刪除匯入的金鑰材料 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

刪除匯入的金鑰材料

您可以隨時從金鑰中刪除匯入的KMS金鑰材料。此外,當具有過期日期的匯入金鑰材料過期時, 會 AWS KMS 刪除金鑰材料。在任何一種情況下,刪除金鑰材料時,KMS金鑰的金鑰狀態會變更為待匯入 ,而且在您重新匯入相同的金鑰材料 之前,該KMS金鑰都無法在任何密碼編譯操作中使用。(您無法將任何其他金鑰材料匯入KMS金鑰。)

除了停用KMS金鑰和撤銷許可之外,還可以使用刪除金鑰材料作為快速但暫時停止使用KMS金鑰的策略。相反地,使用匯入的KMS金鑰材料排程刪除金鑰也會快速停用KMS金鑰。不過,如果在等待期間未取消刪除,KMS金鑰、金鑰材料和所有金鑰中繼資料都會永久刪除。如需詳細資訊,請參閱 Deleting KMS keys with imported key material

若要刪除金鑰材料,您可以使用 AWS KMS 主控台或 DeleteImportedKeyMaterialAPI操作。當您刪除匯入的金鑰材料,以及AWS KMS 刪除過期的金鑰材料 時, 會在 AWS CloudTrail 日誌中 AWS KMS 記錄項目。

刪除金鑰材料如何影響 AWS 服務

當您刪除金鑰材料時,沒有金鑰材料的KMS金鑰會立即無法使用 (取決於最終一致性)。不過,在再次KMS使用KMS金鑰之前,使用受金鑰保護的資料金鑰加密的資源不會受到影響,例如解密資料金鑰。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱 無法使用的KMS金鑰如何影響資料金鑰

您可以使用 AWS KMS 主控台來刪除金鑰材料。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 執行以下任意一項:

    • 選取已匯入KMS金鑰材料之金鑰的核取方塊。選擇 Key actions (金鑰動作)Delete key material (刪除金鑰材料)

    • 選擇具有匯入金鑰材料之KMS金鑰的別名或金鑰 ID。選擇 Key material (金鑰材料) 索引標籤,然後選擇 Delete key material (刪除金鑰材料)。

  5. 確認您要刪除金鑰材料,然後選擇 Delete key material (刪除金鑰材料)。對應至其金鑰狀態 的KMS金鑰狀態會變更為待匯入

若要使用 AWS KMS API刪除金鑰材料,請傳送DeleteImportedKeyMaterial請求。以下範例顯示如何使用 AWS CLI 執行此作業。

1234abcd-12ab-34cd-56ef-1234567890ab 將 取代為您想要刪除其金鑰材料之KMS金鑰的金鑰 ID。您可以使用KMS金鑰的金鑰 ID,或 ,ARN但無法針對此操作使用別名。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab