Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Eliminar un AWS KMS key
<a name="deleting-keys"></a>

Eliminar un AWS KMS key es destructivo y potencialmente peligroso. Elimina el material de claves y todos los metadatos asociados con la clave KMS. Esta acción es irreversible. Una vez que se elimina una clave KMS, ya no pueden descifrar los datos que se habían cifrado con ella, lo que significa que no se pueden recuperar. (Las únicas excepciones son las [claves de réplica de varias regiones](#deleting-mrks) y las claves HMAC de KMS y asimétricas con material de claves importado). Este riesgo es importante en el caso de [las claves KMS asimétricas que se utilizan para el cifrado](#deleting-asymmetric-cmks), ya que, sin previo aviso ni error, los usuarios pueden seguir generando textos cifrados con la clave pública que no se pueden descifrar una vez eliminada la clave privada. AWS KMS

Debe eliminar una clave KMS solo cuando esté seguro de que ya no necesita usarla. Si no está seguro, considere la posibilidad de [desactivar la clave KMS](enabling-keys.md) en lugar de eliminarla. Puede volver a habilitar una clave de KMS deshabilitada y [cancelar la eliminación programada](deleting-keys-scheduling-key-deletion.md) de una clave de KMS, pero no puede recuperar una clave de KMS eliminada.

Solo puede programar la eliminación de una clave administrada por el cliente. No puede eliminar o. Claves administradas por AWS Claves propiedad de AWS

Antes de eliminar una clave KMS, es posible que desee saber cuántos textos cifrados se cifraron con esa clave KMS. AWS KMS no almacena esta información ni almacena ninguno de los textos cifrados. Para obtener esta información, debe determinar por su cuenta el uso anterior de una clave KMS. Para obtener ayuda, consulte [Determinación del uso anterior de una clave KMS](deleting-keys-determining-usage.md).

AWS KMS nunca elimina sus claves de KMS a menos que las programe explícitamente para que se eliminen y venza el período de espera obligatorio.

Sin embargo, puede decidir eliminar una clave KMS por uno o varios de los motivos siguientes:
+ Para completar el ciclo de vida de clave de las claves KMS que ya no necesita
+ Evitar los gastos generales de administración y los [costos](https://aws.amazon.com/kms/pricing/) asociados con el mantenimiento de las claves KMS no usadas
+ Para reducir el número de claves KMS que se contabilizan para su [cuota de recursos de clave KMS](resource-limits.md#kms-keys-limit)

**nota**  
Si [cierras las tuyas Cuenta de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html), tus claves de KMS se vuelven inaccesibles y ya no se te facturará por ellas. 

AWS KMS registra una entrada en su AWS CloudTrail registro cuando [programa la eliminación](ct-schedule-key-deletion.md) de la clave KMS y cuando se elimina [realmente la clave KMS](ct-delete-key.md). 

## Acerca del período de espera
<a name="deleting-keys-how-it-works"></a>

Dado que eliminar una clave de KMS es destructivo y potencialmente peligroso, es AWS KMS necesario establecer un período de espera de 7 a 30 días. El periodo de espera predeterminado es de 30 días.

Sin embargo, el período de espera real puede ser hasta 24 horas más largo que el programado. Para obtener la fecha y la hora reales en las que se eliminará la clave KMS, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación. O en el consola AWS KMS , en la [página de detalles](finding-keys.md#viewing-console-details) para la clave KMS, en la sección **Configuración general**, consulte la **eliminación programada**. Asegúrese de anotar la zona horaria.

Durante el periodo de espera, el estado de la clave KMS y el estado de la clave son **Pending deletion (Pendiente de eliminación)**.
+ Una clave KMS que está pendiente de eliminación no puede utilizarse en ninguna [operación criptográfica](kms-cryptography.md#cryptographic-operations). 
+ AWS KMS no [rota el material clave de las](rotate-keys.md#rotate-keys-how-it-works) claves de KMS que están pendientes de ser eliminadas.

Una vez finalizado el período de espera, AWS KMS elimina la clave KMS, sus alias y todos los metadatos relacionados AWS KMS .

