Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menghapus sebuah AWS KMS key
<a name="deleting-keys"></a>

Menghapus sebuah AWS KMS key adalah destruktif dan berpotensi berbahaya. Ini menghapus materi kunci dan semua metadata yang terkait dengan kunci KMS dan tidak dapat diubah. Setelah kunci KMS dihapus, Anda tidak dapat lagi mendekripsi data yang dienkripsi di bawah kunci KMS itu, yang berarti bahwa data menjadi tidak dapat dipulihkan. (Satu-satunya pengecualian adalah kunci [replika multi-wilayah dan kunci](#deleting-mrks) KMS asimetris dan HMAC dengan bahan kunci yang diimpor.) Risiko ini signifikan untuk [kunci KMS asimetris yang digunakan untuk enkripsi](#deleting-asymmetric-cmks) di mana, tanpa peringatan atau kesalahan, pengguna dapat terus menghasilkan ciphertext dengan kunci publik yang tidak dapat didekripsi setelah kunci pribadi dihapus. AWS KMS

Anda harus menghapus kunci KMS hanya ketika Anda yakin bahwa Anda tidak perlu menggunakannya lagi. Jika Anda tidak yakin, pertimbangkan untuk [menonaktifkan kunci KMS alih-alih menghapusnya](enabling-keys.md). Anda dapat mengaktifkan kembali kunci KMS yang dinonaktifkan dan [membatalkan penghapusan kunci KMS yang dijadwalkan](deleting-keys-scheduling-key-deletion.md), tetapi Anda tidak dapat memulihkan kunci KMS yang dihapus.

Anda hanya dapat menjadwalkan penghapusan kunci yang dikelola pelanggan. Anda tidak dapat menghapus Kunci yang dikelola AWS atau Kunci milik AWS.

Sebelum menghapus kunci KMS, Anda mungkin ingin tahu berapa banyak ciphertext yang dienkripsi di bawah kunci KMS itu. AWS KMS tidak menyimpan informasi ini dan tidak menyimpan ciphertext apa pun. Untuk mendapatkan informasi ini, Anda harus menentukan penggunaan kunci KMS di masa lalu. Untuk bantuan, pergi ke[Menentukan penggunaan sebelumnya dari kunci KMS](deleting-keys-determining-usage.md).

AWS KMS tidak pernah menghapus kunci KMS Anda kecuali Anda secara eksplisit menjadwalkannya untuk dihapus dan masa tunggu wajib berakhir.

Namun, Anda dapat memilih untuk menghapus kunci KMS karena satu atau beberapa alasan berikut:
+ Untuk menyelesaikan siklus hidup kunci untuk kunci KMS yang tidak lagi Anda perlukan
+ Untuk menghindari overhead manajemen dan [biaya](https://aws.amazon.com/kms/pricing/) yang terkait dengan pemeliharaan kunci KMS yang tidak digunakan
+ Untuk mengurangi jumlah kunci KMS yang dihitung terhadap kuota sumber daya [kunci KMS](resource-limits.md#kms-keys-limit)

**catatan**  
Jika [Anda menutup Akun AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html), kunci KMS Anda menjadi tidak dapat diakses dan Anda tidak lagi ditagih untuk itu. 

AWS KMS mencatat entri di AWS CloudTrail log Anda ketika Anda [menjadwalkan penghapusan](ct-schedule-key-deletion.md) kunci KMS dan ketika kunci [KMS benar-benar](ct-delete-key.md) dihapus. 

## Tentang masa tunggu
<a name="deleting-keys-how-it-works"></a>

Karena merusak dan berpotensi berbahaya untuk menghapus kunci KMS, AWS KMS mengharuskan Anda untuk menetapkan masa tunggu 7 - 30 hari. Masa tunggu default adalah 30 hari.

Namun, masa tunggu sebenarnya mungkin hingga 24 jam lebih lama dari yang Anda jadwalkan. Untuk mendapatkan tanggal dan waktu aktual ketika kunci KMS akan dihapus, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi. Atau di AWS KMS konsol, pada [halaman detail](finding-keys.md#viewing-console-details) untuk kunci KMS, di bagian **Konfigurasi umum**, lihat Tanggal **penghapusan terjadwal**. Pastikan untuk mencatat zona waktu.

Selama masa tunggu, status kunci KMS dan status kunci adalah **Penghapusan tertunda**.
+ [Penghapusan kunci KMS yang tertunda tidak dapat digunakan dalam operasi kriptografi apa pun.](kms-cryptography.md#cryptographic-operations) 
+ AWS KMS tidak [memutar bahan kunci kunci](rotate-keys.md#rotate-keys-how-it-works) KMS yang sedang menunggu penghapusan.

