Acerca del período de espera Consideraciones especiales

Eliminar un AWS KMS key

La eliminación de una AWS KMS key es un proceso destructivo y potencialmente peligroso. Elimina el material de claves y todos los metadatos asociados con la clave KMS. Esta acción es irreversible. Una vez que se elimina una clave KMS, ya no pueden descifrar los datos que se habían cifrado con ella, lo que significa que no se pueden recuperar. (Las únicas excepciones son las claves de réplica de varias regiones y las claves HMAC de KMS y asimétricas con material de claves importado). Este riesgo es importante en el caso de las claves de KMS asimétricas que se utilizan para el cifrado, ya que, sin previo aviso ni error, los usuarios pueden seguir generando textos cifrados con la clave pública que no se pueden descifrar una vez eliminada la clave privada de AWS KMS.

Debe eliminar una clave KMS solo cuando esté seguro de que ya no necesita usarla. Si no está seguro, considere la posibilidad de desactivar la clave KMS en lugar de eliminarla. Puede volver a habilitar una clave de KMS deshabilitada y cancelar la eliminación programada de una clave de KMS, pero no puede recuperar una clave de KMS eliminada.

Solo puede programar la eliminación de una clave administrada por el cliente. No puede eliminar Claves administradas por AWS ni Claves propiedad de AWS.

Antes de eliminar una clave KMS, es recomendable que averigüe cuántos textos se han cifrado con dicha clave. AWS KMS no almacena esta información ni ninguno de los textos cifrados. Para obtener esta información, debe determinar por su cuenta el uso anterior de una clave KMS. Para obtener ayuda, consulte Determinación del uso anterior de una clave KMS.

AWS KMS nunca elimina las claves KMS a menos que las programe explícitamente para su eliminación y venza el periodo de espera obligatorio.

Sin embargo, puede decidir eliminar una clave KMS por uno o varios de los motivos siguientes:

Para completar el ciclo de vida de clave de las claves KMS que ya no necesita
Evitar los gastos generales de administración y los costos asociados con el mantenimiento de las claves KMS no usadas
Para reducir el número de claves KMS que se contabilizan para su cuota de recursos de clave KMS

nota

Si cierra su Cuenta de AWS, sus claves de KMS dejarán de estar accesibles y no se le facturará por ellas.

AWS KMS registra una entrada en su registro AWS CloudTrail cuando programa la eliminación de la clave de KMS y cuando la clave de KMS se elimina en realidad.

Acerca del período de espera

Como la eliminación de una clave KMS es un proceso destructivo y potencialmente peligroso, AWS KMS requiere que establezca un período de espera de 7 a 30 días. El periodo de espera predeterminado es de 30 días.

Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el programado. Para obtener la fecha y la hora reales en que se eliminará la clave KMS, utilice la operación DescribeKey. O en el consola AWS KMS, en la página de detalles para la clave KMS, en la sección Configuración general, consulte la eliminación programada. Asegúrese de anotar la zona horaria.

Durante el periodo de espera, el estado de la clave KMS y el estado de la clave son Pending deletion (Pendiente de eliminación).

Una clave KMS que está pendiente de eliminación no puede utilizarse en ninguna operación criptográfica.
AWS KMS no rota el material de clave de las claves KMS que están pendientes de eliminación.

Una vez finalizado el período de espera, AWS KMS elimina la clave KMS, sus alias y todos los metadatos de AWS KMS.

Es posible que programar la eliminación de una clave de KMS no afecte inmediatamente a las claves de datos cifradas por la clave de KMS. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Use el periodo de espera para asegurarse de que no necesita la clave KMS ahora ni en el futuro. También puede configurar una alarma de Amazon CloudWatch que le avise si una persona o aplicación intenta utilizar la clave KMS durante el periodo de espera. Para recuperar la clave KMS, puede cancelar la eliminación de claves antes de que finalice el periodo de espera. Una vez que finaliza el periodo de espera, no puede cancelar la eliminación de claves y AWS KMS elimina la clave KMS.

Consideraciones especiales

Antes de programar la eliminación de las claves, revise las siguientes consideraciones especiales para eliminar las claves KMS de propósito especial.

Eliminación de claves KMS asimétricas

Los usuarios autorizados pueden eliminar las claves KMS simétricas y asimétricas. El procedimiento para programar la eliminación de estas claves KMS es el mismo para ambos tipos de claves. Sin embargo, debido a que la clave pública de una clave KMS asimétrica se puede descargar y utilizar fuera de AWS KMS, la operación plantea riesgos adicionales significativos, especialmente para las claves KMS asimétricas utilizadas para el cifrado (el uso de la clave es ENCRYPT_DECRYPT).

Cuando planifica la eliminación de una clave KMS, el estado de la clave de la clave KMS cambia a Pending deletion (Pendiente de eliminación) y la clave KMS no se puede utilizar en operaciones criptográficas. Sin embargo, la eliminación de la programación no tiene ningún efecto en las claves públicas fuera de AWS KMS. Los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. No reciben ninguna notificación de que se haya cambiado el estado de la clave. A menos que se cancele la eliminación, el texto cifrado creado con la clave pública no se puede descifrar.
Las alarmas, los registros y otras estrategias que detectan los intentos de uso de la clave KMS que está pendiente de eliminación no pueden detectar el uso de la clave pública fuera de AWS KMS.
Cuando se elimina la clave KMS, todas las acciones de AWS KMS que involucran a esa clave KMS fallan. Sin embargo, los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. Estos textos cifrados no se pueden descifrar.