Es posible que programar la eliminación de una clave de KMS no afecte inmediatamente a las claves de datos cifradas por la clave de KMS. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).

Use el periodo de espera para asegurarse de que no necesita la clave KMS ahora ni en el futuro. Puedes [configurar una CloudWatch alarma de Amazon](deleting-keys-creating-cloudwatch-alarm.md) para que te avise si una persona o aplicación intenta usar la clave KMS durante el período de espera. Para recuperar la clave KMS, puede cancelar la eliminación de claves antes de que finalice el periodo de espera. Una vez finalizado el período de espera, no podrá cancelar la eliminación de la clave y AWS KMS eliminará la clave KMS.

## Consideraciones especiales
<a name="special-considerations-delete"></a>

Antes de programar la eliminación de las claves, revise las siguientes consideraciones especiales para eliminar las claves KMS de propósito especial.

**Eliminación de claves KMS asimétricas**  
Los usuarios [autorizados](deleting-keys-adding-permission.md) pueden eliminar las claves KMS simétricas y asimétricas. El procedimiento para programar la eliminación de estas claves KMS es el mismo para ambos tipos de claves. Sin embargo, dado que la [clave pública de una clave KMS asimétrica se puede descargar](download-public-key.md) y utilizar fuera de ella AWS KMS, la operación plantea riesgos adicionales importantes, especialmente en el caso de las claves KMS asimétricas que se utilizan para el cifrado (el uso de la clave es). `ENCRYPT_DECRYPT`  
+ Cuando planifica la eliminación de una clave KMS, el estado de la clave de la clave KMS cambia a **Pending deletion (Pendiente de eliminación)** y la clave KMS no se puede utilizar en [operaciones criptográficas](kms-cryptography.md#cryptographic-operations). Sin embargo, programar la eliminación no tiene ningún efecto en las claves públicas ajenas a. AWS KMS Los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. No reciben ninguna notificación de que se haya cambiado el estado de la clave. A menos que se cancele la eliminación, el texto cifrado creado con la clave pública no se puede descifrar.
+ Las alarmas, los registros y otras estrategias que detectan los intentos de uso de la clave KMS que está pendiente de eliminación no pueden detectar el uso de la clave pública fuera de AWS KMS.
+ Cuando se elimina la clave KMS, todas AWS KMS las acciones relacionadas con esa clave KMS fallan. Sin embargo, los usuarios que tengan las claves públicas pueden seguir utilizándolas para cifrar mensajes. Estos textos cifrados no se pueden descifrar.
Si debe eliminar una clave KMS asimétrica con un uso de clave igual a`ENCRYPT_DECRYPT`, utilice las entradas de CloudTrail registro para determinar si la clave pública se ha descargado y compartido. Si ha sido así, compruebe que la clave pública no se utilice fuera de AWS KMS. Después, considere la posibilidad de [desactivar la clave KMS](enabling-keys.md) en lugar de eliminarla.  
El riesgo que supone eliminar una clave de KMS asimétrica se mitiga en el caso de las claves de KMS asimétricas con material de claves importado. Para obtener más información, consulte [Deleting KMS keys with imported key material](#import-delete-key).

**Eliminación de claves de varias regiones**  
Para eliminar una clave principal, debe programar la eliminación de todas sus claves de réplica y esperar a que se eliminen las claves de réplica. El período de espera necesario para eliminar una clave principal comienza cuando se elimina la última de sus claves de réplica. Si debe eliminar una clave principal de una región concreta sin eliminar sus claves de réplica, cambie la clave principal por una clave de réplica mediante [actualización de la región principal](multi-region-update.md).  
Puede eliminar una clave réplica en cualquier momento. No depende del estado de la clave de ninguna otra clave KMS. Si elimina por error una clave de réplica, puede volver a crearla replicando la misma clave primaria en la misma región. La nueva clave de réplica que cree tendrá las mismas [propiedades compartidas](multi-region-keys-overview.md#mrk-sync-properties) que la clave de réplica original.

