インポートされたキーマテリアルを削除する - AWS Key Management Service

インポートされたキーマテリアルを削除する

インポートされたキーマテリアルは、KMS キーからいつでも削除できます。また、有効期限のあるインポートされたキーマテリアルが期限切れになると、AWS KMS はキーマテリアルを削除します。どちらの場合も、キーマテリアルが削除されると KMS キーのキーの状態が「インポート保留中」に変わり、KMS キーは、暗号化オペレーションで使用することはできなくなります。

単一リージョンの対称暗号化キーには、複数のキーマテリアルを関連付けることができます。キーの状態が PENDING_ROTATION 以外のいずれかのキーマテリアルを削除した場合、または有効期限が切れた場合、キーの状態が「インポート保留中」に変わります。そのようなキーに対して、KMS は各キーマテリアルに一意の識別子を割り当てます。ListKeyRotations API を使用して、これらのキーマテリアル識別子を表示できます。DeleteImportedKeyMaterial API の key-material-id パラメータを使用して識別子を指定することで、特定のキーマテリアルを削除できます。

警告

key-material-id パラメータはオプションです。指定しない場合、AWS KMS は現在のキーマテリアルを削除します。

KMS キーの無効化とアクセス許可の取り消しに加えて、キーマテリアルの削除は、KMS キーの使用をすぐに、しかし一時的に停止する戦略として使用できます。これとは対照的に、キーマテリアルがインポートされた KMS キーの削除をスケジュールすることでも、KMS キーの使用をすぐに停止できます。ただし、待機期間中に削除をキャンセルしないと、KMS キー、関連付けられたキーマテリアル、およびすべてのキーメタデータが完全に削除されます。詳細については、「Deleting KMS keys with imported key material」を参照してください。

キーマテリアルを削除するには、AWS KMS コンソールまたは DeleteImportedKeyMaterial API オペレーションを使用できます。AWS KMS は、インポートしたキーマテリアルを削除したり期限切れのキーマテリアルが AWS KMS によって削除されたりすると、AWS CloudTrail ログにエントリを記録します。

キーマテリアルの削除が AWS のサービスに及ぼす影響

キーマテリアルを削除すると、KMS キーは直ちに使用できなくなります (最終的な一貫性に影響します)。ただし、KMS キーで保護されたデータキーにより暗号化されたリソースは、KMS キーがデータキーの復号化などで再び使用されるまでは影響を受けません。この問題は AWS のサービス に影響します。その多くが、リソースを保護するためにデータキーを使用しています。詳細については、「使用できない KMS キーがデータキーに及ぼす影響」を参照してください。

AWS KMS コンソールを使用して、キーマテリアルを削除できます。

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

  4. 次のいずれかを行います:

    • キーマテリアルがインポートされた KMS キーのチェックボックスをオンにします。[キーのアクション]、[キーマテリアルの削除] を選択します。複数のキーマテリアルが関連付けられている対称暗号化キーの場合、現在のキーマテリアルが削除されます。

    • インポートされたキーマテリアルを含む単一リージョンの対称暗号化 KMS キーの場合は、KMS キーのエイリアスまたはキー ID を選択します。[キーマテリアルとローテーション] タブを選択します。キーマテリアルテーブルには、キーに関連付けられたすべてのキーマテリアルが一覧表示されます。削除するキーマテリアルに対応する行の [アクション] メニューから [キーマテリアルの削除] を選択します。

  5. キーマテリアルを削除することを確認してから、[キーマテリアルの削除] を選択します。KMS キーのステータスに対応するそのキーステータスは、インポート保留中に変わります。削除されたキーマテリアルが PENDING_ROTATION 状態の場合、KMS キーのステータスは変更されません。

AWS KMS API を使用して、キーマテリアルを削除するには、DeleteImportedKeyMaterial リクエストを送信します。次の例では、AWS CLI を使用してこのオペレーションを行う方法を示します。

1234abcd-12ab-34cd-56ef-1234567890ab を、削除する予定のキーマテリアルを持つ KMS キーのキー ID と置き換えます。KMS キーのキー ID または ARN を使用できますが、このオペレーションにエイリアスを使用することはできません。次のコマンドは、キーに関連付けられた唯一のキーマテリアルである可能性がある現在のキーマテリアルを削除します。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

特定のキーマテリアルを削除するには、key-material-id パラメータを使用して識別されたキーマテリアルを指定します。削除するキーマテリアルのある識別子を 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0 で置き換えます。

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0