Si debe eliminar una clave KMS asimétrica con un uso de las claves de ENCRYPT_DECRYPT, utilice las entradas del registro de CloudTrail para determinar si la clave pública se ha descargado y compartido. Si ha sido así, compruebe que la clave pública no se utilice fuera de AWS KMS. Después, considere la posibilidad de desactivar la clave KMS en lugar de eliminarla.

El riesgo que supone eliminar una clave de KMS asimétrica se mitiga en el caso de las claves de KMS asimétricas con material de claves importado. Para obtener más información, consulte Deleting KMS keys with imported key material.

Eliminación de claves de varias regiones

Para eliminar una clave principal, debe programar la eliminación de todas sus claves de réplica y esperar a que se eliminen las claves de réplica. El período de espera necesario para eliminar una clave principal comienza cuando se elimina la última de sus claves de réplica. Si debe eliminar una clave principal de una región concreta sin eliminar sus claves de réplica, cambie la clave principal por una clave de réplica mediante actualización de la región principal.

Puede eliminar una clave réplica en cualquier momento. No depende del estado de la clave de ninguna otra clave KMS. Si elimina por error una clave de réplica, puede volver a crearla replicando la misma clave primaria en la misma región. La nueva clave de réplica que cree tendrá las mismas propiedades compartidas que la clave de réplica original.

Eliminación de claves KMS con material de claves importado

Eliminar el material de claves de una clave de KMS con material de claves importado es temporal y reversible. Para restaurar la clave, vuelva a importar su material de claves.

Por el contrario, eliminar una clave KMS es irreversible. Si programa la eliminación de una clave y vence el periodo de espera necesario, AWS KMS elimina la clave de KMS, su material de claves y todos los metadatos asociados con la clave de KMS de forma permanente e irreversible.

Sin embargo, el riesgo y las consecuencias de eliminar una clave de KMS con material de claves importado dependen del tipo (“especificación de clave”) de la clave de KMS.

Claves de cifrado simétrico: si elimina una clave de KMS de cifrado simétrico, no se podrán recuperar los textos cifrados restantes cifrados con esa clave. No puede crear una nueva clave de KMS de cifrado simétrico que pueda descifrar los textos cifrados de una clave de KMS de cifrado simétrico eliminada, incluso si tiene el mismo material de claves. Los metadatos exclusivos de cada clave de KMS están enlazados criptográficamente a cada texto cifrado simétrico. Esta característica de seguridad garantiza que solo la clave de KMS que cifró el texto cifrado simétrico pueda descifrarlo, pero le impide volver a crear una clave de KMS equivalente.
Claves asimétricas y HMAC: si dispone del material de claves original, puede crear una nueva clave de KMS con las mismas propiedades criptográficas que una clave de KMS asimétrica o HMAC que se haya eliminado. AWS KMS genera firmas y textos cifrados RSA estándar, firmas ECC y etiquetas HMAC, que no incluyen ninguna característica de seguridad exclusiva. Además, puede utilizar una clave HMAC o la clave privada de un par de claves asimétricas fuera de AWS.

Una clave de KMS nueva que cree con el mismo material de clave asimétrica o HMAC tendrá un identificador de clave diferente. Tendrá que crear una nueva política de claves, volver a crear los alias y actualizar las políticas y concesiones de IAM existentes para hacer referencia a la nueva clave.

Eliminación de claves KMS de un almacén de claves de AWS CloudHSM

Si programa la eliminación de una clave de KMS de un almacén de claves de AWS CloudHSM, su estado de clave cambiará a Pending deletion (Eliminación pendiente). La clave de KMS conservará el estado Pending deletion (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque ha desconectado el almacén de claves personalizado. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera.

Cuando finaliza el periodo de espera, AWS KMS elimina la clave KMS de AWS KMS. AWS KMS hará lo posible por eliminar el material de claves del clúster de AWS CloudHSM asociado. Si AWS KMS no puede eliminar el material de claves, como, por ejemplo, cuando el almacén de claves está desconectado de AWS KMS, es probable que tenga que eliminar el material de claves huérfano manualmente del clúster.

AWS KMS no elimina el material de claves de las copias de seguridad del clúster. Incluso si elimina la clave KMS de AWS KMS y borra su material de claves de su clúster de AWS CloudHSM, los clústers creados a partir de copias de seguridad podrían incluir material de claves eliminado. Para eliminar el material de claves de forma permanente, utilice la operación DescribeKey para identificar la fecha de creación de la clave KMS. A continuación, elimine todas las copias de seguridad del clúster que puedan contener el material de claves.

Al programar la eliminación de una clave de KMS de un almacén de claves de AWS CloudHSM, la clave de KMS queda inutilizable de inmediato (sujeto a la posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Eliminación de claves KMS de un almacén de claves externo

La eliminación de una clave de KMS de un almacén de claves externo no afecta a la clave externa que sirvió como material de claves.

Cuando programa la eliminación de una clave de KMS de un almacén de claves externo, su estado de clave cambia a Pending deletion (Eliminación pendiente). La clave de KMS conservará el estado Pending deletion (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque ha desconectado el almacén de claves externo. Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera. Cuando finaliza el periodo de espera, AWS KMS elimina la clave KMS de AWS KMS.

Al programar la eliminación de una clave de KMS de un almacén de claves externo, la clave de KMS queda inutilizable de inmediato (sujeto a la posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cambio de la clave principal en un conjunto de claves de varias regiones

Control del acceso a la eliminación de claves