Setelah masa tunggu berakhir, AWS KMS hapus kunci KMS, aliasnya, dan semua metadata terkait. AWS KMS 

Penjadwalan penghapusan kunci KMS mungkin tidak langsung mempengaruhi kunci data yang dienkripsi oleh kunci KMS. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

Gunakan masa tunggu untuk memastikan bahwa Anda tidak memerlukan kunci KMS sekarang atau di masa depan. Anda dapat [mengonfigurasi CloudWatch alarm Amazon](deleting-keys-creating-cloudwatch-alarm.md) untuk memperingatkan Anda jika seseorang atau aplikasi mencoba menggunakan kunci KMS selama masa tunggu. Untuk memulihkan kunci KMS, Anda dapat membatalkan penghapusan kunci sebelum masa tunggu berakhir. Setelah masa tunggu berakhir, Anda tidak dapat membatalkan penghapusan kunci, dan AWS KMS menghapus kunci KMS.

## Pertimbangan khusus
<a name="special-considerations-delete"></a>

Sebelum Anda menjadwalkan kunci Anda untuk dihapus, tinjau pertimbangan khusus berikut untuk menghapus kunci KMS tujuan khusus.

**Menghapus tombol KMS asimetris**  
Pengguna [yang berwenang](deleting-keys-adding-permission.md) dapat menghapus kunci KMS simetris atau asimetris. Prosedur untuk menjadwalkan penghapusan kunci KMS ini sama untuk kedua jenis kunci. Namun, karena [kunci publik dari kunci KMS asimetris dapat diunduh](download-public-key.md) dan digunakan di luar, operasi menimbulkan risiko tambahan yang signifikan AWS KMS, terutama untuk kunci KMS asimetris yang digunakan untuk enkripsi (penggunaan kuncinya adalah). `ENCRYPT_DECRYPT`  
+ [Saat Anda menjadwalkan penghapusan kunci KMS, status kunci kunci KMS berubah menjadi **penghapusan Tertunda**, dan kunci KMS tidak dapat digunakan dalam operasi kriptografi.](kms-cryptography.md#cryptographic-operations) Namun, penghapusan penjadwalan tidak berpengaruh pada kunci publik di luar. AWS KMS Pengguna yang memiliki kunci publik dapat terus menggunakannya untuk mengenkripsi pesan. Mereka tidak menerima notifikasi bahwa status kunci berubah. Kecuali penghapusan dibatalkan, ciphertext yang dibuat dengan kunci publik tidak dapat didekripsi.
+ Alarm, log, dan strategi lain yang mendeteksi upaya penggunaan kunci KMS yang tertunda penghapusan tidak dapat mendeteksi penggunaan kunci publik di luar. AWS KMS
+ Ketika kunci KMS dihapus, semua AWS KMS tindakan yang melibatkan kunci KMS gagal. Namun, pengguna yang memiliki kunci publik dapat terus menggunakannya untuk mengenkripsi pesan. Ciphertext ini tidak dapat didekripsi.
Jika Anda harus menghapus kunci KMS asimetris dengan penggunaan kunci`ENCRYPT_DECRYPT`, gunakan entri CloudTrail Log Anda untuk menentukan apakah kunci publik telah diunduh dan dibagikan. Jika memiliki, lakukan verifikasi bahwa kunci publik tidak sedang digunakan di luar AWS KMS. Kemudian, pertimbangkan untuk [menonaktifkan kunci KMS alih-alih menghapusnya](enabling-keys.md).  
Risiko yang ditimbulkan dengan menghapus kunci KMS asimetris dikurangi untuk kunci KMS asimetris dengan bahan kunci yang diimpor. Lihat perinciannya di [Deleting KMS keys with imported key material](#import-delete-key).

**Menghapus tombol Multi-region**  
Untuk menghapus kunci utama, Anda harus menjadwalkan penghapusan semua kunci replika, dan kemudian menunggu kunci replika dihapus. Masa tunggu yang diperlukan untuk menghapus kunci primer dimulai ketika kunci replika terakhirnya dihapus. Jika Anda harus menghapus kunci utama dari Wilayah tertentu tanpa menghapus kunci replika, ubah kunci utama menjadi kunci replika dengan [memperbarui Wilayah utama](multi-region-update.md).  
Anda dapat menghapus kunci replika kapan saja. Itu tidak tergantung pada status kunci dari kunci KMS lainnya. Jika Anda salah menghapus kunci replika, Anda dapat membuatnya kembali dengan mereplikasi kunci utama yang sama di Wilayah yang sama. Kunci replika baru yang Anda buat akan memiliki [properti bersama](multi-region-keys-overview.md#mrk-sync-properties) yang sama dengan kunci replika asli.