**Eliminación de claves KMS con material de claves importado**  
Eliminar el material de claves de una clave de KMS con material de claves importado es temporal y reversible. Para restaurar la clave, vuelva a importar su material de claves.  
Por el contrario, eliminar una clave KMS es irreversible. Si [programa la eliminación de la clave](#deleting-keys-how-it-works) y vence el período de espera requerido, eliminará de AWS KMS forma permanente e irreversible la clave KMS, su material clave y todos los metadatos asociados a la clave KMS.   
Sin embargo, el riesgo y las consecuencias de eliminar una clave de KMS con material de claves importado dependen del tipo (“especificación de clave”) de la clave de KMS.  
+ Claves de cifrado simétrico: si elimina una clave de KMS de cifrado simétrico, no se podrán recuperar los textos cifrados restantes cifrados con esa clave. No puede crear una nueva clave de KMS de cifrado simétrico que pueda descifrar los textos cifrados de una clave de KMS de cifrado simétrico eliminada, incluso si tiene el mismo material de claves. Los metadatos exclusivos de cada clave de KMS están enlazados criptográficamente a cada texto cifrado simétrico. Esta característica de seguridad garantiza que solo la clave de KMS que cifró el texto cifrado simétrico pueda descifrarlo, pero le impide volver a crear una clave de KMS equivalente.
+ Claves asimétricas y HMAC: si dispone del material clave original, puede crear una nueva clave KMS con las mismas propiedades criptográficas que una clave KMS asimétrica o HMAC que se haya eliminado. AWS KMS genera firmas y textos cifrados RSA estándar, firmas ECC y etiquetas HMAC, que no incluyen ninguna característica de seguridad exclusiva. Además, puede utilizar una clave HMAC o la clave privada de un par de claves asimétricas fuera de AWS.

  Una clave de KMS nueva que cree con el mismo material de clave asimétrica o HMAC tendrá un identificador de clave diferente. Tendrá que crear una nueva política de claves, volver a crear los alias y actualizar las políticas y concesiones de IAM existentes para hacer referencia a la nueva clave. 

**Eliminar claves KMS de un almacén de claves AWS CloudHSM **  
Al programar la eliminación de una clave KMS de un almacén de AWS CloudHSM claves, su [estado de clave](key-state.md) cambia a **Pendiente de eliminación**. La clave de KMS conservará el estado **Pending deletion** (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque [ha desconectado el almacén de claves personalizado](disconnect-keystore.md). Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera.  
Cuando vence el período de espera, AWS KMS elimina la clave KMS de AWS KMS. A continuación, AWS KMS hace todo lo posible por eliminar el material clave del AWS CloudHSM clúster asociado. Si AWS KMS no puede eliminar el material de claves, como, por ejemplo, cuando el almacén de claves está desconectado de AWS KMS, es probable que tenga que [eliminar el material de claves huérfano](fix-keystore.md#fix-keystore-orphaned-key) manualmente del clúster.   
AWS KMS no elimina el material clave de las copias de seguridad del clúster. Incluso si elimina la clave de KMS AWS KMS y elimina su material clave del AWS CloudHSM clúster, los clústeres creados a partir de las copias de seguridad pueden contener el material clave eliminado. Para eliminar permanentemente el material clave, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación para identificar la fecha de creación de la clave KMS. A continuación, [elimine todas las copias de seguridad del clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html) que puedan contener el material de claves.   
Al programar la eliminación de una clave de KMS de un almacén de AWS CloudHSM claves, la clave de KMS queda inutilizable de inmediato (sujeto a una posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a Servicios de AWS muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).

