刪除 AWS KMS keys

刪除 AWS KMS key 具有破壞性，且具有潛在危險。這樣會刪除金鑰資料，還有與 KMS 金鑰相關聯的所有中繼資料，而且無法復原。刪除 KMS 金鑰之後，您就再也無法解密以該 KMS 金鑰加密的資料，這表示該資料已無法復原。(唯一的例外是多區域複本金鑰，以及具有匯入金鑰資料的非對稱金鑰與 HMAC KMS 金鑰。) 此風險對於用於加密的非對稱 KMS 金鑰至關重要，因為在不發出警告或錯誤的情況，使用者可繼續使用公開金鑰產生密文，但在私有金鑰從 AWS KMS 刪除後無法解密。

只有當您確定不再需要使用 KMS 金鑰時，才應刪除 KMS 金鑰。如果您不確定，請考慮停用 KMS 金鑰，而不是刪除。您可以重新啟用已停用的 KMS 金鑰並取消排程刪除 KMS 金鑰，但您無法復原已刪除的 KMS 金鑰。

您只能排程刪除客戶受管金鑰。您無法刪除 AWS 受管金鑰 或 AWS 擁有的金鑰。

刪除 KMS 金鑰之前，您可能想要知道有多少加密文字在該 KMS 金鑰下加密。AWS KMS 不會存放此資訊，也不會存放任何加密文字。若要取得此資訊，您必須判斷 KMS 金鑰的過去使用情形。如需協助，請前往 判斷 KMS 金鑰的過去使用情形。

除非您明確排程刪除工作且強制的等待期間過期，否則 AWS KMS 絕對不會刪除 KMS 金鑰。

然而，您可能會因以下一或多個原因而選擇刪除 KMS 金鑰：

• 為了完成不再需要的 KMS 金鑰生命週期

• 為了避免管理開銷以及維護未使用 KMS 金鑰的相關成本

• 為了降低針對 KMS 金鑰資源配額列入計算的 KMS 金鑰數量

注意

如您關閉 AWS 帳戶，則 KMS 金鑰就會變為無法存取，而您不再需要支付相關費用。

AWS KMS 會在您排程刪除 KMS 金鑰和實際刪除 KMS 金鑰時在 AWS CloudTrail 日誌中記錄一條項目。

如需刪除多區域主要金鑰和複本金鑰的相關資訊，請參閱 刪除多區域金鑰。

主題

• 關於等待期
• 刪除非對稱 KMS 金鑰
• 刪除多區域金鑰
• 刪除包含匯入金鑰資料的 KMS 金鑰
• 控制對金鑰刪除的存取
• 排程和取消金鑰刪除
• 建立警示，偵測正在等待刪除之 KMS 金鑰的使用情況
• 判斷 KMS 金鑰的過去使用情形

關於等待期

由於刪除 KMS 金鑰具有破壞性且可能很危險，所以 AWS KMS 要求您設定等待期為 7 至 30 天。預設等待期間為 30 天。

不過，實際等待期可能比您排定的等待期長最多 24 小時。若要取得刪除 KMS 金鑰的實際日期和時間，請使用此DescribeKey作業。或者在 AWS KMS 主控台，KMS 金鑰的詳細資訊頁面，在 General configuration (一般組態) 區段中，請參閱 Scheduled deletion date (排定的刪除日期)。請務必注意時區。

在等待期間，KMS 金鑰狀態和金鑰狀態為 Pending deletion (待刪除)。

• 正在等待刪除的 KMS 金鑰不能用於任何密碼編譯操作。

• AWS KMS 不會輪換待刪除 KMS 金鑰的金鑰材料。

等待期結束後，AWS KMS 會刪除 KMS 金鑰、其別名和所有相關的 AWS KMS 中繼資料。

排程刪除 KMS 金鑰可能不會立即影響 KMS 金鑰所加密的資料金鑰。如需詳細資訊，請參閱 無法使用的 KMS 金鑰如何影響資料金鑰。

使用等待期間可確保您現在或未來不需要 KMS 金鑰。您可以設定 Amazon CloudWatch 警示，以在人員或應用程式在等待期間嘗試使用 KMS 金鑰時發出警告。若要復原 KMS 金鑰，您可以在等待期間結束前取消金鑰刪除。等待期間結束後，您就無法取消金鑰刪除，且 AWS KMS 會刪除 KMS 金鑰。

刪除非對稱 KMS 金鑰

獲得授權的使用者可以刪除對稱或非對稱 KMS 金鑰。兩種類型金鑰排程刪除這些 KMS 金鑰的程序都是一樣的。不過，因為非對稱 KMS 金鑰的公有金鑰可以下載並在 AWS KMS 外部使用，所以此操作會帶來巨大的額外風險，尤其是用於加密的非對稱 KMS 金鑰 (金鑰用途為 ENCRYPT_DECRYPT)。

• 當您排程刪除 KMS 金鑰時，KMS 金鑰的金鑰狀態會變更為 Pending deletion (待刪除)，而 KMS 金鑰不能用於密碼編譯操作。不過，排程刪除對 AWS KMS 外的公有金鑰沒有影響。擁有公有金鑰的使用者可以繼續使用這些金鑰加密訊息。他們不會收到金鑰狀態變更的任何通知。除非取消刪除，否則無法解密使用公有金鑰建立的加密文字。

• 可偵測到嘗試使用待刪除 KMS 金鑰的警示、日誌和其他策略，偵測不到在 AWS KMS 外部對公有金鑰的使用。

• KMS 金鑰刪除後，所有與該 KMS 金鑰有關的 AWS KMS 動作都會失敗。不過，擁有公有金鑰的使用者可以繼續使用這些金鑰加密訊息。無法解密這些加密文字。

如果您必須刪除金鑰用法為的非對稱 KMS 金鑰ENCRYPT_DECRYPT，請使用您的 CloudTrail 記錄項目來判斷公開金鑰是否已下載並共用。如果是，請驗證公有金鑰未用在 AWS KMS 之外。然後，考慮停用 KMS 金鑰而不是刪除 KMS 金鑰。

對於含匯入金鑰資料的非對稱 KMS 金鑰來說，可減輕刪除非對稱 KMS 金鑰所造成的風險。如需詳細資訊，請參閱 刪除包含匯入金鑰資料的 KMS 金鑰。

刪除多區域金鑰

取得授權的使用者可以排程刪除多區域主要金鑰和複本金鑰。然而，AWS KMS 不會刪除具有複本金鑰的多區域主要金鑰。此外，只要其主要金鑰存在，您就可以重新建立已刪除的多區域複本金鑰。如需詳細資訊，請參閱 刪除多區域金鑰。

刪除包含匯入金鑰資料的 KMS 金鑰

授權使用者可排程刪除包含匯入金鑰資料的 KMS 金鑰。此動作會永久刪除 KMS 金鑰、其金鑰資料，還有所有關聯 KMS 金鑰的中繼資料。

您無法建立新對稱加密 KMS 金鑰，來針對包含匯入金鑰資料且已刪除的對稱加密金鑰解密其密文，即使您擁有相同金鑰資料也一樣。不過，如您有金鑰資料，您可有效重新建立包含匯入金鑰資料的非對稱 KMS 金鑰或 HMAC KMS 金鑰。如需詳細資訊，請參閱 刪除包含匯入金鑰資料的 KMS 金鑰。