Excluir chaves de várias regiões - AWS Key Management Service

Excluir chaves de várias regiões

Quando não estiver mais usando uma chave primária de várias regiões ou uma chave de réplica, você pode programar sua exclusão.

Embora a exclusão de chaves do KMS sempre deva ser feita com cautela, excluir uma réplica de uma chave de várias regiões é uma operação menos arriscada, desde que a chave primária ainda exista no AWS KMS. Se você excluir uma chave de réplica da sua região, mas descobrir texto cifrado que foi criptografado com a chave excluída, poderá descriptografar esse texto cifrado com qualquer chave de várias regiões relacionada. Também é possível recriar a chave de réplica, replicando a chave primária novamente na região da chave de réplica.

No entanto, excluir uma chave primária e todas as suas chaves de réplica é uma operação muito perigosa, equivalente a excluir uma chave de região única.

Atenção

Excluir uma chave do KMS é um processo destrutivo e potencialmente perigoso. Prossiga somente quando você tiver certeza de que não vai precisar mais usar a chave do KMS futuramente. Caso não tenha certeza, desabilite a chave do KMS em vez de excluí-la.

Para excluir uma chave primária, exclua primeiro todas as chaves de réplica. Se você precisar excluir uma chave primária de uma determinada região sem excluir suas chaves de réplica, transforme a chave primária em uma chave de réplica atualizando a região primária.

Antes de programar a exclusão de qualquer chave do KMS, revise as advertências no tópico Excluir AWS KMS keys e os tópicos que explicam como determinar o uso passado de uma chave do KMS e como definir um alarme do CloudWatch que alerta sobre o uso da chave do KMS durante o período de espera. Antes de excluir a chave primária de uma chave assimétrica de várias regiões, reveja o tópico Excluir chaves assimétricas.

Permissões para excluir chaves de várias regiões

Para programar a exclusão de uma chave de várias regiões, você precisa apenas da seguinte permissão.

  • kms:ScheduleKeyDeletion — para programar a exclusão da chave de várias regiões e definir seu período de espera.

Também é altamente recomendável que você tenha as seguintes permissões relacionadas.

  • kms:CancelKeyDeletion — para cancelar a exclusão programada da chave de várias regiões.

  • kms:DescribeKey — para visualizar o estado da chave de várias regiões e a lista de chaves de várias regiões relacionadas.

  • kms:DisableKey — para dar a opção de desabilitar uma chave de várias regiões em vez de excluí-la.

  • kms:EnableKey — para restaurar a funcionalidade de uma chave de várias regiões depois de cancelar sua exclusão.

Você também pode incluir permissão para replicar a chave primária e alterar a chave primária.

É possível incluir essas permissões em uma política do IAM, mas a prática recomendada é colocá-las em uma política de chaves na qual elas se apliquem somente à chave do KMS que você precisa gerenciar.

Como excluir uma chave de réplica

Use o console do AWS KMS ou a API do AWS KMS para excluir um chave de réplica. É possível excluir uma chave de réplica a qualquer momento. Ele não depende do estado da chave de qualquer outra chave do KMS.

Se você excluir uma chave de réplica por engano, poderá recriá-la replicando a mesma chave primária na mesma região. A nova chave de réplica que você criar terá as mesmas propriedades compartilhadas do que a chave de réplica original.

O procedimento para excluir uma chave de réplica de várias regiões é o mesmo que o para excluir uma chave de região única.


                Excluir uma chave de réplica de várias regiões
  1. Programe a exclusão da chave de réplica. Selecione um período de espera de 7 a 30 dias. O período de espera padrão é de 30 dias.

  2. Durante o período de espera, o estado de chave da chave de réplica muda para Pending deletion (PendingDeletion), e você não pode usá-la em operações de criptografia.

  3. Você pode cancelar a exclusão programada da chave de réplica a qualquer momento durante o período de espera. O estado da chave é alterado para Disabled, mas você podereabilitar a chave do KMS.

  4. Quando o período de espera expirar, o AWS KMS exclui a chave de réplica.

Você pode exibir um registro das suas ações no log do AWS CloudTrail. O AWS KMS registra as operações que programam a exclusão da chave do KMS e a ação que exclui a chave do KMS.

Excluindo uma chave de réplica (console)

Para programar a exclusão de uma chave de réplica de várias regiões, use o mesmo procedimento que você usa para programar a exclusão de uma chave de região única.

