Eliminación del material de claves importado - AWS Key Management Service

Eliminación del material de claves importado

Puede eliminar el material de claves importado desde una clave de KMS en cualquier momento. Además, cuando vence el material de clave importado con fecha de vencimiento, AWS KMS elimina el material de clave. En cualquier caso, cuando se elimina el material de claves, el estado de la clave de KMS cambia a importación pendiente, y la clave de KMS no puede utilizarse en ninguna operación criptográfica.

Las claves de cifrado simétricas de una sola región pueden tener varios materiales de claves asociados y la eliminación o caducidad de cualquier material de claves en un estado que no sea PENDING_ROTATION cambia el estado de la clave a Pendiente de importación. Para estas claves, KMS asigna un identificador único a cada material de claves. Puede usar la API ListKeyRotations para ver estos identificadores de material de claves. Para eliminar un material de claves específico, especifique su identificador mediante el parámetro key-material-id de la API DeleteImportedKeyMaterial.

aviso

El parámetro key-material-id es opcional y, si no lo especifica, AWS KMS eliminará el material de claves actual.

Además de deshabilitar la clave de KMS y retirar los permisos, la eliminación del material de claves se puede utilizar como estrategia para detener el uso de la clave de KMS de forma rápida, pero temporal. Por el contrario, si se programa la eliminación de una clave de KMS con material de claves importado, también se detiene rápidamente el uso de la clave de KMS. Sin embargo, si la eliminación no se cancela durante el periodo de espera, la clave de KMS, el material de claves asociados y todos los metadatos clave se eliminan de forma permanente. Para obtener más información, consulte Deleting KMS keys with imported key material.

Para eliminar el material de claves, puede utilizar la consola de AWS KMS o la operación de API DeleteImportedKeyMaterial. AWS KMS registra una entrada en su registro AWS CloudTrail cuando elimina el material de claves importado y cuando AWS KMS elimina el material de claves vencido.

Cómo afecta la eliminación del material de claves a los servicios de AWS

Cuando se elimina el material de claves, la clave de KMS se vuelve inutilizable de forma inmediata (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Puede usar la consola de AWS KMS para eliminar el material de claves.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Realice una de las siguientes acciones:

    • Seleccione la casilla de verificación de una clave KMS con material de claves importado. Elija Key actions, Delete key material. En el caso de las claves de cifrado simétricas que tienen varios materiales de claves asociados, se eliminará el material de claves actual.

    • Para claves de KMS de cifrado simétrico de una sola región con material de claves importado, elija el alias o el ID de clave de una clave de KMS. Seleccione la pestaña Material y rotaciones de las claves. La tabla de materiales de claves mostrará una lista de todos los materiales de claves asociados a la clave. Seleccione Eliminar el material de claves en el menú Acciones de la fila correspondiente al material de claves que desee eliminar.

  5. Confirme que desea eliminar el material de claves y, a continuación, seleccione Delete key material. El estado de la clave KMS, que corresponde a su estado de clave, cambia a Pending import (Importación pendiente). Si el material de claves eliminado estaba en el estado PENDING_ROTATION, no habrá ningún cambio en el estado de la clave de KMS.

Para utilizar la API de AWS KMS para eliminar el material de claves, envíe una solicitud DeleteImportedKeyMaterial. El siguiente ejemplo muestra cómo hacerlo con la AWS CLI.

Sustituya 1234abcd-12ab-34cd-56ef-1234567890ab por el ID de clave de la clave KMS cuyo material de claves desea eliminar. Puede usar el ID de clave o el ARN de la clave KMS, pero no puede usar un alias para esta operación. El siguiente comando elimina el material de claves actual, que puede ser el único material de claves asociado a la clave.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Para eliminar un material de claves específico, especifique el material de claves identificado mediante el parámetro key-material-id. Sustituya 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0 por el ID del material de claves que desea eliminar.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0