计划密钥删除
以下过程介绍如何通过 AWS Management Console 和 AWS KMS API 在 AWS KMS 中计划密钥删除和取消 AWS KMS keys(KMS 密钥)的密钥删除。
警告
删除 KMS 密钥具有破坏性和潜在危险性。只有当您确定不再需要使用 KMS 密钥并且将来也不再需要了,才能继续删除操作。如果您不确定,则应禁用 KMS 密钥,而不是将其删除。
在删除 KMS 密钥之前,您必须具有执行这一操作的权限。有关向密钥管理员授予这些权限的信息,请参阅 控制密钥删除所需的权限。您也可以使用 kms:ScheduleKeyDeletionPendingWindowInDays 条件键进一步限制等待时间,例如强制规定最短等待时间。
在您计划删除 KMS 密钥且 KMS 密钥被实际删除时,AWS KMS 会将一个条目记录在 AWS CloudTrail 日志中。
在 AWS Management Console 中,您可以一次安排和取消删除多个 KMS 密钥。
计划密钥删除
-
登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选中想要删除的 KMS 密钥旁边的复选框。
-
依次选择 Key actions (密钥操作)、Schedule key deletion (计划密钥删除)。
-
阅读并考虑警告,以及有关在等待期限内取消删除的信息。如果决定取消删除,请在页面底部选择 Cancel(取消)。
-
对于 Waiting period (in days) (等待期限(天)),键入一个介于 7 和 30 之间的天数。
-
查看正在删除的 KMS 密钥。
-
选中 Confirm you want to schedule this key for deletion in
<number of days>days(确认您要计划在 n 天后删除此密钥)旁的复选框。 -
选择计划删除。
KMS 密钥状态将更改为等待删除。
使用 aws kms
schedule-key-deletion 命令安排删除客户托管的密钥,如以下示例所示。
您无法计划删除 AWS 托管式密钥或 AWS 拥有的密钥。
$ aws kms schedule-key-deletion --key-id1234abcd-12ab-34cd-56ef-1234567890ab--pending-window-in-days 10
使用成功后,AWS CLI 将返回与以下示例中显示的输出类似的输出:
{ "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "DeletionDate": 1598304792.0, "KeyState": "PendingDeletion", "PendingWindowInDays": 10 }
