AWS KMS keys の削除 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS keys の削除

AWS KMS key を削除することは破壊的であり、リスクが伴います。これは、キーマテリアルと KMS キーに関連付けられているすべてのメタデータを削除し、元に戻すことはできません。KMS キーを削除すると、その KMS キーで暗号化されたデータを復号できなくなります。これは、そのデータが回復不能になることを意味します。(唯一の例外は、マルチリージョンのレプリカキーと、キーマテリアルを含む非対称キーと HMAC KMS キーです。) 暗号化に使用される非対称 KMS キーの場合に重大なリスクとなります。この場合、ユーザーは、AWS KMS からプライベートキーが削除された後、警告やエラーが発生することなく、パブリックキーを使用して暗号文を生成し続けることができます。

KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。不明な場合は、削除するのではなく、KMS キーを無効化することを検討します。無効にした KMS キーを再度有効にしたり、KMS キーの削除のスケジュールをキャンセルしたりすることは可能ですが、すでに削除した KMS キーを復元することはできません。

スケジュールできるのは、カスタマーマネージドキーの削除のみです。AWS マネージドキー または AWS 所有のキー を削除することはできません。

KMS キーを削除する前に、その KMS キーで暗号化された暗号文の数の確認が必要な場合があります。AWS KMS は、この情報や暗号文を保存しません。この情報を取得するには、KMS キーの過去の使用状況を特定する必要があります。ヘルプについては、KMS キーの過去の使用状況を確認する を参照してください。

明示的に削除をスケジュールし、必須の待機期間が終了しない限り、AWS KMS は KMS キーを削除しません。

KMS キーを削除する理由には次の 1 つ以上のものが考えられます。

  • 不要になった KMS キーのキーライフサイクルを完了する

  • 使用しない KMS キーの維持に伴う管理オーバーヘッドとコストを回避する

  • KMS キーリソースクォータに対してカウントされる KMS キーの数を減らすには

注記

AWS アカウント を終了すると、KMS キーにアクセスできなくなり、それらに対して課金されることはなくなります。

AWS KMS は、KMS キーの削除をスケジュールするとき、および KMS キーが実際に削除されたときに、AWS CloudTrail ログにエントリを記録します。

待機期間について

KMS キーを削除することは、破壊的でリスクを伴うため、AWS KMS で待機期間を 7 ~ 30 日に設定する必要があります。デフォルトの待機時間は、30 日です。

ただし、実際の待機期間は、スケジュールした待機期間よりも最大 24 時間長くなる場合があります。KMS キーが削除される実際の日付と時刻を取得するには、DescribeKey オペレーションを使用します。または、AWS KMS コンソール、KMS キーの詳細ページ、[General configuration] (一般的な設定) セクションで、スケジュールされた削除の日付を参照してください。必ずタイムゾーンをメモしておきます。

削除の待機期間中は、KMS キーステータスおよびキーの状態が削除保留中になります。

待機期間終了後、AWS KMS は KMS キー、そのエイリアス、関連するすべての AWS KMS メタデータを削除します。

KMS キーの削除をスケジュールしても、KMS キーで暗号化されたデータキーに、ただちに影響しない場合もあります。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

待機期間を設定することにより、KMS キーが不要であり、今後も使用することがないことを確認できます。待機期間中にユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するように Amazon CloudWatch アラームを設定できます。KMS キーを復元するには、待機期間の終了前にキーの削除をキャンセルします。待機期間の終了後は、キーの削除はキャンセルできず、AWS KMS は KMS キーを削除します。

特別な考慮事項

キー削除をスケジュールする前に、特定用途向けの KMS キーの削除に関する以下の注意事項を確認してください。

非対称 KMS キーの削除

認可されたユーザーは、対称または非対称 KMS キーを削除できます。これらの KMS キーの削除をスケジュールする手順は、どちらの種類のキーも同じです。ただし、非対称 KMS キーのパブリックキーは AWS KMS の外部でダウンロードして使用できるため、特に暗号化に使用される非対称 KMS キー (キーの使用法が ENCRYPT_DECRYPT) では、オペレーションに重大な追加リスクが生じます。

  • KMS キーの削除をスケジュールすると、KMS キーのキーステータスが削除保留中に変わり、KMS キーを暗号化オペレーションで使用できなくなります。ただし、削除をスケジュールしても、AWS KMS の外部にあるパブリックキーには影響しません。パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。キーの状態が変更されたという通知は受信しません。削除がキャンセルされない限り、パブリックキーで作成された暗号文は復号できません。

  • 削除保留中の KMS キーを使用する試みを検出するアラーム、ログ、その他の戦略では、AWS KMS の外部でのパブリックキーの使用は検出できません。

  • KMS キーが削除されると、その KMS キーに関連するすべての AWS KMS アクションは失敗します。ただし、パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。これらの暗号文は復号できません。