**Menghapus kunci KMS dengan bahan kunci yang diimpor**  
Menghapus bahan kunci kunci KMS dengan bahan kunci impor bersifat sementara dan dapat dibalik. Untuk mengembalikan kunci, impor kembali materi utamanya.  
Sebaliknya, menghapus kunci KMS tidak dapat diubah. Jika Anda [menjadwalkan penghapusan kunci](#deleting-keys-how-it-works) dan masa tunggu yang diperlukan berakhir, AWS KMS secara permanen dan permanen menghapus kunci KMS, materi utamanya, dan semua metadata yang terkait dengan kunci KMS.   
Namun, risiko dan konsekuensi dari menghapus kunci KMS dengan bahan kunci yang diimpor tergantung pada jenis (“spesifikasi kunci”) dari kunci KMS.  
+ Kunci enkripsi simetris — Jika Anda menghapus kunci KMS enkripsi simetris, semua ciphertext yang tersisa yang dienkripsi oleh kunci tersebut tidak dapat dipulihkan. Anda tidak dapat membuat kunci KMS enkripsi simetris baru yang dapat mendekripsi ciphertext dari kunci KMS enkripsi simetris yang dihapus, bahkan jika Anda memiliki materi kunci yang sama. Metadata unik untuk setiap kunci KMS terikat secara kriptografis ke setiap ciphertext simetris. Fitur keamanan ini menjamin bahwa hanya kunci KMS yang mengenkripsi ciphertext simetris yang dapat mendekripsi, tetapi mencegah Anda membuat ulang kunci KMS yang setara.
+ Kunci asimetris dan HMAC — Jika Anda memiliki materi kunci asli, Anda dapat membuat kunci KMS baru dengan properti kriptografi yang sama dengan kunci KMS asimetris atau HMAC yang telah dihapus. AWS KMS menghasilkan ciphertext dan tanda tangan RSA standar, tanda tangan ECC, dan tag HMAC, yang tidak menyertakan fitur keamanan unik apa pun. Selain itu, Anda dapat menggunakan kunci HMAC atau kunci pribadi dari asymmetric key pair di luar. AWS

  Kunci KMS baru yang Anda buat dengan bahan kunci asimetris atau HMAC yang sama akan memiliki pengenal kunci yang berbeda. Anda harus membuat kebijakan kunci baru, membuat ulang alias apa pun, dan memperbarui kebijakan dan hibah IAM yang ada untuk merujuk ke kunci baru. 

**Menghapus kunci KMS dari toko kunci AWS CloudHSM **  
**Saat Anda menjadwalkan penghapusan kunci KMS dari toko kunci, [status AWS CloudHSM](key-state.md) kuncinya berubah menjadi penghapusan Tertunda.** Kunci KMS tetap dalam status **penghapusan Tertunda** selama masa tunggu, bahkan jika kunci KMS menjadi tidak tersedia karena Anda telah [memutuskan](disconnect-keystore.md) penyimpanan kunci kustom. Ini memungkinkan Anda untuk membatalkan penghapusan kunci KMS kapan saja selama masa tunggu.  
Ketika masa tunggu berakhir, AWS KMS hapus kunci KMS dari. AWS KMS Kemudian AWS KMS lakukan upaya terbaik untuk menghapus materi kunci dari AWS CloudHSM cluster terkait. Jika AWS KMS tidak dapat menghapus material kunci, seperti ketika penyimpanan kunci terputus dari AWS KMS, Anda mungkin harus secara manual [menghapus material kunci orphaned](fix-keystore.md#fix-keystore-orphaned-key) dari klaster.   
AWS KMS tidak menghapus materi kunci dari cadangan cluster. Bahkan jika Anda menghapus kunci KMS dari AWS KMS dan menghapus materi kuncinya dari AWS CloudHSM klaster Anda, cluster yang dibuat dari cadangan mungkin berisi materi kunci yang dihapus. Untuk menghapus materi kunci secara permanen, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi untuk mengidentifikasi tanggal pembuatan kunci KMS. Kemudian [hapus semua klaster pencadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html) yang mungkin berisi material kunci.   
Ketika Anda menjadwalkan penghapusan kunci KMS dari toko kunci, AWS CloudHSM kunci KMS menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

