Excluir o material de chave importada - AWS Key Management Service

Excluir o material de chave importada

Você pode excluir o material de chave importado de uma chave do KMS a qualquer momento. Além disso, quando o material de chave importado com data de validade expira, o AWS KMS exclui o material da chave. Nos dois casos, o AWS KMS exclui o material da chave imediatamente, o estado de chave da chave do KMS muda para Importação pendente e a chave do KMS não pode ser usada em nenhuma operação criptográfica.

No entanto, essas ações não excluem a chave KMS. Para usar a chave do KMS novamente, você deverá reimportar o mesmo material de chaves para a chave do KMS. Entretanto, a exclusão de uma chave do KMS é irreversível. Quando você programa a exclusão de chaves e o período de espera necessário expira, o AWS KMS exclui o material de chave e todos os metadados associados à chave do KMS.

Você pode usar o AWS Management Console ou a API do AWS KMS para excluir o material de chaves. Você pode usar a API diretamente, fazendo solicitações HTTP ou usando um AWS SDK, a AWS Command Line Interface (AWS CLI) ou o AWS Tools for PowerShell.

O AWS KMS registra uma entrada no log do AWS CloudTrail quando você exclui o material de chave importada e quando o AWS KMS exclui o material de chave expirado.

Como a exclusão do material de chave afeta os serviços da AWS integrados ao AWS KMS

Quando você exclui o material de chaves, a chave do KMS se torna inutilizável imediatamente. No entanto, as chaves de dados usadas pelos serviços da AWS não são afetadas de imediato. Isso significa que a exclusão do material de chaves pode não afetar imediatamente todos os dados e recursos da AWS protegidos pela chave do KMS, embora eles sejam afetados eventualmente.

Vários serviços da AWS se integram ao AWS KMS para proteger seus dados. Alguns desses serviços, como o Amazon EBS e o Amazon Redshift, usam uma AWS KMS key (chave do KMS) no AWS KMS para gerar uma chave de dados e usam essa chave de dados para criptografar seus dados. Essas chaves de dados de texto simples persistem na memória, desde que os dados que elas protegem sejam usados ativamente.

Por exemplo, considere este cenário:

  1. Você cria um volume criptografado do EBS, e especifica uma chave do KMS com material de chave importado. O Amazon EBS solicita que o AWS KMS use a chave do KMS para gerar uma chave de dados criptografada para o volume. O Amazon EBS armazena a chave de dados criptografada com o volume.

  2. Quando você anexa o volume do EBS a uma instância do EC2 , o Amazon EC2 solicita que o AWS KMS use a chave do KMS para descriptografar a chave de dados criptografada do volume do EBS. O Amazon EC2 armazena a chave de dados de texto simples na memória do hipervisor para criptografar a E/S do disco para o volume do EBS. A chave de dados persiste na memória, enquanto o volume do EBS está conectado à instância do EC2.

  3. Você exclui o material de chave importado da chave do KMS, tornando-o inutilizável. Isso não tem efeito imediato na instância de EC2 ou no volume do EBS. O motivo é que o Amazon EC2 está usando a chave de dados em texto simples, e não a chave do KMS, para criptografar toda a E/S de disco enquanto o volume está anexado à instância.

  4. No entanto, quando o volume criptografado do EBS é desanexado da instância do EC2, o Amazon EBS remove a chave de texto simples da memória. Da próxima vez que o volume do EBS for anexado à instância do EC2, a anexação falhará porque o Amazon EBS não consegue usar a chave do KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, você deverá reimportar o mesmo material de chaves para a chave do KMS.

Excluir material de chave (console)

Você pode usar o AWS Management Console para excluir o material de chaves.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Execute um destes procedimentos:

    • Marque a caixa de seleção de uma chave do KMS com material de chave importado. Escolha Key actions (Ações de chave), Delete key material (Excluir material de chaves).

    • Escolha o alias ou ID de uma chave do KMS com material de chave importado. Escolha a guia Key material (Material de chaves) e, em seguida, Delete key material (Excluir material de chave).

  5. Confirme que você deseja excluir o material de chaves e selecione Delete key material (Excluir material de chaves). O status da chave do KMS, que corresponde ao seu estado de chave, muda para Pending import (Importação pendente).

Excluir o material de chave (API do AWS KMS)

Para usar a API do AWS KMS para excluir o material de chaves, envie uma solicitação DeleteImportedKeyMaterial. O exemplo a seguir mostra como fazer isso com a AWS CLI.

Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS cujo material de chave você quer excluir. É possível usar o ID de chave ou o ARN da chave do KMS, mas não é possível usar um alias para essa operação.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab