排程從外部金鑰存放區刪除 KMS 金鑰

當您確定不再需要將 AWS KMS key 用於任何密碼編譯操作時，您可以排程刪除 KMS 金鑰。就像您排定從 AWS KMS 刪除任何 KMS 金鑰一樣，使用同樣的處理程序。從外部金鑰存放區刪除 KMS 金鑰不會影響作為其金鑰材料的外部金鑰。

您可以在其強制等待期間，取消 KMS 金鑰的排程刪除。不過，已刪除的 KMS 金鑰無法復原。即使您使用相同的外部金鑰，也無法在外部金鑰存放區中重新建立對稱加密 KMS 金鑰。由於外部金鑰存放區中的每個對稱 KMS 金鑰都有唯一的 AWS KMS 金鑰材料和中繼資料，因此只有已加密對稱密文的 AWS KMS 金鑰才能將其解密。

警告

刪除 KMS 金鑰是一種破壞性和具有潛在危險的操作，您將無法復原以 KMS 金鑰加密的所有資料。在排程刪除 KMS 金鑰之前，請檢查 KMS 金鑰的過去使用情況，並建立 Amazon CloudWatch 警示，以便在有人嘗試使用 KMS 金鑰擱置刪除時向您發出警示。儘可能停用 KMS 金鑰，而不要刪除。

排程從外部金鑰存放區刪除 KMS 金鑰時，其金鑰狀態會變更為 Pending deletion (等待刪除)。KMS 金鑰會在整個等待期保持在 Pending deletion (等待刪除) 狀態，即使 KMS 金鑰變為無法使用，因為您已中斷連接外部金鑰存放區。這可讓您在等待期間隨時取消刪除 KMS 金鑰。當等待期過期時，AWS KMS 會從 AWS KMS 刪除 KMS 金鑰。

當您排程從外部金鑰存放區刪除 KMS 金鑰時，KMS 金鑰會立即變為無法使用 (視最終一致性而定)。不過，使用受 KMS 金鑰保護之資料金鑰所加密的資源不會受影響，除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務，其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊，請參閱 無法使用的KMS密鑰如何影響數據鍵。

您可以監控 AWS CloudTrail 日誌中 KMS 金鑰的排程、取消和刪除。