**Menghapus kunci KMS dari toko kunci eksternal**  
Menghapus kunci KMS dari penyimpanan kunci eksternal tidak berpengaruh pada [kunci eksternal](keystore-external.md#concept-external-key) yang berfungsi sebagai bahan utamanya.  
**Saat Anda menjadwalkan penghapusan kunci KMS dari penyimpanan kunci eksternal, [status](key-state.md) kuncinya berubah menjadi penghapusan Tertunda.** Kunci KMS tetap dalam status **penghapusan Tertunda** selama periode tunggu, bahkan jika kunci KMS menjadi tidak tersedia karena Anda telah [memutuskan](xks-connect-disconnect.md) penyimpanan kunci eksternal. Ini memungkinkan Anda untuk membatalkan penghapusan kunci KMS kapan saja selama masa tunggu. Ketika masa tunggu berakhir, AWS KMS hapus kunci KMS dari. AWS KMS  
Ketika Anda menjadwalkan penghapusan kunci KMS dari penyimpanan kunci eksternal, kunci KMS menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md). 

# Kontrol akses ke penghapusan kunci
<a name="deleting-keys-adding-permission"></a>

Jika Anda menggunakan kebijakan IAM untuk mengizinkan AWS KMS izin, identitas IAM yang memiliki akses AWS administrator (`"Action": "*"`) atau akses AWS KMS penuh () sudah diizinkan untuk menjadwalkan dan membatalkan kunci penghapusan kunci KMS. `"Action": "kms:*"` Untuk mengizinkan administrator kunci menjadwalkan dan membatalkan penghapusan kunci dalam kebijakan kunci, gunakan AWS KMS konsol atau API. AWS KMS 

Biasanya, hanya administrator kunci yang memiliki izin untuk menjadwalkan atau membatalkan penghapusan kunci. Namun, Anda dapat memberikan izin ini ke identitas IAM lainnya dengan menambahkan `kms:CancelKeyDeletion` izin `kms:ScheduleKeyDeletion` dan ke kebijakan kunci atau kebijakan IAM. Anda juga dapat menggunakan kunci [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)kondisi untuk lebih membatasi nilai yang dapat ditentukan oleh prinsipal dalam `PendingWindowInDays` parameter permintaan. [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)

## Izinkan administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci
<a name="allow-key-deletion"></a>

### Menggunakan AWS KMS konsol
<a name="deleting-keys-adding-permission-console"></a>

Untuk memberikan izin kepada administrator kunci untuk menjadwalkan dan membatalkan penghapusan kunci.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih alias atau ID kunci kunci KMS yang izinnya ingin Anda ubah.

1. Pilih tab **kebijakan kunci**.

1. Langkah selanjutnya berbeda untuk *tampilan default* dan *tampilan kebijakan kebijakan* utama Anda. Tampilan default hanya tersedia jika Anda menggunakan kebijakan kunci konsol default. Jika tidak, hanya tampilan kebijakan yang tersedia.

   Jika tampilan default tersedia, **tombol Beralih ke tampilan kebijakan** atau **Beralih ke tampilan default** akan muncul di tab **Kebijakan kunci**.
   + Dalam tampilan default:

     1. Di bawah **Penghapusan kunci**, pilih **Izinkan administrator kunci untuk menghapus** kunci ini.
   + Dalam tampilan kebijakan:

     1. Pilih **Edit**.

     1. Dalam pernyataan kebijakan untuk administrator kunci, tambahkan `kms:CancelKeyDeletion` izin `kms:ScheduleKeyDeletion` dan ke elemen. `Action`

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Pilih **Simpan perubahan**.

### Menggunakan AWS KMS API
<a name="deleting-keys-adding-permission-cli"></a>

Anda dapat menggunakan AWS Command Line Interface untuk menambahkan izin untuk penjadwalan dan pembatalan penghapusan kunci.

**Guna menambahkan izin untuk menjadwalkan dan membatalkan penghapusan kunci**

1. Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) untuk mengambil kebijakan kunci yang sudah ada, lalu simpan dokumen kebijakan ke sebuah file.

1. Buka dokumen kebijakan di editor teks pilihan Anda. Dalam pernyataan kebijakan untuk administrator kunci, tambahkan `kms:ScheduleKeyDeletion` dan `kms:CancelKeyDeletion` izin. Contoh berikut menunjukkan pernyataan kebijakan dengan dua izin ini:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)perintah untuk menerapkan kebijakan kunci ke tombol KMS.

# Jadwalkan penghapusan kunci
<a name="deleting-keys-scheduling-key-deletion"></a>

Prosedur berikut menjelaskan cara menjadwalkan penghapusan kunci dan membatalkan penghapusan kunci AWS KMS keys (kunci KMS) dalam AWS KMS menggunakan dan API. Konsol Manajemen AWS AWS KMS 

**Awas**  
Menghapus kunci KMS bersifat merusak dan berpotensi berbahaya. Anda harus melanjutkan hanya ketika Anda yakin bahwa Anda tidak perlu menggunakan kunci KMS lagi dan tidak perlu menggunakannya di masa depan. Jika Anda tidak yakin, Anda harus [menonaktifkan kunci KMS](enabling-keys.md) alih-alih menghapusnya.