**Eliminación de claves KMS de un almacén de claves externo**  
La eliminación de una clave de KMS de un almacén de claves externo no afecta a la [clave externa](keystore-external.md#concept-external-key) que sirvió como material de claves.  
Cuando programa la eliminación de una clave de KMS de un almacén de claves externo, su [estado de clave](key-state.md) cambia a **Pending deletion** (Eliminación pendiente). La clave de KMS conservará el estado **Pending deletion** (Eliminación pendiente) durante todo el periodo de espera, incluso si la clave de KMS deja de estar disponible porque [ha desconectado el almacén de claves externo](xks-connect-disconnect.md). Esto permite cancelar la eliminación de la clave KMS en cualquier momento durante el período de espera. Cuando caduque el período de espera, AWS KMS elimina la clave KMS de AWS KMS.  
Al programar la eliminación de una clave de KMS de un almacén de claves externo, la clave de KMS queda inutilizable de inmediato (sujeto a la posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md). 

# Control del acceso a la eliminación de claves
<a name="deleting-keys-adding-permission"></a>

Si utiliza políticas de IAM para conceder AWS KMS permisos, las identidades de IAM que tienen acceso de AWS administrador (`"Action": "*"`) o acceso AWS KMS total (`"Action": "kms:*"`) ya pueden programar y cancelar la eliminación clave de las claves de KMS. Para permitir que los administradores de claves programen y cancelen la eliminación de claves en la política de claves, utilice la AWS KMS consola o la AWS KMS API. 

Normalmente, solo los administradores de claves tienen permiso para programar o cancelar la eliminación de claves. Sin embargo, puede conceder estos permisos a otras identidades de IAM al agregar los permisos `kms:ScheduleKeyDeletion` y `kms:CancelKeyDeletion` a la política de claves o a una política de IAM. También puedes usar la clave de [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)condición para restringir aún más los valores que los directores pueden especificar en el `PendingWindowInDays` parámetro de una [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)solicitud.

## Permitir a los administradores de claves programar y cancelar la eliminación de claves
<a name="allow-key-deletion"></a>

### Uso de la consola AWS KMS
<a name="deleting-keys-adding-permission-console"></a>

Para otorgar permiso a los administradores de claves para programar y cancelar la eliminación de claves

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija el alias o el ID de clave de la clave KMS cuyos permisos desea cambiar.

1. Seleccione la pestaña **key policy** (política de claves).

1. El siguiente paso es diferente para la *vista predeterminada* y la *vista de política* de su política de claves. La vista predeterminada solo está disponible si utiliza la política de claves de consola predeterminada. De lo contrario, solo está disponible la vista de política.

   Cuando la vista predeterminada está disponible, aparece el botón **Switch to policy view** (Cambiar a la vista de política) o **Switch to default view** (Cambiar a la vista predeterminada) en la pestaña **Key policy** (Política de claves).
   + En la vista predeterminada:

     1. En la sección **Key deletion** (Eliminación de la clave), seleccione **Allow key administrators to delete this key** (Permitir que los administradores de claves eliminen esta clave).
   + En la vista de la política:

     1. Elija **Edit (Edición de)**.

     1. En la declaración de política para los administradores de claves, agregue los permisos `kms:ScheduleKeyDeletion` y `kms:CancelKeyDeletion` al elemento `Action`.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Seleccione **Save changes (Guardar cambios)**.

### Uso de la API AWS KMS
<a name="deleting-keys-adding-permission-cli"></a>

Puede utilizar el AWS Command Line Interface para añadir permisos para programar y cancelar la eliminación de claves.

**Para agregar permiso para programar y cancelar la eliminación de claves**

1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) para recuperar la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.

1. Abra el documento de políticas en el editor de textos que prefiera. En la declaración de política para los administradores de claves, agregue los permisos `kms:ScheduleKeyDeletion` y `kms:CancelKeyDeletion`. El siguiente ejemplo muestra una declaración de política con estos dos permisos:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) para aplicar la política de claves a la clave KMS.

# Programar la eliminación de claves
<a name="deleting-keys-scheduling-key-deletion"></a>

Los siguientes procedimientos describen cómo programar la eliminación de claves y cancelar la eliminación de claves AWS KMS keys (claves de KMS) AWS KMS mediante la API Consola de administración de AWS y la AWS KMS API.

**aviso**  
La eliminación de una clave KMS es un proceso destructivo y potencialmente peligroso. Solo debe hacerlo si está seguro de que ya no necesitará la clave KMS y no tendrá que usarla en el futuro. Si no está seguro, debe [desactivar la clave KMS](enabling-keys.md) en lugar de eliminarla.

