Excluir um AWS KMS key - AWS Key Management Service
Sobre o período de esperaConsiderações especiais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Excluir um AWS KMS key

Excluir um AWS KMS key é destrutivo e potencialmente perigoso. Essa ação exclui o material de chave e todos os metadados associados à chave do KMS e é irreversível. Depois que uma chave do KMS é excluída, não é mais possível descriptografar os dados que foram criptografados com ela, o que significa que os dados são irrecuperáveis. (As únicas exceções são chaves de réplica multirregionais e chaves assimétricas e as chaves do KMS de HMAC com material de chave importado.) Esse risco é significativo para chaves KMS assimétricas usadas para criptografia, nas quais, sem aviso ou erro, os usuários podem continuar gerando textos cifrados com a chave pública que não podem ser descriptografados após a exclusão da chave privada. AWS KMS

Só exclua uma chave do KMS quando você tiver certeza de que não vai mais precisar dela. Caso não tenha certeza, desabilite a chave do KMS em vez de excluí-la. Você poderá reabilitar a chave do KMS desabilitada e cancelar a exclusão agendada de uma chave do KMS, mas não poderá recuperar a chave do KMS excluída.

Apenas é possível agendar a exclusão de uma chave gerenciada pelo cliente. Você não pode excluir Chaves gerenciadas pela AWS ou Chaves pertencentes à AWS.

Antes de excluir uma chave KMS, talvez você queira saber quantos textos cifrados foram criptografados sob essa chave KMS. AWS KMS não armazena essas informações e não armazena nenhum dos textos cifrados. Para obter essas informações, você deve determinar o uso anterior de uma chave do KMS. Para obter ajuda, acesse Determinar a utilização anterior de uma chave do KMS.

AWS KMS nunca exclui suas chaves KMS, a menos que você as agende explicitamente para exclusão e o período de espera obrigatório expire.

No entanto, você pode optar por excluir uma chave do KMS devido a um ou mais dos seguintes motivos:

  • Para concluir o ciclo de vida das chaves do KMS que não são mais necessárias

  • Para evitar a sobrecarga de gerenciamento e os custos associados à manutenção de chaves do KMS não usadas

  • Para reduzir o número de chaves do KMS que contam para a sua cota de recursos de chaves do KMS

nota

Se você fechar o seu Conta da AWS, suas chaves KMS ficarão inacessíveis e você não será mais cobrado por elas.

AWS KMS registra uma entrada no seu AWS CloudTrail registro quando você agenda a exclusão da chave KMS e quando a chave KMS é realmente excluída.

Sobre o período de espera

Como é destrutivo e potencialmente perigoso excluir uma chave KMS, é AWS KMS necessário definir um período de espera de 7 a 30 dias. O período de espera padrão é de 30 dias.

No entanto, o período de espera real pode ser até 24 horas mais longo do que o programado. Para obter a data e a hora reais em que a chave KMS será excluída, use a DescribeKeyoperação. Ou, no console do AWS KMS , na página de detalhes da chave do KMS, na seção General configuration (Configuração geral), consulte a seçãoScheduled deletion date (Data de exclusão programada). Certifique-se de anotar o fuso horário.

Durante o período de espera, o status da chave do KMS e o status da chave é Pending deletion (Exclusão pendente).

Após o término do período de espera, AWS KMS exclui a chave KMS, seus aliases e todos os metadados relacionados. AWS KMS

Programar a exclusão de uma chave do KMS pode não afetar imediatamente as chaves de dados criptografadas pela chave do KMS. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Use o período de espera para garantir que não vai precisar da chave do KMS agora nem no futuro. Você pode configurar um CloudWatch alarme da Amazon para avisá-lo se uma pessoa ou aplicativo tentar usar a chave KMS durante o período de espera. Para recuperar a chave do KMS, basta cancelar a exclusão de chaves antes do término do período de espera. Após o término do período de espera, você não pode cancelar a exclusão da chave e AWS KMS exclui a chave KMS.

Considerações especiais

Antes de programar suas chaves para exclusão, revise as seguintes considerações especiais sobre a exclusão de chaves do KMS para fins especiais.

Excluir chaves do KMS assimétricas

Usuários autorizados podem excluir chaves do KMS simétricas ou assimétricas. O procedimento para programar a exclusão dessas chaves do KMS é o mesmo para os dois tipos de chaves. No entanto, como a chave pública de uma chave KMS assimétrica pode ser baixada e usada fora dela AWS KMS, a operação representa riscos adicionais significativos, especialmente para chaves KMS assimétricas usadas para criptografia (o uso da chave é). ENCRYPT_DECRYPT

  • Ao programar a exclusão de uma chave do KMS, o estado dessa chave é alterado para Pending deletion (Exclusão pendente), e a chave do KMS não pode ser usada em operações de criptografia. No entanto, o agendamento da exclusão não tem efeito nas chaves públicas fora do. AWS KMS Os usuários que têm a chave pública podem continuar a usá-la para criptografar mensagens. Eles não recebem nenhuma notificação sobre a alteração do estado da chave. A menos que a exclusão seja cancelada, o texto cifrado criado com a chave pública não pode ser descriptografado.

  • Alarmes, logs e outras estratégias que detectam a tentativa de uso da chave do KMS com exclusão pendente não podem detectar o uso da chave pública fora do AWS KMS.

  • Quando a chave KMS é excluída, todas as AWS KMS ações envolvendo essa chave KMS falham. No entanto, os usuários que têm a chave pública podem continuar a usá-la para criptografar mensagens. Esses textos cifrados não podem ser descriptografados.

