翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS keys の削除
AWS KMS key を削除することは破壊的であり、リスクが伴います。これは、キーマテリアルと KMS キーに関連付けられているすべてのメタデータを削除し、元に戻すことはできません。KMS キーを削除すると、その KMS キーで暗号化されたデータを復号できなくなります。これは、そのデータが回復不能になることを意味します。(唯一の例外は、マルチリージョンのレプリカキーと、キーマテリアルを含む非対称キーと HMAC KMS キーです。) 暗号化に使用される非対称 KMS キーの場合に重大なリスクとなります。この場合、ユーザーは、AWS KMS からプライベートキーが削除された後、警告やエラーが発生することなく、パブリックキーを使用して暗号文を生成し続けることができます。
KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。不明な場合は、削除するのではなく、KMS キーを無効化することを検討します。無効にした KMS キーを再度有効にしたり、KMS キーの削除のスケジュールをキャンセルしたりすることは可能ですが、すでに削除した KMS キーを復元することはできません。
スケジュールできるのは、カスタマーマネージドキーの削除のみです。AWS マネージドキー または AWS 所有のキー を削除することはできません。
KMS キーを削除する前に、その KMS キーで暗号化された暗号文の数の確認が必要な場合があります。AWS KMS は、この情報や暗号文を保存しません。この情報を取得するには、KMS キーの過去の使用状況を特定する必要があります。ヘルプについては、KMS キーの過去の使用状況を確認する を参照してください。
明示的に削除をスケジュールし、必須の待機期間が終了しない限り、AWS KMS は KMS キーを削除しません。
KMS キーを削除する理由には次の 1 つ以上のものが考えられます。
-
不要になった KMS キーのキーライフサイクルを完了する
-
使用しない KMS キーの維持に伴う管理オーバーヘッドとコスト
を回避する -
KMS キーリソースクォータに対してカウントされる KMS キーの数を減らすには
注記
AWS アカウント を終了すると、KMS キーにアクセスできなくなり、それらに対して課金されることはなくなります。
AWS KMS は、KMS キーの削除をスケジュールするとき、および KMS キーが実際に削除されたときに、AWS CloudTrail ログにエントリを記録します。
待機期間について
KMS キーを削除することは、破壊的でリスクを伴うため、AWS KMS で待機期間を 7 ~ 30 日に設定する必要があります。デフォルトの待機時間は、30 日です。
ただし、実際の待機期間は、スケジュールした待機期間よりも最大 24 時間長くなる場合があります。KMS キーが削除される実際の日付と時刻を取得するには、DescribeKey オペレーションを使用します。または、AWS KMS コンソール、KMS キーの詳細ページ、[General configuration] (一般的な設定) セクションで、スケジュールされた削除の日付を参照してください。必ずタイムゾーンをメモしておきます。
削除の待機期間中は、KMS キーステータスおよびキーの状態が削除保留中になります。
-
削除保留中の KMS キーを暗号化オペレーションで使用することはできません。
-
AWS KMS は削除保留中の KMS キーのキーマテリアルをローテーションしません。
待機期間終了後、AWS KMS は KMS キー、そのエイリアス、関連するすべての AWS KMS メタデータを削除します。
KMS キーの削除をスケジュールしても、KMS キーで暗号化されたデータキーに、ただちに影響しない場合もあります。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。
待機期間を設定することにより、KMS キーが不要であり、今後も使用することがないことを確認できます。待機期間中にユーザーまたはアプリケーションが KMS キーの使用を試みた場合に警告するように Amazon CloudWatch アラームを設定できます。KMS キーを復元するには、待機期間の終了前にキーの削除をキャンセルします。待機期間の終了後は、キーの削除はキャンセルできず、AWS KMS は KMS キーを削除します。
特別な考慮事項
キー削除をスケジュールする前に、特定用途向けの KMS キーの削除に関する以下の注意事項を確認してください。
- 非対称 KMS キーの削除
-
認可されたユーザーは、対称または非対称 KMS キーを削除できます。これらの KMS キーの削除をスケジュールする手順は、どちらの種類のキーも同じです。ただし、非対称 KMS キーのパブリックキーは AWS KMS の外部でダウンロードして使用できるため、特に暗号化に使用される非対称 KMS キー (キーの使用法が
ENCRYPT_DECRYPT
) では、オペレーションに重大な追加リスクが生じます。-
KMS キーの削除をスケジュールすると、KMS キーのキーステータスが削除保留中に変わり、KMS キーを暗号化オペレーションで使用できなくなります。ただし、削除をスケジュールしても、AWS KMS の外部にあるパブリックキーには影響しません。パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。キーの状態が変更されたという通知は受信しません。削除がキャンセルされない限り、パブリックキーで作成された暗号文は復号できません。
-
削除保留中の KMS キーを使用する試みを検出するアラーム、ログ、その他の戦略では、AWS KMS の外部でのパブリックキーの使用は検出できません。
-
KMS キーが削除されると、その KMS キーに関連するすべての AWS KMS アクションは失敗します。ただし、パブリックキーを持つユーザーは、引き続きそのパブリックキーを使ってメッセージを暗号化できます。これらの暗号文は復号できません。
キーの使用方法が
ENCRYPT_DECRYPT