Para poder eliminar una clave KMS, debe disponer de permiso para hacerlo. Para obtener información sobre cómo conceder estos permisos a los administradores de claves, consulte [Control del acceso a la eliminación de claves](deleting-keys-adding-permission.md). También puede usar la clave de condición [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days) para restringir aún más el periodo de espera, por ejemplo, para imponer un periodo de espera mínimo.

AWS KMS registra una entrada en el AWS CloudTrail registro cuando se [programa la eliminación](ct-schedule-key-deletion.md) de la clave de KMS y cuando se [elimina realmente la clave de KMS](ct-delete-key.md).

## Uso de la AWS KMS consola
<a name="deleting-keys-scheduling-key-deletion-console"></a>

En la Consola de administración de AWS, puede programar y cancelar la eliminación de varias claves de KMS a la vez.

**Para programar la eliminación de claves**

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

   No puede programar la eliminación de [Claves administradas por AWS](concepts.md#aws-managed-key) o [Claves propiedad de AWS](concepts.md#aws-owned-key).

1. Seleccione la casilla de verificación situada junto a la clave de KMS que desea eliminar.

1. Elija **Key actions (Acciones de claves)**, **Schedule key deletion (Programar la eliminación de claves)**.

1. Lea y tenga en cuenta la advertencia y la información sobre la cancelación de la eliminación durante el período de espera. Si decide cancelar la eliminación, en la parte inferior de la página, elija **Cancel** (Cancelar).

1. En **Waiting period (in days) [Período de espera (en días)]**, indique un número de días entre 7 y 30. 

1. Revise las claves KMS que está eliminando.

1. Selecciona la casilla de verificación situada junto a **Confirma que deseas programar la eliminación de esta clave en *<number of days>* unos días**. .

1. Elija **Schedule deletion**.

El estado de clave KMS cambia a **Pending deletion** (Eliminación pendiente).

## Uso de la AWS KMS API
<a name="deleting-keys-scheduling-key-deletion-cli"></a>

Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html) para programar la eliminación de una [clave administrada por el cliente](concepts.md#customer-mgn-key), tal y como se muestra en el siguiente ejemplo.

No puede programar la eliminación de un Clave administrada de AWS o Clave propiedad de AWS.

```
$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10
```

Si se usa correctamente, AWS CLI devuelve un resultado como el que se muestra en el siguiente ejemplo:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}
```

# Cancelación de la eliminación de claves
<a name="deleting-keys-cancelling-key-deletion"></a>

Después de [programar la eliminación de una clave KMS](deleting-keys-scheduling-key-deletion.md), puede cancelar la eliminación de la clave mientras aún esté en estado [pendiente de eliminación](key-state.md). Puede cancelar la eliminación de claves en la AWS KMS consola o mediante la [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)operación. Tras cancelar la eliminación pendiente de una clave KMS, el estado de la clave KMS es `Disabled`. Para obtener más información sobre la habilitación de claves KMS, consulte [Habilitar y deshabilitar claves](enabling-keys.md).

## Uso de la AWS KMS consola
<a name="console-cancel-deletion"></a>

**Para cancelar la eliminación de claves**

1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Seleccione la casilla de verificación situada junto a la clave de KMS que desea recuperar.

1. Elija **Key actions (Acciones de claves)**, **Cancel key deletion (Cancelar eliminación de la clave)**.

El estado de clave KMS cambia de **Pending deletion** (Eliminación pendiente) a **Disabled** (Deshabilitado). Para utilizar la clave KMS, debe [habilitarla](enabling-keys.md).

## Uso de la API AWS KMS
<a name="cli-cancel-deletion"></a>

Utilice el [https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html)comando para cancelar la eliminación de claves del AWS CLI , como se muestra en el siguiente ejemplo.