Sebelum Anda dapat menghapus kunci KMS, Anda harus memiliki izin untuk melakukannya. Untuk informasi tentang memberikan izin ini kepada administrator utama, lihat. [Kontrol akses ke penghapusan kunci](deleting-keys-adding-permission.md) Anda juga dapat menggunakan kunci [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)kondisi untuk lebih membatasi masa tunggu, seperti menegakkan masa tunggu minimum.

AWS KMS mencatat entri di AWS CloudTrail log Anda ketika Anda [menjadwalkan penghapusan](ct-schedule-key-deletion.md) kunci KMS dan ketika kunci [KMS benar-benar](ct-delete-key.md) dihapus.

## Menggunakan AWS KMS konsol
<a name="deleting-keys-scheduling-key-deletion-console"></a>

Di Konsol Manajemen AWS, Anda dapat menjadwalkan dan membatalkan penghapusan beberapa kunci KMS sekaligus.

**Untuk menjadwalkan penghapusan kunci**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

   Anda tidak dapat menjadwalkan penghapusan atau. [Kunci yang dikelola AWS[Kunci milik AWS](concepts.md#aws-owned-key)](concepts.md#aws-managed-key)

1. Pilih kotak centang di sebelah tombol KMS yang ingin Anda hapus.

1. Pilih **Tindakan kunci**, **Jadwalkan penghapusan kunci**.

1. Baca dan pertimbangkan peringatan, dan informasi tentang membatalkan penghapusan selama masa tunggu. Jika Anda memutuskan untuk membatalkan penghapusan, di bagian bawah halaman, pilih **Batalkan**.

1. Untuk **Masa tunggu (dalam hari)**, masukkan beberapa hari antara 7 dan 30. 

1. Tinjau kunci KMS yang Anda hapus.

1. Pilih kotak centang di samping **Konfirmasi bahwa Anda ingin menjadwalkan kunci ini untuk dihapus dalam *<number of days>*** beberapa hari. .

1. Pilih **Jadwalkan penghapusan**.

Status kunci KMS berubah menjadi **penghapusan Tertunda**.

## Menggunakan AWS KMS API
<a name="deleting-keys-scheduling-key-deletion-cli"></a>

Gunakan [https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html)perintah untuk menjadwalkan penghapusan kunci dari [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key), seperti yang ditunjukkan pada contoh berikut.

Anda tidak dapat menjadwalkan penghapusan atau Kunci yang dikelola AWS . Kunci milik AWS

```
$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10
```

Ketika berhasil digunakan, AWS CLI mengembalikan output seperti output yang ditunjukkan dalam contoh berikut:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}
```

# Batalkan penghapusan kunci
<a name="deleting-keys-cancelling-key-deletion"></a>

[Setelah Anda [menjadwalkan kunci KMS untuk dihapus](deleting-keys-scheduling-key-deletion.md), Anda dapat membatalkan penghapusan kunci saat masih dalam status penghapusan tertunda.](key-state.md) Anda dapat membatalkan penghapusan kunci di AWS KMS konsol atau dengan menggunakan operasi. [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html) Setelah Anda membatalkan penghapusan kunci KMS yang tertunda, status kunci dari kunci KMS adalah. `Disabled` Untuk informasi selengkapnya tentang mengaktifkan kunci KMS, lihat. [Aktifkan dan nonaktifkan kunci](enabling-keys.md)

## Menggunakan AWS KMS konsol
<a name="console-cancel-deletion"></a>

**Untuk membatalkan penghapusan kunci**

1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Pilih kotak centang di sebelah tombol KMS yang ingin Anda pulihkan.

1. Pilih **Tindakan kunci**,**Batalkan penghapusan kunci**.

**Status kunci KMS berubah dari **penghapusan Tertunda** ke Dinonaktifkan.** Untuk menggunakan kunci KMS, Anda harus [mengaktifkannya](enabling-keys.md).

## Menggunakan AWS KMS API
<a name="cli-cancel-deletion"></a>

Gunakan [https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html)perintah untuk membatalkan penghapusan kunci dari AWS CLI seperti yang ditunjukkan pada contoh berikut.

