto per le chiavi KMS asimmetriche utilizzate per la crittografia (l'utilizzo della chiave è ENCRYPT_DECRYPT).

  • Quando pianifichi l'eliminazione di una chiave KMS, lo stato della chiave KMS cambia in In attesa di eliminazione e la chiave KMS non può essere utilizzata nelle operazioni di crittografia. Tuttavia, la pianificazione dell'eliminazione non ha alcun effetto sulle chiavi pubbliche al di fuori di AWS KMS. Gli utenti che dispongono della chiave pubblica possono continuare a utilizzarle per crittografare i messaggi. Non ricevono alcuna notifica del cambiamento dello stato della chiave. A meno che l'eliminazione non venga annullata, il testo cifrato creato con la chiave pubblica non può essere decrittato.

  • Allarmi, log e altre strategie che rilevano il tentativo di utilizzo di chiavi KMS in attesa di eliminazione non possono rilevare l'utilizzo della chiave pubblica al di fuori di AWS KMS.

  • Quando la chiave KMS viene eliminata, tutte le azioni AWS KMS che riguardano la chiave KMS hanno esito negativo. Tuttavia, gli utenti che dispongono della chiave pubblica possono continuare a utilizzarla per crittografare i messaggi. Questi testi cifrati non possono essere decrittati.

Se devi eliminare una chiave KMS asimmetrica con un utilizzo di chiaveENCRYPT_DECRYPT, utilizza le voci di CloudTrail registro per determinare se la chiave pubblica è stata scaricata e condivisa. In caso affermativo, verifica che la chiave pubblica non venga utilizzata al di fuori di AWS KMS. Valuta l'opportunità di disattivare la chiave KMS anziché di eliminarla.

Il rischio rappresentato dall'eliminazione di una chiave asimmetrica è ridotto per le chiavi KMS asimmetriche con materiale della chiave importato. Per informazioni dettagliate, vedi Eliminazione di una chiave KMS con il materiale della chiave importato.

Eliminazione di chiavi multi-regione

Gli utenti autorizzati possono pianificare l'eliminazione delle chiavi primarie e di replica multi-regione. Tuttavia, AWS KMS non eliminerà una chiave primaria multi-regione che ha una chiave di replica. Inoltre, finché esiste la chiave primaria, è possibile ricreare una chiave di replica multi-regione eliminata. Per informazioni dettagliate, vedi Eliminazione di chiavi multiregione.

Eliminazione di chiavi KMS con materiale della chiave importato

Gli utenti autorizzati possono pianificare l'eliminazione delle chiavi KMS con materiale della chiave importato. Questa azione elimina definitivamente la chiave KMS, il relativo materiale e tutti i metadati associati alla chiave KMS.

Non puoi creare una nuova chiave KMS di crittografia simmetrica in grado di decrittografare i testi criptati di una chiave di crittografia simmetrica eliminata con materiale della chiave importato, neppure se disponi di una copia del relativo materiale della chiave. Tuttavia, se disponi del materiale della chiave, puoi ricreare efficacemente una chiave KMS asimmetrica o una chiave KMS HMAC con il materiale della chiave importato. Per informazioni dettagliate, vedi Eliminazione di una chiave KMS con il materiale della chiave importato.