```
$ aws kms cancel-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Si se utiliza correctamente, AWS CLI devuelve un resultado similar al que se muestra en el siguiente ejemplo:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
```

El estado de la clave KMS cambia de **Pending Deletion** (Eliminación pendiente) a **Disabled** (Deshabilitada). Para utilizar la clave de KMS, debe [habilitarla](enabling-keys.md).

# Creación de una alarma que detecte el uso de una eliminación pendiente de una clave KMS
<a name="deleting-keys-creating-cloudwatch-alarm"></a>

Puedes combinar las funciones de AWS CloudTrail Amazon CloudWatch Logs y Amazon Simple Notification Service (Amazon SNS) para crear una alarma de Amazon que te notifique cuando alguien de tu cuenta intente usar una clave de KMS que está pendiente de ser eliminada. CloudWatch Si recibe esta notificación, puede cancelar la eliminación de la clave KMS y reconsiderar su decisión de eliminarla.

Los siguientes procedimientos crean una alarma que le notifica cada vez que se escribe el mensaje de error `Key ARN is pending deletion` «» en sus CloudTrail archivos de registro. Este mensaje de error indica que una persona o aplicación ha intentado utilizar la clave KMS en una [operación criptográfica](kms-cryptography.md#cryptographic-operations). Debido a que la notificación está vinculada al mensaje de error, no se activa cuando se utilizan operaciones de las API permitidas en las clave KMS que están pendientes de eliminación, como por ejemplo `ListKeys`, `CancelKeyDeletion` y `PutKeyPolicy`. Para ver una lista de las operaciones de la AWS KMS API que devuelven este mensaje de error, consulte[Estados clave de AWS KMS las claves](key-state.md).

El correo electrónico de notificación que recibe no muestra la clave KMS o la operación criptográfica. Puede encontrar esa información en [su registro de CloudTrail](logging-using-cloudtrail.md). En lugar de ello, el correo electrónico informa de que el estado de la alarma ha cambiado de **OK (Correcto)** a **Alarm (Alarma)**. Para obtener más información sobre CloudWatch las alarmas y los cambios de estado, consulta [Uso de CloudWatch las alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.

**aviso**  
Esta CloudWatch alarma de Amazon no puede detectar el uso de la clave pública de una clave KMS asimétrica fuera de AWS KMS. Para obtener detalles acerca de los riesgos especiales de la eliminación de las claves KMS asimétricas utilizadas para la criptografía de clave pública, incluida la creación de textos cifrados que no se pueden descifrar, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).

En este procedimiento, se crea un filtro de métricas de grupos de CloudWatch registros que busca instancias de la excepción de eliminación pendiente. A continuación, crea una CloudWatch alarma basada en la métrica del grupo de registros. Para obtener información sobre los filtros de métricas de grupos de registros, consulte [Creación de métricas a partir de eventos de registro mediante filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) en la Guía del usuario de Amazon CloudWatch Logs.

1. Cree un filtro de CloudWatch métricas que analice los CloudTrail registros.

   Siga las instrucciones que se indican en [Crear un filtro de métricas para un grupo de registro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

1. Cree una CloudWatch alarma basada en el filtro de métricas que creó en el paso 1.

   Siga las instrucciones de [Crear una CloudWatch alarma basada en un filtro métrico de grupos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) utilizando los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

Después de completar este procedimiento, recibirá una notificación cada vez que su nueva CloudWatch alarma entre en estado. `ALARM` Si recibe una notificación para esta alarma, puede significar que todavía se necesita una eliminación programada para cifrar o descifrar datos. En ese caso, [cancele la eliminación de la clave KMS](deleting-keys-scheduling-key-deletion.md) y reconsidere su decisión de eliminarla.

# Determinación del uso anterior de una clave KMS
<a name="deleting-keys-determining-usage"></a>

Antes de eliminar una clave KMS, es posible que desee saber cuántos textos cifrados se cifraron con esa clave. AWS KMS no almacena esta información y no almacena ninguno de los textos cifrados. Saber cómo se ha usado una clave KMS anteriormente puede ayudarle a decidir si la necesitará en el futuro. En este tema se sugieren varias estrategias que pueden ayudarle a determinar el uso anterior de una clave KMS.

