排程從 AWS CloudHSM 金鑰存放區刪除 KMS 金鑰

當您確定不再需要將 AWS KMS key 用於任何密碼編譯操作時，您可以排程刪除 KMS 金鑰。就像您排定從 AWS KMS 刪除任何 KMS 金鑰一樣，使用同樣的處理程序。此外，請讓 AWS CloudHSM 金鑰存放區保持連接，以便 AWS KMS 在等待期間到期時，能夠從相關聯的 AWS CloudHSM 叢集刪除對應的金鑰材料。

您可以監控 AWS CloudTrail 日誌中 KMS 金鑰的排程、取消和刪除。

警告

刪除 KMS 金鑰是一種破壞性和具有潛在危險的操作，您將無法復原以 KMS 金鑰加密的所有資料。在排程刪除 KMS 金鑰之前，請檢查 KMS 金鑰的過去使用情況，並建立 Amazon CloudWatch 警示，以便在有人嘗試使用 KMS 金鑰擱置刪除時向您發出警示。儘可能停用 KMS 金鑰，而不要刪除。

排程從 AWS CloudHSM 金鑰存放區刪除 KMS 金鑰時，其金鑰狀態會變更為 Pending deletion (等待刪除)。KMS 金鑰會在整個等待期保持在 Pending deletion (等待刪除) 狀態，即使 KMS 金鑰變為無法使用，因為您已中斷連接自訂金鑰存放區。這可讓您在等待期間隨時取消刪除 KMS 金鑰。

當等待期過期時，AWS KMS 會從 AWS KMS 刪除 KMS 金鑰。然後，AWS KMS 會盡可能從相關聯的 AWS CloudHSM 叢集刪除金鑰資料。如果 AWS KMS 無法刪除金鑰資料 (例如，當金鑰存放區與 AWS KMS 中斷連接時)，您可能需要手動從叢集刪除遺棄的金鑰資料。

AWS KMS 不會從叢集備份中刪除金鑰資料。即使您從 AWS KMS 刪除 KMS 金鑰並從 AWS CloudHSM 叢集刪除其金鑰材料，從備份建立的叢集仍可能包含已刪除的金鑰材料。若要永久刪除金鑰材料，請檢視 KMS 金鑰的建立日期。然後，刪除所有叢集備份，其中可能包含金鑰資料。

當您排程從 AWS CloudHSM 金鑰存放區刪除 KMS 金鑰時，該 KMS 金鑰會立即變為無法使用 (視最終一致性而定)。不過，使用受 KMS 金鑰保護之資料金鑰所加密的資源不會受影響，除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務，其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊，請參閱 無法使用的 KMS 金鑰如何影響資料金鑰。