```
$ aws kms cancel-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Ketika berhasil digunakan, AWS CLI mengembalikan output seperti output yang ditunjukkan dalam contoh berikut:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
```

**Status kunci KMS berubah dari **Penghapusan Tertunda** ke Dinonaktifkan.** Untuk menggunakan kunci KMS, Anda harus [mengaktifkannya](enabling-keys.md).

# Buat alarm yang mendeteksi penggunaan kunci KMS tertunda penghapusan
<a name="deleting-keys-creating-cloudwatch-alarm"></a>

Anda dapat menggabungkan fitur AWS CloudTrail, Amazon CloudWatch Logs, dan Amazon Simple Notification Service (Amazon SNS) untuk membuat alarm CloudWatch Amazon yang memberi tahu Anda ketika seseorang di akun Anda mencoba menggunakan kunci KMS yang sedang menunggu penghapusan. Jika Anda menerima pemberitahuan ini, Anda mungkin ingin membatalkan penghapusan kunci KMS dan mempertimbangkan kembali keputusan Anda untuk menghapusnya.

Prosedur berikut membuat alarm yang memberi tahu Anda setiap kali pesan kesalahan `Key ARN is pending deletion` "" ditulis ke file CloudTrail log Anda. Pesan kesalahan ini menunjukkan bahwa seseorang atau aplikasi mencoba menggunakan kunci KMS dalam operasi [kriptografi](kms-cryptography.md#cryptographic-operations). Karena notifikasi ditautkan ke pesan kesalahan, notifikasi tidak dipicu saat Anda menggunakan operasi API yang diizinkan pada kunci KMS yang menunggu penghapusan, seperti`ListKeys`,, dan. `CancelKeyDeletion` `PutKeyPolicy` Untuk melihat daftar operasi AWS KMS API yang menampilkan pesan galat ini, lihat[Status AWS KMS kunci kunci](key-state.md).

Email notifikasi yang Anda terima tidak mencantumkan kunci KMS atau operasi kriptografi. Anda dapat menemukan informasi itu di [ CloudTraillog Anda](logging-using-cloudtrail.md). Sebaliknya, email melaporkan bahwa status alarm berubah dari **OKE** ke **Alarm**. Untuk informasi selengkapnya tentang CloudWatch alarm dan perubahan status, lihat [Menggunakan CloudWatch alarm Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) di * CloudWatch Panduan Pengguna Amazon*.

**Awas**  
 CloudWatch Alarm Amazon ini tidak dapat mendeteksi penggunaan kunci publik dari kunci KMS asimetris di luar. AWS KMS Untuk detail tentang risiko khusus menghapus kunci KMS asimetris yang digunakan untuk kriptografi kunci publik, termasuk membuat ciphertext yang tidak dapat didekripsi, lihat. [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)

Dalam prosedur ini, Anda membuat filter metrik grup CloudWatch log yang menemukan contoh pengecualian penghapusan tertunda. Kemudian, Anda membuat CloudWatch alarm berdasarkan metrik grup log. Untuk informasi tentang filter metrik grup log, lihat [Membuat metrik dari peristiwa log menggunakan filter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) di Panduan Pengguna CloudWatch Log Amazon.

1. Buat filter CloudWatch metrik yang mem-parsing CloudTrail log.

   Ikuti petunjuk di [Buat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

1. Buat CloudWatch alarm berdasarkan filter metrik yang Anda buat di Langkah 1.

   Ikuti petunjuk di [Buat CloudWatch alarm berdasarkan filter metrik grup log menggunakan nilai](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) yang diperlukan berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

Setelah Anda menyelesaikan prosedur ini, Anda akan menerima pemberitahuan setiap kali CloudWatch alarm baru Anda memasuki `ALARM` status. Jika Anda menerima pemberitahuan untuk alarm ini, itu mungkin berarti bahwa kunci KMS yang dijadwalkan untuk dihapus masih diperlukan untuk mengenkripsi atau mendekripsi data. Dalam hal ini, [batalkan penghapusan kunci KMS](deleting-keys-scheduling-key-deletion.md) dan pertimbangkan kembali keputusan Anda untuk menghapusnya.

# Menentukan penggunaan sebelumnya dari kunci KMS
<a name="deleting-keys-determining-usage"></a>

Sebelum menghapus kunci KMS, Anda mungkin ingin tahu berapa banyak ciphertext yang dienkripsi di bawah kunci itu. AWS KMS tidak menyimpan informasi ini, dan tidak menyimpan ciphertext apa pun. Mengetahui bagaimana kunci KMS digunakan di masa lalu dapat membantu Anda memutuskan apakah Anda akan membutuhkannya di masa depan atau tidak. Topik ini menyarankan beberapa strategi yang dapat membantu Anda menentukan penggunaan kunci KMS di masa lalu.