**aviso**  
Estas estrategias para determinar el uso pasado y real son efectivas solo para AWS los usuarios y AWS KMS las operaciones. No pueden detectar el uso de la clave pública de una clave KMS asimétrica fuera de AWS KMS. Para obtener detalles acerca de los riesgos especiales de la eliminación de las claves KMS asimétricas utilizadas para la criptografía de clave pública, incluida la creación de textos cifrados que no se pueden descifrar, consulte [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).

**Topics**
+ [Examen de los permisos de clave KMS para determinar el ámbito de uso potencial](#deleting-keys-usage-key-permissions)
+ [Examine AWS CloudTrail los registros para determinar el uso real](#deleting-keys-usage-cloudtrail)

## Examen de los permisos de clave KMS para determinar el ámbito de uso potencial
<a name="deleting-keys-usage-key-permissions"></a>

Determinar quién o qué tiene acceso actualmente a una clave KMS puede ayudarle a determinar el alcance de uso de la clave KMS y si sigue siendo necesaria. Para obtener información sobre cómo determinar quién o qué tiene acceso actualmente a una clave KMS, vaya a [Determinar el acceso a AWS KMS keys](determining-access.md).

## Examine AWS CloudTrail los registros para determinar el uso real
<a name="deleting-keys-usage-cloudtrail"></a>

Puede utilizar un historial de uso de claves KMS como ayuda para determinar si tiene textos cifrados en una clave KMS concreta. 

Toda la actividad de la AWS KMS API se registra en archivos de AWS CloudTrail registro. Si ha [creado un registro en CloudTrail la](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) región en la que se encuentra su clave de KMS, puede examinar los archivos de CloudTrail registro para ver un historial de toda la actividad de la AWS KMS API de una clave de KMS concreta. Si no tienes un registro, puedes ver los eventos recientes en tu [historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Para obtener más información sobre cómo se AWS KMS usa CloudTrail, consulte[Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md).

Los siguientes ejemplos muestran las entradas de CloudTrail registro que se generan cuando se utiliza una clave de KMS para proteger un objeto almacenado en Amazon Simple Storage Service (Amazon S3). En este ejemplo, el objeto se carga en Amazon S3 utilizando [Protección de datos mediante cifrado del lado del servidor con claves KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). Al cargar un objeto en Amazon S3 con SSE-KMS, especifique la clave KMS que se usará para proteger el objeto. Amazon S3 utiliza la AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación para solicitar una clave de datos única para el objeto, y este evento de solicitud se registra CloudTrail con una entrada similar a la siguiente:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Cuando descargue más adelante este objeto de Amazon S3, Amazon S3 enviará una `Decrypt` solicitud AWS KMS a para descifrar la clave de datos del objeto mediante la clave de KMS especificada. Al hacerlo, los archivos de CloudTrail registro incluyen una entrada similar a la siguiente:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Toda AWS KMS la actividad de la API la registra CloudTrail. Al evaluar estas entradas de registro, puede determinar el uso anterior de una determinada clave KMS y esto puede ayudarle a determinar si desea eliminarla.

Para ver más ejemplos de cómo aparece la actividad de la AWS KMS API en tus archivos de CloudTrail registro, visita[Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md). Para obtener más información, CloudTrail consulta la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

# Eliminación del material de claves importado
<a name="importing-keys-delete-key-material"></a>

Puede eliminar el material de claves importado desde una clave de KMS en cualquier momento. Además, cuando el material clave importado con fecha de caducidad caduca, lo AWS KMS elimina. En cualquier caso, cuando se elimina el material de claves, el [estado de la clave](key-state.md) de KMS cambia a *importación pendiente*, y la clave de KMS no puede utilizarse en ninguna operación criptográfica.

Las claves de cifrado simétricas pueden tener varios materiales clave asociados. Para estas claves, KMS asigna un identificador único a cada material de claves. Puede usar la [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API para ver estos identificadores del material clave y el estado del material clave correspondiente (consulte [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). El estado del material clave es igual `PENDING_ROTATION` o `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` indica que el material clave no está asociado permanentemente a la clave de KMS. Al eliminar o caducar cualquier material clave asociado de forma permanente, el estado de la clave pasa a *Pendiente de importación*. Para eliminar un material clave específico, especifique su identificador mediante el `key-material-id` parámetro de la [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API.