Se você precisar excluir uma chave KMS assimétrica com um uso de chave deENCRYPT_DECRYPT, use suas entradas de CloudTrail registro para determinar se a chave pública foi baixada e compartilhada. Se for o caso, verifique se a chave pública não está sendo usada fora do AWS KMS. Depois, considere desabilitar a chave do KMS em vez de excluí-la.

O risco de excluir uma chave do KMS assimétrica é reduzido para chaves do KMS assimétricas com material de chave importado. Para obter detalhes, consulte Deleting KMS keys with imported key material.

Excluir chaves de várias regiões

Para excluir uma chave primária, você deve programar a exclusão de todas as chaves de réplica e, em seguida, aguardar até que as chaves de réplica sejam excluídas. O período de espera necessário para excluir uma chave primária começa quando a última de suas chaves de réplica é excluída. Se você precisar excluir uma chave primária de uma determinada região sem excluir suas chaves de réplica, transforme a chave primária em uma chave de réplica atualizando a região primária.

É possível excluir uma chave de réplica a qualquer momento. Ele não depende do estado da chave de qualquer outra chave do KMS. Se você excluir uma chave de réplica por engano, poderá recriá-la replicando a mesma chave primária na mesma região. A nova chave de réplica que você criar terá as mesmas propriedades compartilhadas do que a chave de réplica original.

Excluir chaves do KMS com material de chave importado

A exclusão do material de chave de uma chave do KMS com material de chave importado é temporária e reversível. Para restaurar a chave, reimporte o material da chave.

Entretanto, a exclusão de uma chave do KMS é irreversível. Se você agendar a exclusão da chave e o período de espera necessário expirar, excluirá AWS KMS permanente e irreversivelmente a chave KMS, seu material de chave e todos os metadados associados à chave KMS.

No entanto, o risco e a consequência da exclusão de uma chave do KMS com material de chave importado dependem do tipo (“especificação de chave”) da chave do KMS.

  • Chaves de criptografia simétricas — Se você excluir uma chave do KMS de criptografia simétrica, todos os textos cifrados restantes criptografados por essa chave serão irrecuperáveis. Não é possível criar uma nova chave do KMS de criptografia simétrica que possa descriptografar os textos cifrados de uma chave de criptografia simétrica excluída com chave do KMs, mesmo que você tenha o mesmo material de chave. Os metadados exclusivos de cada chave do KMS são vinculados criptograficamente a cada texto cifrado simétrico. Esse recurso de segurança garante que somente a chave do KMS que criptografou o texto cifrado simétrico poderá descriptografá-lo, mas impede que você recrie uma chave do KMS equivalente.

  • Chaves assimétricas e HMAC — Se você tiver o material da chave original, poderá criar uma nova chave KMS com as mesmas propriedades criptográficas de uma chave KMS assimétrica ou HMAC que foi excluída. AWS KMS gera cifrotextos e assinaturas RSA padrão, assinaturas ECC e tags HMAC, que não incluem nenhum recurso de segurança exclusivo. Além disso, é possível usar uma chave do HMAC ou a chave privada de um par de chaves assimétricas fora da AWS.

    Uma nova chave do KMS criada com o mesmo material de chave assimétrica ou HMAC terá um identificador de chave diferente. Você precisará criar uma nova política de chaves, recriar todos os aliases e atualizar as políticas e concessões existentes do IAM para se referir à nova chave.

Excluindo chaves KMS de um repositório de AWS CloudHSM chaves

Quando você agenda a exclusão de uma chave KMS de um armazenamento de AWS CloudHSM chaves, o estado da chave muda para Exclusão pendente. A chave do KMS permanecerá no estado Pending deletion (Exclusão pendente) durante todo o período de espera, mesmo que ela fique indisponível porque você desconectou o armazenamento de chaves personalizado. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera.

Quando o período de espera expirar, AWS KMS exclui a chave KMS de. AWS KMS Em seguida, AWS KMS faça o possível para excluir o material chave do AWS CloudHSM cluster associado. Se o AWS KMS não puder excluir o material de chaves, como, por exemplo, quando o armazenamento de chaves é desconectado do AWS KMS, pode ser necessário excluir manualmente o material de chaves órfãs do cluster.

AWS KMS não exclui o material chave dos backups do cluster. Mesmo que você exclua a chave KMS AWS KMS e exclua o material de chaves do seu AWS CloudHSM cluster, os clusters criados a partir de backups podem conter o material de chave excluído. Para excluir permanentemente o material da chave, use a DescribeKeyoperação para identificar a data de criação da chave KMS. Em seguida, exclua todos os backups do cluster que podem conter o material de chaves.

Quando você agenda a exclusão de uma chave KMS de um armazenamento de chaves, a AWS CloudHSM chave KMS se torna inutilizável imediatamente (sujeita a uma eventual consistência). Contudo, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta Serviços da AWS muitos dos quais usam chaves de dados para proteger seus recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Excluir chaves do KMS de um repositório de chaves externo

Excluir uma chave do KMS de um armazenamento de chaves externas não afetará a chave externa que serviu como material de chave.

Se você agendar a exclusão de uma chave do KMS de um armazenamento de chaves externas, o estado da chave será alterado para Pending deletion (Exclusão pendente). A chave do KMS permanecerá no estado Pending deletion (Exclusão pendente) durante todo o período de espera, mesmo que ela fique indisponível porque você desconectou o armazenamento de chaves externas. Isso permite que você cancele a exclusão da chave do KMS a qualquer momento durante o período de espera. Quando o período de espera expirar, AWS KMS exclui a chave KMS de. AWS KMS

Quando você agenda a exclusão de uma chave do KMS de um armazenamento de chaves externas, a chave do KMS torna-se inutilizável imediatamente (sujeita a consistência posterior). Contudo, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.