**Awas**  
Strategi ini untuk menentukan penggunaan masa lalu dan aktual hanya efektif untuk AWS pengguna dan AWS KMS operasi. Mereka tidak dapat mendeteksi penggunaan kunci publik dari kunci KMS asimetris di luar. AWS KMS Untuk detail tentang risiko khusus menghapus kunci KMS asimetris yang digunakan untuk kriptografi kunci publik, termasuk membuat ciphertext yang tidak dapat didekripsi, lihat. [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)

**Topics**
+ [Periksa izin kunci KMS untuk menentukan ruang lingkup penggunaan potensial](#deleting-keys-usage-key-permissions)
+ [Periksa AWS CloudTrail log untuk menentukan penggunaan aktual](#deleting-keys-usage-cloudtrail)

## Periksa izin kunci KMS untuk menentukan ruang lingkup penggunaan potensial
<a name="deleting-keys-usage-key-permissions"></a>

Menentukan siapa atau apa yang saat ini memiliki akses ke kunci KMS dapat membantu Anda menentukan seberapa luas kunci KMS digunakan dan apakah masih diperlukan. Untuk mempelajari cara menentukan siapa atau apa yang saat ini memiliki akses ke kunci KMS, buka. [Menentukan akses ke AWS KMS keys](determining-access.md)

## Periksa AWS CloudTrail log untuk menentukan penggunaan aktual
<a name="deleting-keys-usage-cloudtrail"></a>

Anda mungkin dapat menggunakan riwayat penggunaan kunci KMS untuk membantu Anda menentukan apakah Anda memiliki ciphertext yang dienkripsi di bawah kunci KMS tertentu. 

Semua aktivitas AWS KMS API dicatat dalam file AWS CloudTrail log. Jika Anda telah [membuat CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) di wilayah tempat kunci KMS berada, Anda dapat memeriksa file CloudTrail log untuk melihat riwayat semua aktivitas AWS KMS API untuk kunci KMS tertentu. Jika Anda tidak memiliki jejak, Anda masih dapat melihat peristiwa terbaru dalam [riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) Anda. Untuk detail tentang cara AWS KMS penggunaan CloudTrail, lihat[Logging panggilan AWS KMS API dengan AWS CloudTrail](logging-using-cloudtrail.md).

Contoh berikut menunjukkan entri CloudTrail log yang dihasilkan saat kunci KMS digunakan untuk melindungi objek yang disimpan di Amazon Simple Storage Service (Amazon S3). Dalam contoh ini, objek diunggah ke Amazon S3 [menggunakan Melindungi data menggunakan enkripsi sisi server dengan kunci KMS (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). Saat mengunggah objek ke Amazon S3 dengan SSE-KMS, Anda menentukan kunci KMS yang akan digunakan untuk melindungi objek. Amazon S3 menggunakan AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operasi untuk meminta kunci data unik untuk objek, dan peristiwa permintaan ini masuk CloudTrail dengan entri yang mirip dengan berikut ini:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Saat nanti Anda mengunduh objek ini dari Amazon S3, Amazon S3 mengirimkan permintaan AWS KMS untuk mendekripsi kunci data objek `Decrypt` menggunakan kunci KMS yang ditentukan. Ketika Anda melakukan ini, file CloudTrail log Anda menyertakan entri yang mirip dengan berikut ini:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Semua aktivitas AWS KMS API dicatat oleh CloudTrail. Dengan mengevaluasi entri log ini, Anda mungkin dapat menentukan penggunaan sebelumnya dari kunci KMS tertentu, dan ini dapat membantu Anda menentukan apakah Anda ingin menghapusnya atau tidak.

Untuk melihat lebih banyak contoh bagaimana aktivitas AWS KMS API muncul di file CloudTrail log Anda, buka[Logging panggilan AWS KMS API dengan AWS CloudTrail](logging-using-cloudtrail.md). Untuk informasi lebih lanjut tentang CloudTrail pergi ke [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

# Hapus materi kunci yang diimpor
<a name="importing-keys-delete-key-material"></a>

Anda dapat menghapus materi kunci yang diimpor dari kunci KMS kapan saja. Juga, ketika materi kunci yang diimpor dengan tanggal kedaluwarsa kedaluwarsa, AWS KMS menghapus materi kunci. Dalam kedua kasus, ketika materi kunci dihapus, [status kunci kunci](key-state.md) KMS berubah menjadi *impor Tertunda*, dan kunci KMS tidak dapat digunakan dalam operasi kriptografi apa pun.

Kunci enkripsi simetris dapat memiliki beberapa bahan utama yang terkait dengannya. Untuk kunci ini, KMS memberikan pengenal unik untuk setiap materi kunci. Anda dapat menggunakan [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API untuk melihat pengenal material utama ini dan status material kunci yang sesuai (lihat [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Status material utama `PENDING_ROTATION` atau `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` menunjukkan materi kunci tidak terkait secara permanen dengan kunci KMS. *Penghapusan atau kedaluwarsa materi kunci yang terkait secara permanen mengubah status kunci menjadi Impor tertunda.* Anda dapat menghapus materi kunci tertentu dengan menentukan pengenalnya menggunakan `key-material-id` parameter di API. [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)