である非対称 KMS キーを削除する必要がある場合は、CloudTrail ログエントリを使用して、パブリックキーがダウンロードおよび共有されているかどうかを確認します。完了している場合は、パブリックキーが AWS KMS の外部で使用されていないことを確認します。次に、削除するのではなく、KMS キーを無効にすることを検討します。非対称 KMS キーの削除によって生じるリスクは、インポートされたキーマテリアルを含む非対称 KMS キーであれば軽減されます。 詳細については、「Deleting KMS keys with imported key material」を参照してください。
-
- マルチリージョンキーの削除
-
プライマリキーを削除するには、すべてのレプリカキーの削除をスケジュールし、レプリカキーが削除されるまで待機する必要があります。プライマリキーの削除に必要な待機時間は、最後のレプリカキーが削除された時点から始まります。レプリカキーを削除せずに特定のリージョンからプライマリキーを削除する必要がある場合は、プライマリリージョンの更新を使用して、プライマリキーをレプリカキーに変更します。
レプリカキーはいつでも削除することができます。これは、他の KMS キーのキーステータスに依存しません。誤ってレプリカキーを削除した場合は、同じリージョンで同じプライマリキーをレプリケートすることで再度作成できます。作成した新しいレプリカキーは、元のレプリカキーと同じ共有プロパティを有します。
- インポートされたキーマテリアルを含む KMS キーの削除
-
キーマテリアルがインポートされた KMS キーのキーマテリアルの削除は一時的で、元に戻すことができます。キーを復元するには、キーマテリアルを再インポートします。
一方、KMS キーの削除は破棄できません。キーの削除をスケジュールし、必要な待機期間が終了すると、AWS KMS は、 KMS キー、そのキーマテリアル、および KMS キーに関連付けられたすべてのメタデータを完全に削除し、元に戻すことができなくなります。
ただし、キーマテリアルがインポートされた KMS キーを削除した場合のリスクと結果は、KMS キーのタイプ (「キー仕様」) によって異なります。
-
対称暗号化キー – 対称暗号化 KMS キーを削除すると、そのキーで暗号化された残りの暗号文はすべて回復できなくなります。同じキーマテリアルを使用しても、削除された対称暗号化 KMS キーの暗号文を復号できる新しい対称暗号化 KMS キーを作成することはできません。各 KMS キーに固有のメタデータは、各対称暗号文に暗号的にバインドされます。このセキュリティ機能により、対称暗号文を暗号化した KMS キーのみで復号できることが保証されますが、同等の KMS キーを再作成することができなくなっています。
-
非対称キーと HMAC キー – 元のキーマテリアルがある場合は、削除された非対称キーまたは HMAC KMS キーと同じ暗号プロパティを持つ新しい KMS キーを作成できます。AWS KMS は、標準の RSA 暗号文と署名、ECC 署名、HMAC タグを生成します。これらには、固有のセキュリティ機能は含まれません。また、HMAC キーまたは非対称キーペアのプライベートキーを AWS の外部で使用できます。
同じ非対称キーマテリアルまたは HMAC キーマテリアルを使用して作成した新しい KMS キーには、異なるキー識別子が割り当てられます。新しいキーポリシーを作成し、エイリアスをすべて再作成し、新しいキーを参照するように既存の IAM ポリシーとアクセス許可を更新する必要があります。
-
- AWS CloudHSM キーストアからの KMS キーの削除
-
AWS CloudHSM キーストアからの KMS キーの削除をスケジュールすると、[key state] (キーステータス) が [Pending deletion] (削除保留中) に変わります。KMS キーは、カスタムキーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して削除保留中ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。
待機期間が終了すると、AWS KMS は AWS KMS から KMS キーを削除します。次に、AWS KMS では、関連付けられた AWS CloudHSM クラスターからキーマテリアルを可能な限り削除します。キーストアが AWS KMS から切断されるなど、AWS KMS でキーマテリアルを削除できない場合は、クラスターから手動で孤立したキーマテリアルを削除できます。
AWS KMS は、クラスターのバックアップからキーマテリアルを削除しません。AWS KMS から KMS キーを削除し、AWS CloudHSM クラスターからそのキーマテリアルを削除した場合でも、バックアップから作成されたクラスターには、削除したキーマテリアルが含まれている可能性があります。キーマテリアルを恒久的に削除するには、DescribeKey オペレーションを使用してその KMS キーの作成日を特定します。次に、キーのマテリアルを含む可能性のある すべてのクラスタバックアップを削除します 。
AWS CloudHSM キーストアから KMS キーを削除することをスケジュールすると、その KMS キーはただちに使用できなくなります (結果整合性の影響を受ける)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。
- 外部キーストアからの KMS キーの削除
-
外部キーストアから KMS キーを削除しても、キーマテリアルとして使用されていた外部キーには影響しません。
外部キーストアの KMS キーの削除をスケジュールすると、キーステータスが[Pending deletion] (削除保留中) に変わります。KMS キーは、外部キーストアの切断によって KMS キーが使用できなくなった場合でも、待期期間中を通して[Pending deletion] (削除保留中) ステータスを維持します。これにより、待機期間中はいつでも KMS キーの削除をキャンセルできます。待機期間が終了すると、AWS KMS は AWS KMS から KMS キーを削除します。
外部キーストアの KMS キーの削除をスケジュールすると、その KMS キーは直ちに使用できなくなります (結果整合性の影響を受けます)。ただし、KMS キーで保護されたデータキーで暗号化されているリソースは、KMS キーが (データキーの復号などで) 再度使用されるまで、その影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。