Como as chaves de réplica relacionadas estão em diferentes Regiões da AWS, você não pode programar a exclusão de mais de uma chave de réplica por vez. Para excluir todas as chaves de réplica relacionadas, use um padrão como o seguinte.

Para programar a exclusão de todas as chaves de réplica relacionadas

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  3. Use o seletor de região no canto superior direito para escolher a região da chave primária de várias regiões.

  4. Escolha seu alias ou ID de chave primária.

  5. Escolha a guia Regionality (Regionalidade).

  6. Na seção Related multi-Region keys (Chaves de várias regiões relacionadas), escolha o ARN de chave de uma chave de réplica.

    Essa ação abre a página de detalhes da chave da réplica em uma nova guia do navegador. O console está definido para a região da chave de réplica.

  7. No menu Key actions (Ações de chave), escolha Schedule key deletion (Programar exclusão de chaves).

    Essa ação inicia o processo de programação de exclusão da chave. Conclua o processo de programação de exclusão da chave. Para obter mais detalhes, consulte Programar e cancelar a exclusão de chaves (console).

  8. Retorne para a guia do navegador que exibe a guia Regionality (Regionalidade) da chave primária. (Talvez seja necessário atualizar a página para ver o status atualizado das chaves de réplica.) Escolha o ARN de chave de outra chave de réplica e repita o processo de programação da exclusão da chave de réplica.

Excluir uma chave de réplica (API do AWS KMS)

Para programar a exclusão de uma chave de réplica de várias regiões, use a operação ScheduleKeyDeletion. Para especificar a chave do KMS, use seu ID de chave ou ARN de chave. Ao trabalhar com chaves de várias regiões, você pode reduzir a incidência de erros usando o ARN da chave com seu valor de região explícito.

Por exemplo, esse comando exclui uma chave de réplica da região us-west-2 (Oeste dos EUA (Oregon)). Como o comando não especifica um período de espera, este é definido como o padrão de 30 dias.

$ aws kms schedule-key-deletion \ --region us-west-2 \ --key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Quando o comando é bem-sucedido, ele retorna o ARN de chave (KeyId), o período de espera (PendingWindowInDays), a data de exclusão (DeletionDate) e o estado de chave atual (KeyState), que espera-se ser PendingDeletion.

Ao excluir uma chave de réplica de várias regiões, verifique se os valores de ID de chave e região no ARN de chave são os esperados.

{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "DeletionDate": 1599523200.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 30 }

Para excluir todas as réplicas de uma chave primária de várias regiões programaticamente, crie uma lista das regiões que contêm chaves de réplica. Em seguida, para cada região na lista, chame a operação ScheduleKeyDeletion, como mostrado acima.

Ao contrário de uma chave de região única que é permanentemente excluída, você pode restaurar uma chave de réplica ao replicar a chave primária na região em que a chave de réplica excluída estava localizada.

Para conferir o status da chave de réplica e exibir a chave primária e as chaves de réplica de uma chave de várias regiões, use a operação DescribeKey.

Como excluir uma chave primária

Você pode programar a exclusão de uma chave primária de várias regiões a qualquer momento. No entanto, o AWS KMS não excluirá uma chave primária de várias regiões com chaves de réplica, mesmo que estejam programadas para exclusão.

Para excluir uma chave primária, você deve programar a exclusão de todas as chaves de réplica e, em seguida, aguardar até que as chaves de réplica sejam excluídas. O período de espera necessário para excluir uma chave primária começa quando a última de suas chaves de réplica é excluída. Se você precisar excluir uma chave primária de uma determinada região sem excluir suas chaves de réplica, transforme a chave primária em uma chave de réplica atualizando a região primária.

Se uma chave primária não tiver chaves de réplica, o processo será idêntico à exclusão de uma chave de réplica ou à exclusão de qualquer chave do KMS regional.

Enquanto uma chave primária estiver programada para exclusão, não será possível usá-la em operações de criptografia e não será possível replicá-la. No entanto, a menos que também estejam programadas para exclusão, suas chaves de réplica não serão afetadas.

Você pode usar o console do AWS KMS ou a API do AWS KMS para programar a exclusão de chaves primárias e de réplica. Você pode programar a exclusão da chave primária antes, depois ou ao mesmo tempo que programar a exclusão das chaves de réplica. O processo pode ser parecido com o seguinte.

  1. Programe a exclusão da chave primária. Selecione um período de espera de 7 a 30 dias. O período de espera padrão é de 30 dias. No entanto, o período de espera para a chave primária não começará até que todas as chaves de réplica sejam excluídas.