**Pertimbangan untuk kunci Multi-wilayah**
+ Saat Anda menghapus materi kunci kunci Wilayah utama yang ada di `PENDING_ROTATION` atau `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` status, Anda juga akan menghapus materi utama untuk kunci Region replika.
+ Jika Anda menghapus materi kunci di kunci Region primer atau replika, hanya kunci spesifik yang terpengaruh dan kunci multi-wilayah terkait lainnya tetap tidak berubah. Kunci Wilayah primer atau replika apa pun yang memiliki semua materi kunci yang terkait secara permanen terus dapat digunakan dalam operasi kriptografi.

**Awas**  
`key-material-id`Parameternya opsional dan jika Anda tidak menentukannya, AWS KMS akan menghapus materi kunci saat ini.

Seiring dengan menonaktifkan kunci KMS dan menarik izin, menghapus materi kunci dapat digunakan sebagai strategi untuk dengan cepat, tetapi untuk sementara, menghentikan penggunaan kunci KMS. Sebaliknya, penjadwalan penghapusan kunci KMS dengan bahan kunci impor juga dengan cepat menghentikan penggunaan kunci KMS. Namun, jika penghapusan tidak dibatalkan selama masa tunggu, kunci KMS, materi kunci terkait, dan semua metadata kunci akan dihapus secara permanen. Lihat perinciannya di [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

Untuk menghapus materi kunci, Anda dapat menggunakan AWS KMS konsol atau operasi [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)API. AWS KMS mencatat entri di AWS CloudTrail log Anda saat Anda [menghapus materi kunci yang diimpor dan saat AWS KMS menghapus materi kunci](ct-deleteimportedkeymaterial.md) [yang kedaluwarsa](ct-deleteexpiredkeymaterial.md).

**Bagaimana menghapus materi kunci memengaruhi layanan AWS **  
Saat Anda menghapus materi kunci apa pun, kunci KMS menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

## Menggunakan AWS KMS konsol
<a name="importing-keys-delete-key-material-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghapus materi utama.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Kunci yang dikelola pelanggan**.

1. Lakukan salah satu tindakan berikut:
   + Pilih kotak centang untuk kunci KMS dengan bahan kunci impor. Pilih **Tindakan kunci**, **Hapus material kunci**. Untuk kunci enkripsi simetris yang memiliki beberapa materi utama yang terkait dengannya, ini akan menghapus materi kunci saat ini. 
   + Untuk kunci KMS enkripsi simetris dengan bahan kunci yang diimpor, pilih alias atau ID kunci kunci KMS. Pilih tab **Bahan kunci dan rotasi**. Tabel bahan utama akan mencantumkan semua bahan utama yang terkait dengan kunci. Pilih **Hapus materi kunci** dari menu **Tindakan** di baris yang sesuai dengan materi kunci yang ingin Anda hapus.

1. Konfirmasi bahwa Anda ingin menghapus material kunci, lalu pilih **Hapus material kunci**. Status kunci KMS, yang sesuai dengan status [kuncinya](key-state.md), berubah menjadi **Impor tertunda**. Jika materi kunci yang dihapus dalam `PENDING_ROTATION` status, tidak ada perubahan pada status kunci KMS.

## Menggunakan AWS KMS API
<a name="importing-keys-delete-key-material-api"></a>

Untuk menggunakan [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) untuk menghapus materi kunci, kirim [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)permintaan. Contoh berikut ini menunjukkan cara melakukan ini dengan [AWS CLI](https://aws.amazon.com/cli/).

Ganti `1234abcd-12ab-34cd-56ef-1234567890ab` dengan ID kunci kunci KMS yang materi utamanya ingin Anda hapus. Anda dapat menggunakan ID kunci KMS atau ARN tetapi Anda tidak dapat menggunakan alias untuk operasi ini. Perintah berikut menghapus materi kunci saat ini yang mungkin merupakan satu-satunya materi kunci yang terkait dengan kunci.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Untuk menghapus materi kunci tertentu, tentukan materi kunci yang diidentifikasi menggunakan `key-material-id` parameter. Ganti `123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0` dengan pengenal materi kunci yang ingin Anda hapus.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0
```