Agendar a exclusão de chaves do KMS de um armazenamento de chaves do AWS CloudHSM - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Agendar a exclusão de chaves do KMS de um armazenamento de chaves do AWS CloudHSM

Quando tiver certeza de que não será necessário usar uma AWS KMS key para nenhuma operação criptográfica, você poderá programar a exclusão da chave do KMS. Use o mesmo procedimento que você usaria para programar a exclusão de qualquer chave do KMS do AWS KMS. Além disso, mantenha o armazenamento de chaves do AWS CloudHSM conectado para que o AWS KMS exclua o material de chave correspondente do cluster do AWS CloudHSM associado quando o período de espera expirar.

Você pode monitorar o agendamento, o cancelamento e a exclusão da chave do KMS em seus logs do AWS CloudTrail.

Atenção

A exclusão de uma chave do KMS é uma operação destrutiva e potencialmente perigosa que evita a recuperação de todos os dados criptografados sob essa chave do KMS. Antes de programar a exclusão da chave KMS, examine o uso anterior da chave KMS e crie um CloudWatch alarme da Amazon que alerta você quando alguém tentar usar a chave KMS enquanto ela estiver pendente de exclusão. Sempre que possível, desabilite a chave do KMS em vez de excluí-la.

Se você agendar a exclusão de uma chave do KMS de um armazenamento de chaves do AWS CloudHSM, o estado da chave será alterado para Pending deletion (Exclusão pendente). A chave do KMS permanecerá no estado Pending deletion (Exclusão pendente) durante todo o período de espera, mesmo que ela fique indisponível porque você desconectou o armazenamento de chaves personalizado. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera.

Quando o período de espera expirar, o AWS KMS excluirá a chave do KMS do AWS KMS. O AWS KMS faz o possível para excluir o material de chaves do cluster do AWS CloudHSM associado. Se o AWS KMS não puder excluir o material de chaves, como, por exemplo, quando o armazenamento de chaves é desconectado do AWS KMS, pode ser necessário excluir manualmente o material de chaves órfãs do cluster.

O AWS KMS não exclui o material de chaves de backups do cluster. Mesmo que você exclua a chave do KMS do AWS KMS e seu material de chave do cluster do AWS CloudHSM, os clusters criados a partir de backups podem conter o material de chave excluído. Para excluir permanentemente o material de chave, visualize a data de criação da chave do KMS. Em seguida, exclua todos os backups do cluster que podem conter o material de chaves.

Quando você agenda a exclusão de uma chave do KMS de um armazenamento de chaves do AWS CloudHSM, a chave do KMS torna-se inutilizável imediatamente (sujeita a consistência posterior). Contudo, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter mais detalhes, consulte Como as chaves inutilizáveis afetam KMS as chaves de dados.