사용자 지정 키 스토어에서 KMS 키 삭제 예약 - AWS Key Management Service

사용자 지정 키 스토어에서 KMS 키 삭제 예약

암호화 작업에서 AWS KMS key를 사용할 필요가 없다고 확신하는 경우 KMS 키 삭제를 예약할 수 있습니다. AWS KMS에서 KMS 키 삭제를 예약할 때 사용하는 것과 동일한 절차를 사용합니다. 뿐만 아니라 대기 시간이 만료되면 AWS KMS가 연결 AWS CloudHSM 클러스터에서 해당되는 키 구성 요소를 삭제할 수 있도록 사용자 지정 키 스토어의 연결을 유지합니다.

주의

KMS 키 삭제는 KMS 키에서 암호화된 모든 데이터를 복구하지 못하도록 할 위험성이 있는 안전하지 않은 작업입니다. KMS 키 삭제를 예약하기 전에 KMS 키의 과거 사용량을 검토하여 삭제 대기 중인 동안 누군가 KMS 키 사용을 시도할 때 경고를 보내는 Amazon CloudWatch 경보를 생성합니다. 가능한 경우에는 언제든지 삭제하는 대신 KMS 키를 비활성화합니다.

사용자 지정 키 스토어에서 KMS 키 삭제를 예약하면 키 상태Pending deletion(삭제 보류 중)으로 변경됩니다. KMS 키는 삭제 보류 중 상태로 인해 KMS 키를 사용할 수 없게 되는 경우에도 대기 기간 동안사용자 지정 키 스토어의 연결을 해제합니다.. 따라서 대기 시간 동안 언제라도 KMS 키의 삭제를 취소할 수 있습니다.

대기 기간이 만료되면 AWS KMS는 AWS KMS에서 KMS 키를 삭제합니다. 그런 다음 AWS KMS는 연결 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하기 위해 최선의 노력을 다합니다. AWS KMS에서 키 스토어의 연결이 해제된 경우처럼 AWS KMS가 키 구성 요소를 삭제할 수 없는 경우에는 클러스터에서 수동으로 불필요한 키 구성 요소를 삭제해야 할 수 있습니다.

AWS KMS는 클러스터 백업에서 키 구성 요소를 삭제하지 않습니다. AWS KMS에서 KMS 키를 삭제하고 AWS CloudHSM 클러스터에서 키 구성 요소를 삭제하는 경우라 하더라도 백업에서 생성된 클러스터에는 삭제된 키 구성 요소가 포함될 수 있습니다. 키 구성 요소를 영구적으로 삭제하려면 KMS 키의 생성 날짜를 확인합니다. 그런 다음, 키 구성 요소가 포함되어 있을 수 있는 모든 클러스터 백업을 삭제합니다.