Eliminación del material de claves importado - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminación del material de claves importado

Puede eliminar el material de claves importado desde una clave de KMS en cualquier momento. Además, cuando el material clave importado con fecha de caducidad caduca, lo AWS KMS elimina. En cualquier caso, cuando se elimina el material clave, el estado de la clave de KMS cambia a Pendiente de importación y la clave de KMS no se puede utilizar en ninguna operación criptográfica.

Las claves de cifrado simétricas de una sola región pueden tener varios materiales clave asociados y, al eliminar o caducar cualquier material clave que se encuentre en un estado distinto, el estado de la clave no PENDING_ROTATION cambia el estado de la clave a Pendiente de importación. Para estas claves, KMS asigna un identificador único a cada material clave. Puede usar la ListKeyRotationsAPI para ver estos identificadores de material clave. Puedes eliminar un material clave específico especificando su identificador mediante el key-material-id parámetro de la DeleteImportedKeyMaterialAPI.

aviso

El key-material-id parámetro es opcional y, si no lo especifica, AWS KMS eliminará el material clave actual.

Además de deshabilitar la clave de KMS y retirar los permisos, la eliminación del material de claves se puede utilizar como estrategia para detener el uso de la clave de KMS de forma rápida, pero temporal. Por el contrario, si se programa la eliminación de una clave de KMS con material de claves importado, también se detiene rápidamente el uso de la clave de KMS. Sin embargo, si la eliminación no se cancela durante el período de espera, la clave de KMS, los materiales clave asociados y todos los metadatos clave se eliminan de forma permanente. Para obtener más información, consulte Deleting KMS keys with imported key material.

Para eliminar el material clave, puede utilizar la AWS KMS consola o la operación de la DeleteImportedKeyMaterialAPI. AWS KMS registra una entrada en su AWS CloudTrail registro cuando elimina el material clave importado y cuando AWS KMS elimina el material clave caducado.

Cómo afecta AWS a los servicios la eliminación de material clave

Al eliminar cualquier material clave, la clave de KMS queda inutilizable de inmediato (sujeto a una posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Puede utilizar la AWS KMS consola para eliminar material clave.

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Realice una de las siguientes acciones:

    • Seleccione la casilla de verificación de una clave KMS con material de claves importado. Elija Key actions, Delete key material. En el caso de las claves de cifrado simétricas que tienen varios materiales clave asociados, se eliminará el material clave actual.

    • Para las claves KMS de cifrado simétrico de una sola región con material de clave importado, elija el alias o el ID de clave de una clave de KMS. Seleccione la pestaña Material clave y rotaciones. La tabla de materiales clave mostrará una lista de todos los materiales clave asociados a la clave. Seleccione Eliminar el material clave en el menú Acciones de la fila correspondiente al material clave que desee eliminar.

  5. Confirme que desea eliminar el material de claves y, a continuación, seleccione Delete key material. El estado de la clave KMS, que corresponde a su estado de clave, cambia a Pending import (Importación pendiente). Si el material clave eliminado estaba en ese PENDING_ROTATION estado, no habrá ningún cambio en el estado de la clave KMS.

Para usar la AWS KMS API para eliminar material clave, envía una DeleteImportedKeyMaterialsolicitud. El siguiente ejemplo muestra cómo hacerlo con la AWS CLI.

Sustituya 1234abcd-12ab-34cd-56ef-1234567890ab por el ID de clave de la clave KMS cuyo material de claves desea eliminar. Puede usar el ID de clave o el ARN de la clave KMS, pero no puede usar un alias para esta operación. El siguiente comando elimina el material clave actual, que puede ser el único material clave asociado a la clave.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Para eliminar un material clave específico, especifique el material clave identificado mediante el key-material-id parámetro. 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0Sustitúyalo por el identificador del material clave que desee eliminar.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0