KMS キーを AWS CloudHSM キーストアから削除することをスケジュールする

暗号化オペレーションに AWS KMS key を使用する必要がないことが確実な場合は、KMS キーの削除をスケジュールできます。AWS KMS からの KMS キーの削除をスケジュールするのと同じ手順を使用します。さらに、AWS CloudHSM キーストアの接続を維持します。そうすれば AWS KMS は、待機期間の終了後に、関連付けられた AWS CloudHSM クラスターから対応するキーマテリアルを削除できます。

KMS キーのスケジューリング、キャンセル、削除は、AWS CloudTrail ログでモニタリングできます。

警告

KMS キーの削除は、破壊的で潜在的に危険なオペレーションであり、これを実行すると KMS キーで暗号化されたすべてのデータを回復できなくなります。KMS キーの削除をスケジュールする前に、KMS キーの過去の使用状況を調べ、削除保留中に誰かが KMS キーを使用しようとしたときに警告する Amazon CloudWatch アラームを作成します。可能な限り、削除ではなくKMS キーを無効化します。

AWS CloudHSM キーストアからの KMS キーの削除をスケジュールすると、[key state] (キーステータス) が [Pending deletion] (削除保留中) に変わります。KMS キーは、カスタムキーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して削除保留中ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。

待機期間が終了すると、AWS KMS は AWS KMS から KMS キーを削除します。次に、AWS KMS では、関連付けられた AWS CloudHSM クラスターからキーマテリアルを可能な限り削除します。キーストアが AWS KMS から切断されるなど、AWS KMS でキーマテリアルを削除できない場合は、クラスターから手動で孤立したキーマテリアルを削除できます。

AWS KMS は、クラスターのバックアップからキーマテリアルを削除しません。AWS KMS から KMS キーを削除し、AWS CloudHSM クラスターからそのキーマテリアルを削除した場合でも、バックアップから作成されたクラスターには、削除したキーマテリアルが含まれている可能性があります。キーマテリアルを完全に削除するには、KMS キーの作成日を表示します。次に、キーのマテリアルを含む可能性のある すべてのクラスタバックアップを削除します 。

AWS CloudHSM キーストアから KMS キーを削除することをスケジュールすると、その KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。