Supprimer le matériel clé importé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Supprimer le matériel clé importé

Vous pouvez supprimer des éléments de clé importés d'une clé KMS à tout moment. De même, lorsque le matériel clé importé avec une date d'expiration expire, le AWS KMS matériel clé est supprimé. Dans les deux cas, lorsque le contenu clé est supprimé, l'état de la clé KMS passe à En attente d'importation, et la clé KMS ne peut être utilisée dans aucune opération cryptographique.

Les clés de chiffrement symétriques à région unique peuvent être associées à plusieurs éléments clés et la suppression ou l'expiration de tout élément clé dans un état autre que le fait passer l'état de PENDING_ROTATION la clé en attente d'importation. Pour ces clés, KMS attribue un identifiant unique à chaque élément clé. Vous pouvez utiliser l'ListKeyRotationsAPI pour consulter ces identificateurs de matériaux clés. Vous pouvez supprimer un élément clé spécifique en spécifiant son identifiant à l'aide du key-material-id paramètre de l'DeleteImportedKeyMaterialAPI.

Avertissement

Le key-material-id paramètre est facultatif et si vous ne le spécifiez pas, il AWS KMS supprimera le matériel clé actuel.

Outre la désactivation de la clé KMS et le retrait des autorisations, la suppression des éléments de clé peut être utilisée comme stratégie pour arrêter rapidement, mais temporairement, l'utilisation de la clé KMS. En revanche, la planification de la suppression d'une clé KMS avec un élément de clé importé arrête également rapidement l'utilisation de la clé KMS. Toutefois, si la suppression n'est pas annulée pendant la période d'attente, la clé KMS, les éléments clés associés et toutes les métadonnées clés sont définitivement supprimés. Pour en savoir plus, consultez Deleting KMS keys with imported key material.

Pour supprimer des éléments clés, vous pouvez utiliser la AWS KMS console ou l'opération DeleteImportedKeyMaterialAPI. AWS KMS enregistre une entrée dans votre AWS CloudTrail journal lorsque vous supprimez du matériel clé importé et lorsque vous AWS KMS supprimez du matériel clé expiré.

Comment la suppression de documents clés affecte les AWS services

Lorsque vous supprimez un élément clé, la clé KMS devient immédiatement inutilisable (sous réserve de cohérence éventuelle). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour en savoir plus, consultez Comment les clés KMS inutilisables affectent les clés de données.

Vous pouvez utiliser la AWS KMS console pour supprimer des éléments clés.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Effectuez l’une des actions suivantes :

    • Cochez la case correspondant à une clé KMS avec les éléments de clé importés. Choisissez Key actions, Delete key material. Pour les clés de chiffrement symétriques associées à plusieurs éléments clés, cela supprimera le contenu clé actuel.

    • Pour les clés KMS de chiffrement symétrique à région unique avec du matériel clé importé, choisissez l'alias ou l'ID de clé d'une clé KMS. Choisissez l'onglet Matériau clé et rotations. Le tableau des matériaux clés répertorie tous les matériaux clés associés à la clé. Choisissez Supprimer le matériel clé dans le menu Actions sur la ligne correspondant au matériau clé que vous souhaitez supprimer.

  5. Confirmez que vous souhaitez supprimer les éléments de clé, puis choisissez Delete key material. Le statut de la clé KMS, qui correspond à son état de clé, passe à Pending import (En attente d'importation). Si le contenu clé supprimé était en bon PENDING_ROTATION état, le statut de la clé KMS n'est pas modifié.

Pour utiliser l'AWS KMS API afin de supprimer du contenu clé, envoyez une DeleteImportedKeyMaterialdemande. L'exemple suivant montre comment procéder avec l'interface AWS CLI.

Remplacez 1234abcd-12ab-34cd-56ef-1234567890ab par l'ID de clé de la clé KMS dont vous souhaitez supprimer les éléments de clé. Vous pouvez utiliser l'ID de clé ou le nom ARN de la clé KMS, mais vous ne pouvez pas utiliser un alias pour cette opération. La commande suivante supprime le matériau clé actuel qui peut être le seul élément clé associé à la clé.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Pour supprimer un matériau clé spécifique, spécifiez le matériau clé identifié à l'aide du key-material-id paramètre. 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0Remplacez-le par l'identifiant du matériel clé que vous souhaitez supprimer.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0