As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Excluir AWS KMS keys
Excluir uma AWS KMS key é um processo destrutivo e potencialmente perigoso. Essa ação exclui o material de chave e todos os metadados associados à chave do KMS e é irreversível. Depois que uma chave do KMS é excluída, não é mais possível descriptografar os dados que foram criptografados com ela, o que significa que os dados são irrecuperáveis. (As únicas exceções são chaves de réplica multirregionais e chaves assimétricas e as chaves do KMS de HMAC com material de chave importado.) Esse risco é significativo para chaves do KMS assimétricas usadas para criptografia, nas quais, sem aviso ou erro, os usuários podem continuar gerando textos cifrados com a chave pública que não podem ser descriptografados após que a chave privada for excluída do AWS KMS.
Só exclua uma chave do KMS quando você tiver certeza de que não vai mais precisar dela. Caso não tenha certeza, desabilite a chave do KMS em vez de excluí-la. Você poderá reabilitar a chave do KMS desabilitada e cancelar a exclusão agendada de uma chave do KMS, mas não poderá recuperar a chave do KMS excluída.
Apenas é possível agendar a exclusão de uma chave gerenciada pelo cliente. Não é possível excluir Chaves gerenciadas pela AWS ou Chaves pertencentes à AWS.
Antes de excluir uma chave do KMS, é recomendável saber como muitos textos cifrados foram criptografados com ela. O AWS KMS não armazena essas informações nem qualquer um dos textos cifrados. Para obter essas informações, você deve determinar o uso anterior de uma chave do KMS. Para obter ajuda, acesse Determinar a utilização anterior de uma chave do KMS.
O AWS KMS nunca exclui suas chaves do KMS, a menos que você as programe explicitamente para exclusão e o período de espera obrigatório expire.
No entanto, você pode optar por excluir uma chave do KMS devido a um ou mais dos seguintes motivos:
-
Para concluir o ciclo de vida das chaves do KMS que não são mais necessárias
-
Para evitar a sobrecarga de gerenciamento e os custos
associados à manutenção de chaves do KMS não usadas -
Para reduzir o número de chaves do KMS que contam para a sua cota de recursos de chaves do KMS
nota
Se você fechar a sua Conta da AWS, as suas chaves do KMS se tornarão inacessíveis, e você não será mais cobrado por elas.
O AWS KMS registra uma entrada no log do AWS CloudTrail quando você programa a exclusão da chave do KMS e quando a chave do KMS é realmente excluída.
Para obter informações sobre como excluir chaves primárias e réplicas de várias regiões, consulte Excluir chaves de várias regiões.
Tópicos
- Sobre o período de espera
- Excluir chaves do KMS assimétricas
- Excluir chaves de várias Regiões
- Excluir chaves do KMS com material de chave importado
- Controlar o acesso à exclusão de chaves
- Programar e cancelar a exclusão de chaves
- Criar um alarme que detecte o uso de uma chave do KMS com exclusão pendente
- Determinar a utilização anterior de uma chave do KMS
Sobre o período de espera
Como é destrutivo e potencialmente perigoso excluir uma chave do KMS, o AWS KMS exige que você defina um período de espera de 7 a 30 dias. O período de espera padrão é de 30 dias.
No entanto, o período de espera real pode ser até 24 horas mais longo do que o programado. Para obter a data e a hora reais em que a chave KMS será excluída, use a DescribeKeyoperação. Ou, no console do AWS KMS, na página de detalhes da chave do KMS, na seção General configuration (Configuração geral), consulte a seçãoScheduled deletion date (Data de exclusão programada). Certifique-se de anotar o fuso horário.
Durante o período de espera, o status da chave do KMS e o status da chave é Pending deletion (Exclusão pendente).
-
Uma chave do KMS com exclusão pendente não pode ser usada em nenhuma operação criptográfica.
-
O AWS KMS não alterna o material de chave de chaves do KMS com exclusão pendente.
