Hapus materi kunci yang diimpor - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hapus materi kunci yang diimpor

Anda dapat menghapus materi kunci yang diimpor dari kunci KMS kapan saja. Juga, ketika materi kunci yang diimpor dengan tanggal kedaluwarsa kedaluwarsa, AWS KMS menghapus materi kunci. Dalam kedua kasus, ketika materi kunci dihapus, status kunci kunci KMS berubah menjadi impor Tertunda, dan kunci KMS tidak dapat digunakan dalam operasi kriptografi apa pun.

Single-Region, kunci enkripsi simetris dapat memiliki beberapa materi kunci yang terkait dengannya dan penghapusan atau kedaluwarsa materi kunci apa pun dalam status selain PENDING_ROTATION mengubah status kunci ke Impor tertunda. Untuk kunci ini, KMS memberikan pengenal unik untuk setiap materi kunci. Anda dapat menggunakan ListKeyRotationsAPI untuk melihat pengenal materi utama ini. Anda dapat menghapus materi kunci tertentu dengan menentukan pengenalnya menggunakan key-material-id parameter di API. DeleteImportedKeyMaterial

Awas

key-material-idParameternya opsional dan jika Anda tidak menentukannya, AWS KMS akan menghapus materi kunci saat ini.

Seiring dengan menonaktifkan kunci KMS dan menarik izin, menghapus materi kunci dapat digunakan sebagai strategi untuk dengan cepat, tetapi untuk sementara, menghentikan penggunaan kunci KMS. Sebaliknya, penjadwalan penghapusan kunci KMS dengan bahan kunci impor juga dengan cepat menghentikan penggunaan kunci KMS. Namun, jika penghapusan tidak dibatalkan selama masa tunggu, kunci KMS, materi kunci terkait, dan semua metadata kunci akan dihapus secara permanen. Lihat perinciannya di Deleting KMS keys with imported key material.

Untuk menghapus materi kunci, Anda dapat menggunakan AWS KMS konsol atau operasi DeleteImportedKeyMaterialAPI. AWS KMS mencatat entri di AWS CloudTrail log Anda saat Anda menghapus materi kunci yang diimpor dan saat AWS KMS menghapus materi kunci yang kedaluwarsa.

Bagaimana menghapus materi kunci memengaruhi layanan AWS

Saat Anda menghapus materi kunci apa pun, kunci KMS menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data.

Anda dapat menggunakan AWS KMS konsol untuk menghapus materi utama.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Lakukan salah satu tindakan berikut:

    • Pilih kotak centang untuk kunci KMS dengan bahan kunci impor. Pilih Tindakan kunci, Hapus material kunci. Untuk kunci enkripsi simetris yang memiliki beberapa materi utama yang terkait dengannya, ini akan menghapus materi kunci saat ini.

    • Untuk kunci KMS enkripsi simetris wilayah tunggal dengan bahan kunci yang diimpor, pilih alias atau ID kunci kunci kunci KMS. Pilih tab Bahan kunci dan rotasi. Tabel bahan utama akan mencantumkan semua bahan utama yang terkait dengan kunci. Pilih Hapus materi kunci dari menu Tindakan di baris yang sesuai dengan materi kunci yang ingin Anda hapus.

  5. Konfirmasi bahwa Anda ingin menghapus material kunci, lalu pilih Hapus material kunci. Status kunci KMS, yang sesuai dengan status kuncinya, berubah menjadi Impor tertunda. Jika materi kunci yang dihapus dalam PENDING_ROTATION status, tidak ada perubahan pada status kunci KMS.

Untuk menggunakan AWS KMS API untuk menghapus materi kunci, kirim DeleteImportedKeyMaterialpermintaan. Contoh berikut ini menunjukkan cara melakukan ini dengan AWS CLI.

Ganti 1234abcd-12ab-34cd-56ef-1234567890ab dengan ID kunci kunci KMS yang materi utamanya ingin Anda hapus. Anda dapat menggunakan ID kunci KMS atau ARN tetapi Anda tidak dapat menggunakan alias untuk operasi ini. Perintah berikut menghapus materi kunci saat ini yang mungkin merupakan satu-satunya materi kunci yang terkait dengan kunci.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Untuk menghapus materi kunci tertentu, tentukan materi kunci yang diidentifikasi menggunakan key-material-id parameter. Ganti 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0 dengan pengenal materi kunci yang ingin Anda hapus.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0