インポートされたキーマテリアルを削除する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インポートされたキーマテリアルを削除する

インポートされたキーマテリアルは、KMS キーからいつでも削除できます。また、インポートされたキーマテリアルの有効期限が切れると、 はキーマテリアル AWS KMS を削除します。いずれの場合も、キーマテリアルが削除されると、KMS キーのキー状態インポート保留中に変わり、KMS キーを暗号化オペレーションで使用することはできません。

単一リージョンの対称暗号化キーには、複数のキーマテリアルを関連付けることができ、キーの状態をインポート保留中PENDING_ROTATIONに変更する以外の状態のキーマテリアルの削除または有効期限を設定できます。これらのキーの場合、KMS は各キーマテリアルに一意の識別子を割り当てます。ListKeyRotations API を使用して、これらのキーマテリアル識別子を表示できます。DeleteImportedKeyMaterial API の key-material-idパラメータを使用して識別子を指定することで、特定のキーマテリアルを削除できます。

警告

key-material-id パラメータはオプションであり、指定しない場合、 AWS KMS は現在のキーマテリアルを削除します。

KMS キーの無効化とアクセス許可の取り消しに加えて、キーマテリアルの削除は、KMS キーの使用をすぐに、しかし一時的に停止する戦略として使用できます。これとは対照的に、キーマテリアルがインポートされた KMS キーの削除をスケジュールすることでも、KMS キーの使用をすぐに停止できます。ただし、待機期間中に削除がキャンセルされない場合、KMS キー、関連するキーマテリアル、およびすべてのキーメタデータは完全に削除されます。詳細については、「Deleting KMS keys with imported key material」を参照してください。

キーマテリアルを削除するには、 AWS KMS コンソールまたは DeleteImportedKeyMaterial API オペレーションを使用できます。 は、インポートされたキーマテリアルを削除するとき、および がAWS KMS 期限切れのキーマテリアルを削除するときに AWS CloudTrail 、ログにエントリ AWS KMS を記録します。

キーマテリアルの削除が AWS サービスに与える影響

キーマテリアルを削除すると、KMS キーはすぐに使用できなくなります (結果整合性の対象となります)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービスに影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

AWS KMS コンソールを使用して、キーマテリアルを削除できます。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. 次のいずれかを行います:

    • キーマテリアルがインポートされた KMS キーのチェックボックスをオンにします。[キーのアクション]、[キーマテリアルの削除] を選択します。複数のキーマテリアルが関連付けられている対称暗号化キーの場合、現在のキーマテリアルは削除されます。

    • インポートされたキーマテリアルを持つ単一リージョンの対称暗号化 KMS キーの場合は、KMS キーのエイリアスまたはキー ID を選択します。キーマテリアルとローテーションタブを選択します。キーマテリアルテーブルには、キーに関連付けられたすべてのキーマテリアルが一覧表示されます。削除するキーマテリアルに対応する行のアクションメニューからキーマテリアルの削除を選択します。

  5. キーマテリアルを削除することを確認してから、[キーマテリアルの削除] を選択します。KMS キーのステータスに対応するそのキーステータスは、インポート保留中に変わります。削除されたキーマテリアルが PENDING_ROTATION状態であった場合、KMS キーのステータスに変更はありません。

AWS KMS API を使用して、キーマテリアルを削除するには、DeleteImportedKeyMaterial リクエストを送信します。次の例では、AWS CLI を使用してこのオペレーションを行う方法を示します。

1234abcd-12ab-34cd-56ef-1234567890ab を、削除する予定のキーマテリアルを持つ KMS キーのキー ID と置き換えます。KMS キーのキー ID または ARN を使用できますが、このオペレーションにエイリアスを使用することはできません。次のコマンドは、キーに関連付けられた唯一のキーマテリアルである可能性がある現在のキーマテリアルを削除します。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

特定のキーマテリアルを削除するには、 key-material-idパラメータを使用して識別されたキーマテリアルを指定します。を削除するキーマテリアルの識別子123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0に置き換えます。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0