    Se ainda existirem chaves de réplica, o estado de chave da chave primária mudará para Pending replica deletion (PendingReplicaDeletion). Caso contrário, ele será alterado para Pending deletion(PendingDeletion). Em ambos os casos, você não pode usar a chave primária em operações de criptografia e não pode replicá-la.

    Programar a exclusão de uma chave primária não afeta as chaves de réplica. Seu estado de chave permanece habilitado, e você pode usá-las em operações de criptografia. Se as chaves de réplica não forem excluídas, o Pending replica deletion estado da chave primária poderá persistir indefinidamente.

    KMS key: Key state: Primary (us-east-1) Pending replica deletion (waiting period 30 days -- not started) Replica (us-west-2) Enabled Replica (eu-west-1) Enabled Replica (ap-southeast-2) Enabled
    
                        Programar a exclusão de uma chave primária de várias regiões
  2. Programar a exclusão de cada chave de réplica. Selecione um período de espera de 7 a 30 dias. O período de espera padrão é de 30 dias. Você pode excluir várias chaves de réplica ao mesmo tempo. Seus períodos de espera são executados simultaneamente. Durante o período de espera, o estado da chave das chaves de réplica muda para Pending deletion (PendingDeletion), e você não pode usar essas chaves do KMS em operações de criptografia.

    Por exemplo, se você tiver três chaves de réplica, poderá programar a exclusão de todas as três ao mesmo tempo. Elas podem ter períodos de espera iguais ou diferentes. Observe que o período de espera na chave primária ainda não começou. Seu estado chave é PendingReplicaDeletion porque tem chaves de réplica existentes.

    KMS key: Key state: Primary key (us-east-1) Pending replica deletion (waiting period 30 days -- not started) Replica (us-west-2) Pending deletion (7 days) Replica (eu-west-1) Pending deletion (7 days) Replica (ap-southeast-2) Pending deletion (30 days)
  3. Você pode cancelar a exclusão programada da chave primária ou de qualquer chave de réplica até que ela seja excluída. O estado da chave é alterado para Disabled, mas você podereabilitar a chave do KMS.

  4. Quando o período de espera da última chave de réplica expirar, o AWS KMS excluirá a última chave de réplica. O estado da chave primária muda de Pending replica deletion (PendingReplicaDeletion) para Pending deletion (PendingDeletion), e o período de espera de 7 a 30 dias para a chave primária começa.

    KMS key: Key state: Primary key (us-east-1) Pending deletion (waiting period 30 days)
    
                        Excluir todas as chaves de réplica de uma chave de várias regiões
  5. Quando o período de espera expirar, o AWS KMS excluirá a chave primária.

O tempo mínimo para excluir uma chave primária com réplicas é de 14 dias.

Se você programar a exclusão da chave primária e de todas as chaves de réplica com um período de espera de 7 dias, as chaves de réplica serão excluídas após 7 dias. A chave primária é excluída no dia 14.

  • Dia 1: Programe a exclusão das chaves primárias e de réplica com o período de espera mínimo de 7 dias. Os períodos de espera de exclusão de 7 dias para as chaves de réplica são iniciados. O período de espera de exclusão para a chave primária ainda não é iniciado.

  • Dia 7: Os períodos de espera de exclusão para as chaves de réplica terminam. O AWS KMS exclui todas as chaves de réplica. Quando a última chave de réplica é excluída, o período de espera de exclusão de 7 dias para a chave primária é iniciado.

  • Dia 14: O período de espera de exclusão para a chave primária termina. O AWS KMS exclui a chave primária.

Você pode exibir um registro das suas ações no log do AWS CloudTrail. O AWS KMS registra as operações que programam a exclusão de cada chave do KMS e a ação que exclui a chave do KMS.

Excluir uma chave primária (console)

Para excluir uma chave primária de várias regiões, use o procedimento a seguir.

Para programar a exclusão de chaves

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. Marque a caixa de seleção ao lado da chave que você deseja excluir. Você também pode selecionar uma ou mais chaves do KMS, incluindo as réplicas dessa chave primária.

  5. Escolha Key actions (Ações de chave), Schedule key deletion (Programar exclusão da chave).

  6. Leia e considere o aviso e as informações sobre o cancelamento e a exclusão durante o período de espera. Se você decidir cancelar a exclusão, escolha Cancel (Cancelar).

