外部キーストアの KMS キーの削除をスケジュールする

暗号化オペレーションに AWS KMS key を使用する必要がないことが確実な場合は、KMS キーの削除をスケジュールできます。AWS KMS からの KMS キーの削除をスケジュールするのと同じ手順を使用します。外部キーストアから KMS キーを削除しても、キーマテリアルとして使用されていた外部キーには影響しません。

KMS キーのスケジュールされた削除は、必須の待期期間中はキャンセル可能です。ただし、削除された KMS キーは回復できません。同じ外部キーを使用しても、外部キーストアに対称暗号化 KMS キーを再作成することはできません。外部キーストアの各対称 KMS キーには一意の AWS KMS キーマテリアルとメタデータがあるため、対称暗号文を暗号化した AWS KMS キーのみがそれを復号できます。

警告

KMS キーの削除は、破壊的で潜在的に危険なオペレーションであり、これを実行すると KMS キーで暗号化されたすべてのデータを回復できなくなります。KMS キーの削除をスケジュールする前に、KMS キーの過去の使用状況を調べ、削除保留中に誰かが KMS キーを使用しようとしたときに警告する Amazon CloudWatch アラームを作成します。可能な限り、削除ではなくKMS キーを無効化します。

外部キーストアの KMS キーの削除をスケジュールすると、キーステータスが[Pending deletion] (削除保留中) に変わります。KMS キーは、外部キーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して[Pending deletion] (削除保留中) ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。待機期間が終了すると、AWS KMS は AWS KMS から KMS キーを削除します。

外部キーストアの KMS キーの削除をスケジュールすると、その KMS キーは直ちに使用できなくなります (結果整合性の影響を受けます)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

KMS キーのスケジューリング、キャンセル、削除は、AWS CloudTrail ログでモニタリングできます。