**Consideraciones sobre las claves multirregionales**
+ Al eliminar el material clave de una clave de región principal que esté en un `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` estado `PENDING_ROTATION` o estado, también eliminará los materiales clave de las claves de región réplicas.
+ Si elimina el material clave de una clave de región principal o de réplica, solo se verá afectada esa clave específica y las demás claves multirregionales relacionadas permanecerán inalteradas. Todas las claves de región principales o réplicas que tengan todos sus materiales clave asociados de forma permanente seguirán utilizándose en las operaciones criptográficas.

**aviso**  
El parámetro `key-material-id` es opcional y, si no lo especifica, AWS KMS eliminará el material de claves actual.

Además de deshabilitar la clave de KMS y retirar los permisos, la eliminación del material de claves se puede utilizar como estrategia para detener el uso de la clave de KMS de forma rápida, pero temporal. Por el contrario, si se programa la eliminación de una clave de KMS con material de claves importado, también se detiene rápidamente el uso de la clave de KMS. Sin embargo, si la eliminación no se cancela durante el periodo de espera, la clave de KMS, el material de claves asociados y todos los metadatos clave se eliminan de forma permanente. Para obtener más información, consulte [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

Para eliminar el material clave, puede utilizar la AWS KMS consola o la operación de la [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API. AWS KMS registra una entrada en su AWS CloudTrail registro cuando [elimina el material clave importado](ct-deleteimportedkeymaterial.md) y cuando [AWS KMS elimina el material clave caducado](ct-deleteexpiredkeymaterial.md).

**Cómo afecta AWS a los servicios la eliminación de material clave**  
Cuando se elimina el material de claves, la clave de KMS se vuelve inutilizable de forma inmediata (sujeto a posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a Servicios de AWS muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).

## Uso de la AWS KMS consola
<a name="importing-keys-delete-key-material-console"></a>

Puede utilizar la AWS KMS consola para eliminar material clave.

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Realice una de las siguientes acciones:
   + Seleccione la casilla de verificación de una clave KMS con material de claves importado. Elija **Key actions**, **Delete key material**. En el caso de las claves de cifrado simétricas que tienen varios materiales de claves asociados, se eliminará el material de claves actual. 
   + Para claves de KMS de cifrado simétrico con material de clave importado, elija el alias o el ID de clave de una clave de KMS. Seleccione la pestaña **Material y rotaciones de las claves**. La tabla de materiales de claves mostrará una lista de todos los materiales de claves asociados a la clave. Seleccione **Eliminar el material de claves** en el menú **Acciones** de la fila correspondiente al material de claves que desee eliminar.

1. Confirme que desea eliminar el material de claves y, a continuación, seleccione **Delete key material**. El estado de la clave KMS, que corresponde a su [estado de clave](key-state.md), cambia a **Pending import (Importación pendiente)**. Si el material de claves eliminado estaba en el estado `PENDING_ROTATION`, no habrá ningún cambio en el estado de la clave de KMS.

## Uso de la API AWS KMS
<a name="importing-keys-delete-key-material-api"></a>

Para usar la [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) para eliminar material clave, envía una [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)solicitud. El siguiente ejemplo muestra cómo hacerlo con la [AWS CLI](https://aws.amazon.com/cli/).

Sustituya `1234abcd-12ab-34cd-56ef-1234567890ab` por el ID de clave de la clave KMS cuyo material de claves desea eliminar. Puede usar el ID de clave o el ARN de la clave KMS, pero no puede usar un alias para esta operación. El siguiente comando elimina el material de claves actual, que puede ser el único material de claves asociado a la clave.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Para eliminar un material de claves específico, especifique el material de claves identificado mediante el parámetro `key-material-id`. Sustituya `123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0` por el ID del material de claves que desea eliminar.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0
```