Após o término do período de espera, o AWS KMS excluirá a chave do KMS, seus aliases e todos os metadados do AWS KMS relacionados.
Programar a exclusão de uma chave do KMS pode não afetar imediatamente as chaves de dados criptografadas pela chave do KMS. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.
Use o período de espera para garantir que não vai precisar da chave do KMS agora nem no futuro. Você pode configurar um CloudWatch alarme da Amazon para avisá-lo se uma pessoa ou aplicativo tentar usar a chave KMS durante o período de espera. Para recuperar a chave do KMS, basta cancelar a exclusão de chaves antes do término do período de espera. Após o término do período de espera, não será possível cancelar a exclusão da chave, e o AWS KMS excluirá a chave do KMS.
Excluir chaves do KMS assimétricas
Usuários autorizados podem excluir chaves do KMS simétricas ou assimétricas. O procedimento para programar a exclusão dessas chaves do KMS é o mesmo para os dois tipos de chaves. Entretanto, como a chave pública de uma chave KMS assimétrica pode ser baixada e usada fora do AWS KMS, a operação apresenta riscos adicionais significativos, especialmente para chaves do KMS assimétricas usadas para criptografia (o uso da chave é ENCRYPT_DECRYPT).
-
Ao programar a exclusão de uma chave do KMS, o estado dessa chave é alterado para Pending deletion (Exclusão pendente), e a chave do KMS não pode ser usada em operações de criptografia. No entanto, a programação de exclusão não tem efeito em chaves públicas fora do AWS KMS. Os usuários que têm a chave pública podem continuar a usá-la para criptografar mensagens. Eles não recebem nenhuma notificação sobre a alteração do estado da chave. A menos que a exclusão seja cancelada, o texto cifrado criado com a chave pública não pode ser descriptografado.
-
Alarmes, logs e outras estratégias que detectam a tentativa de uso da chave do KMS com exclusão pendente não podem detectar o uso da chave pública fora do AWS KMS.
-
Quando a chave do KMS é excluída, todas as ações do AWS KMS que envolvem essa chave falham. No entanto, os usuários que têm a chave pública podem continuar a usá-la para criptografar mensagens. Esses textos cifrados não podem ser descriptografados.
Se você precisar excluir uma chave KMS assimétrica com um uso de chave deENCRYPT_DECRYPT, use suas entradas de CloudTrail registro para determinar se a chave pública foi baixada e compartilhada. Se for o caso, verifique se a chave pública não está sendo usada fora do AWS KMS. Depois, considere desabilitar a chave do KMS em vez de excluí-la.
O risco de excluir uma chave do KMS assimétrica é reduzido para chaves do KMS assimétricas com material de chave importado. Para obter detalhes, consulte Excluir uma chave do KMS com material de chave importado.
Excluir chaves de várias Regiões
Usuários autorizados podem programar a exclusão de chaves primárias e réplicas de várias regiões. No entanto, o AWS KMS não excluirá uma chave primária de várias regiões com chaves de réplica. Além disso, desde que sua chave primária exista, você pode recriar uma chave de réplica de várias regiões excluída. Para obter detalhes, consulte Excluir chaves de várias regiões.
Excluir chaves do KMS com material de chave importado
Os usuários autorizados podem programar a exclusão de chaves do KMS com material de chave importado. Essa ação exclui permanentemente a chave do KMS, seu material de chave e todos os metadados associados à chave do KMS.
Não é possível criar uma nova chave do KMS de criptografia simétrica que possa descriptografar os textos cifrados de uma chave de criptografia simétrica excluída com material de chave importado, mesmo que você tenha uma cópia desse material. No entanto, se você tiver o material de chave, poderá efetivamente recriar uma chave do KMS assimétrica ou uma chave do HMAC do KMS com material de chave importado. Para obter detalhes, consulte Excluir uma chave do KMS com material de chave importado.
