Importiertes Schlüsselmaterial löschen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Importiertes Schlüsselmaterial löschen

Sie können das importierte Schlüsselmaterial jederzeit aus einem KMS-Schlüssel löschen. Außerdem wird das Schlüsselmaterial AWS KMS gelöscht, wenn importiertes Schlüsselmaterial mit einem Ablaufdatum abläuft. In beiden Fällen ändert sich der Schlüsselstatus des KMS-Schlüssels in Ausstehender Import, wenn das Schlüsselmaterial gelöscht wird, und der KMS-Schlüssel kann nicht für kryptografische Operationen verwendet werden.

Symmetrischen Verschlüsselungsschlüsseln mit einer Region können mehrere Schlüsselmaterialien zugeordnet sein, und das Löschen oder Ablaufen von Schlüsselmaterial in einem anderen Zustand als PENDING_ROTATION ändert den Schlüsselstatus in Ausstehender Import. Für diese Schlüssel weist KMS jedem Schlüsselmaterial eine eindeutige Kennung zu. Sie können die ListKeyRotationsAPI verwenden, um diese wichtigen Materialkennungen einzusehen. Sie können ein bestimmtes Schlüsselmaterial löschen, indem Sie seinen Bezeichner mithilfe des key-material-id Parameters in der DeleteImportedKeyMaterialAPI angeben.

Warnung

Der key-material-id Parameter ist optional. Wenn Sie ihn nicht angeben, AWS KMS wird das aktuelle Schlüsselmaterial gelöscht.

Neben dem Deaktivieren des KMS-Schlüssels und dem Entziehen von Berechtigungen kann das Löschen von Schlüsselmaterial als Strategie verwendet werden, um die Verwendung des KMS-Schlüssels schnell, aber vorübergehend einzustellen. Im Gegensatz dazu wird bei der Planung des Löschens eines KMS-Schlüssels mit importiertem Schlüsselmaterial auch schnell die Verwendung des KMS-Schlüssels gestoppt. Wenn der Löschvorgang jedoch während der Wartezeit nicht abgebrochen wird, werden der KMS-Schlüssel, die zugehörigen Schlüsselmaterialien und alle wichtigen Metadaten dauerhaft gelöscht. Details hierzu finden Sie unter Deleting KMS keys with imported key material.

Um Schlüsselmaterial zu löschen, können Sie die AWS KMS Konsole oder den DeleteImportedKeyMaterialAPI-Vorgang verwenden. AWS KMS zeichnet einen Eintrag in Ihrem AWS CloudTrail Protokoll auf, wenn Sie importiertes Schlüsselmaterial löschen und wenn abgelaufenes Schlüsselmaterial AWS KMS gelöscht wird.

Wie sich das Löschen von Schlüsselmaterial auf Dienste auswirkt AWS

Wenn Sie Schlüsselmaterial löschen, wird der KMS-Schlüssel sofort unbrauchbar (vorausgesetzt, dass er irgendwann konsistent ist). Ressourcen, die mit durch den KMS-Schlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel.

Sie können die AWS KMS Konsole verwenden, um Schlüsselmaterial zu löschen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Führen Sie eine der folgenden Aktionen aus:

    • Aktivieren Sie das Kontrollkästchen für einen KMS-Schlüssel mit importiertem Schlüsselmaterial. Wählen Sie unter Key actions die Option Delete key material. Bei symmetrischen Verschlüsselungsschlüsseln, denen mehrere Schlüsselmaterialien zugeordnet sind, wird dadurch das aktuelle Schlüsselmaterial gelöscht.

    • Wählen Sie für KMS-Schlüssel mit symmetrischer Verschlüsselung für einzelne Regionen mit importiertem Schlüsselmaterial den Alias oder die Schlüssel-ID eines KMS-Schlüssels aus. Wählen Sie die Registerkarte Schlüsselmaterial und Rotationen. In der Tabelle mit den Schlüsselmaterialien werden alle Schlüsselmaterialien aufgeführt, die dem Schlüssel zugeordnet sind. Wählen Sie im Menü Aktionen in der Zeile, die dem Schlüsselmaterial entspricht, das Sie löschen möchten, die Option Schlüsselmaterial löschen.

  5. Bestätigen Sie, dass Sie das Schlüsselmaterial löschen möchten, und klicken Sie dann auf Delete key material. Der Zustand des KMS-Schlüssels, der dem Schlüsselstatus entspricht, ändert sich in Pending import (Import ausstehend). Wenn sich das gelöschte Schlüsselmaterial im PENDING_ROTATION Status befand, ändert sich der Status des KMS-Schlüssels nicht.

Um die AWS KMS API zum Löschen von Schlüsselmaterial zu verwenden, senden Sie eine DeleteImportedKeyMaterialAnfrage. Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.

Ersetzen Sie 1234abcd-12ab-34cd-56ef-1234567890ab mit der Schlüssel-ID des KMS-Schlüssels, dessen Schlüsselmaterial Sie löschen möchten. Für diese Operation können Sie die Schlüssel-ID oder den ARN des KMS-Schlüssels verwenden, aber keinen Alias. Der folgende Befehl löscht das aktuelle Schlüsselmaterial, das möglicherweise das einzige Schlüsselmaterial ist, das dem Schlüssel zugeordnet ist.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Um ein bestimmtes Schlüsselmaterial zu löschen, geben Sie das Schlüsselmaterial an, das mithilfe des key-material-id Parameters identifiziert wurde. 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0Ersetzen Sie es durch den Bezeichner des Schlüsselmaterials, das Sie löschen möchten.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0