  7. Para Waiting period (in days) (Período de espera (em dias)), digite um número de dias entre 7 e 30. Se você selecionou várias chaves do KMS, o período de espera escolhido será aplicado a todas as chaves do KMS selecionadas. O período de espera para chaves de réplica é executado simultaneamente, mas o período de espera para a chave primária não começará até o AWS KMS excluir a última das chaves de réplica.

  8. Marque a caixa de seleção ao lado de Confirm that you want to delete this key in <number of days> days (Confirme que você deseja excluir esta chave em <número de dias> dias).

  9. Escolha Schedule deletion.

Para conferir expio status de exclusão das suas chaves do KMS, na página de detalhes da chave primária, consulte a seção General configuration (Configuração geral). O estado da chave será exibido no campo Status. Quando o estado da chave primária mudar para Pending deletion, a Scheduled deletion date (Data de exclusão programada) será exibida.

Você também pode conferir o estado da chave (Status) de todas as chaves primárias e de réplica na guia Regionality (Regionalidade) da página de detalhes para qualquer chave de várias regiões. Para obter mais detalhes, consulte Visualizar chaves de várias regiões.

Excluir uma chave primária (API do AWS KMS)

Para excluir uma chave de réplica de várias regiões, use a operação ScheduleKeyDeletion. Para especificar a chave do KMS, use seu ID de chave ou ARN de chave. Ao trabalhar com chaves de várias regiões, você pode reduzir a incidência de erros usando o ARN da chave com seu valor de região explícito.

Por exemplo, esse comando exclui uma chave primária da região us-east-1 (Leste dos EUA (Norte da Virgínia)). Como o comando não especifica um período de espera, este é definido como o padrão de 30 dias.

$ aws kms schedule-key-deletion \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab

Quando o comando é bem-sucedido, ele retorna o ARN da chave, o estado de chave resultante e o período de espera (PendingWindowInDays).

Se a chave primária não tiver réplicas, o estado da chave primária será PendingDeletion, e a saída inclui o campo DeletionDate. Se as chaves de réplica permanecerem, o estado da chave primária será PendingReplicaDeletion e DeletionDate será omitido porque é incerto. Mesmo que as chaves de réplica também estejam programadas para exclusão, você poderá cancelar a exclusão programada.

Ao excluir uma chave primária de várias regiões, verifique se os valores de ID de chave e região no ARN de chave são os esperados.

{ "KeyId": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "KeyState": "PendingReplicaDeletion", "PendingWindowInDays": 30 }

Para verificar o status de exclusão das suas chaves do KMS, use a operação DescribeKey na chave primária ou em quaisquer chaves de réplica restantes. O relógio do período de espera para a chave primária não é iniciado até que a última réplica seja excluída e o estado da chave mude para PendingDeletion.

Para calcular a data de exclusão esperada da chave primária, percorra os ARNs da chave de réplica na resposta, execute DescribeKey em cada uma, obtenha o valor mais recente de DeletionDate e, em seguida, adicione o valor de PendingDeletionWindowInDays para a chave primária. Os períodos de espera para as chaves de réplica correm simultaneamente.

No exemplo a seguir, a chave do KMS é uma chave primária de várias regiões com chaves de réplica existentes. Como o estado da chave é PendingReplicaDeletion, a resposta inclui o período de espera (PendingWindowInDays), mas não a DeletionDate. A data de exclusão real da chave primária depende de quando as chaves de réplica são excluídas.

$ aws kms describe-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "CreationDate": 1597902361.481, "Enabled": false, "Description": "", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "PendingReplicaDeletion", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [ { "Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-west-2" }, { "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "eu-west-1" }, { "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "ap-southeast-2" } ] }, "PendingDeletionWindowInDays": 30 } }

Quando todas as réplicas são excluídas, a saída DescribeKey mostra a chave primária restante com um estado de chave PendingDeletion. Enquanto o estado da chave é PendingDeletion, o campo DeletionDate aparece no lugar do campo PendingWindowInDays.

$ aws kms describe-key \ --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab { "KeyMetadata": { "AWSAccountId": "111122223333", "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab", "Arn": "", "CreationDate": 1597902361.481, "Enabled": false, "Description": "", "KeySpec": "SYMMETRIC_DEFAULT", "KeyState": "PendingDeletion", "KeyUsage": "ENCRYPT_DECRYPT", "DeletionDate": 1597968000.0, "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ], "MultiRegion": true, "MultiRegionConfiguration": { "MultiRegionKeyType": "PRIMARY", "PrimaryKey": { "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab", "Region": "us-east-1" }, "ReplicaKeys": [] } } }