キーの使用方法が ENCRYPT_DECRYPT である非対称 KMS キーを削除する必要がある場合は、CloudTrail ログエントリを使用して、パブリックキーがダウンロードおよび共有されているかどうかを確認します。完了している場合は、パブリックキーが AWS KMS の外部で使用されていないことを確認します。次に、削除するのではなく、KMS キーを無効にすることを検討します。

非対称 KMS キーの削除によって生じるリスクは、インポートされたキーマテリアルを含む非対称 KMS キーであれば軽減されます。  詳細については、「Deleting KMS keys with imported key material」を参照してください。

マルチリージョンキーの削除

プライマリキーを削除するには、すべてのレプリカキーの削除をスケジュールし、レプリカキーが削除されるまで待機する必要があります。プライマリキーの削除に必要な待機時間は、最後のレプリカキーが削除された時点から始まります。レプリカキーを削除せずに特定のリージョンからプライマリキーを削除する必要がある場合は、プライマリリージョンの更新を使用して、プライマリキーをレプリカキーに変更します。

レプリカキーはいつでも削除することができます。これは、他の KMS キーのキーステータスに依存しません。誤ってレプリカキーを削除した場合は、同じリージョンで同じプライマリキーをレプリケートすることで再度作成できます。作成した新しいレプリカキーは、元のレプリカキーと同じ共有プロパティを有します。

インポートされたキーマテリアルを含む KMS キーの削除

キーマテリアルがインポートされた KMS キーのキーマテリアルの削除は一時的で、元に戻すことができます。キーを復元するには、キーマテリアルを再インポートします。

一方、KMS キーの削除は破棄できません。キーの削除をスケジュールし、必要な待機期間が終了すると、AWS KMS は、 KMS キー、そのキーマテリアル、および KMS キーに関連付けられたすべてのメタデータを完全に削除し、元に戻すことができなくなります。

ただし、キーマテリアルがインポートされた KMS キーを削除した場合のリスクと結果は、KMS キーのタイプ (「キー仕様」) によって異なります。

  • 対称暗号化キー – 対称暗号化 KMS キーを削除すると、そのキーで暗号化された残りの暗号文はすべて回復できなくなります。同じキーマテリアルを使用しても、削除された対称暗号化 KMS キーの暗号文を復号できる新しい対称暗号化 KMS キーを作成することはできません。各 KMS キーに固有のメタデータは、各対称暗号文に暗号的にバインドされます。このセキュリティ機能により、対称暗号文を暗号化した KMS キーのみで復号できることが保証されますが、同等の KMS キーを再作成することができなくなっています。

  • 非対称キーと HMAC キー – 元のキーマテリアルがある場合は、削除された非対称キーまたは HMAC KMS キーと同じ暗号プロパティを持つ新しい KMS キーを作成できます。AWS KMS は、標準の RSA 暗号文と署名、ECC 署名、HMAC タグを生成します。これらには、固有のセキュリティ機能は含まれません。また、HMAC キーまたは非対称キーペアのプライベートキーを AWS の外部で使用できます。

    同じ非対称キーマテリアルまたは HMAC キーマテリアルを使用して作成した新しい KMS キーには、異なるキー識別子が割り当てられます。新しいキーポリシーを作成し、エイリアスをすべて再作成し、新しいキーを参照するように既存の IAM ポリシーとアクセス許可を更新する必要があります。

AWS CloudHSM キーストアからの KMS キーの削除

AWS CloudHSM キーストアからの KMS キーの削除をスケジュールすると、[key state] (キーステータス) が [Pending deletion] (削除保留中) に変わります。KMS キーは、カスタムキーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して削除保留中ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。

待機期間が終了すると、AWS KMS は AWS KMS から KMS キーを削除します。次に、AWS KMS では、関連付けられた AWS CloudHSM クラスターからキーマテリアルを可能な限り削除します。キーストアが AWS KMS から切断されるなど、AWS KMS でキーマテリアルを削除できない場合は、クラスターから手動で孤立したキーマテリアルを削除できます。

AWS KMS は、クラスターのバックアップからキーマテリアルを削除しません。AWS KMS から KMS キーを削除し、AWS CloudHSM クラスターからそのキーマテリアルを削除した場合でも、バックアップから作成されたクラスターには、削除したキーマテリアルが含まれている可能性があります。キーマテリアルを恒久的に削除するには、DescribeKey オペレーションを使用してその KMS キーの作成日を特定します。次に、キーのマテリアルを含む可能性のある すべてのクラスタバックアップを削除します

AWS CloudHSM キーストアから KMS キーを削除することをスケジュールすると、その KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

外部キーストアからの KMS キーの削除

外部キーストアから KMS キーを削除しても、キーマテリアルとして使用されていた外部キーには影響しません。

外部キーストアの KMS キーの削除をスケジュールすると、キーステータス[Pending deletion] (削除保留中) に変わります。KMS キーは、外部キーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して[Pending deletion] (削除保留中) ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。待機期間が終了すると、AWS KMS は AWS KMS から KMS キーを削除します。

外部キーストアの KMS キーの削除をスケジュールすると、その KMS キーは直ちに使用できなくなります (結果整合性の影響を受けます)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。