Excluir material de chave importado - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Excluir material de chave importado

Você pode excluir o material de chave importado de uma chave do KMS a qualquer momento. Além disso, quando o material de chave importado com uma data de validade expirar, AWS KMS exclui o material de chave. Em ambos os casos, quando o material da chave é excluído, o estado da chave do KMS muda para Importação pendente, e a chave do KMS não pode ser usada em nenhuma operação criptográfica.

As chaves de criptografia simétrica podem ter vários materiais de chave associados a elas e a exclusão ou expiração de qualquer material de chave em um estado diferente da PENDING_ROTATION alteração do estado da chave para Importação pendente. Para essas chaves, o KMS atribui um identificador exclusivo a cada material de chave. Você pode usar a ListKeyRotationsAPI para visualizar esses identificadores-chave de material. Você pode excluir um material de chave específico especificando seu identificador usando o key-material-id parâmetro na DeleteImportedKeyMaterialAPI.

Considerações sobre chaves multirregionais

  • Ao excluir o material principal de uma chave de região primária que está em PENDING_ROTATION ou PENDING_MULTI_REGION_IMPORT_AND_ROTATION estado, você também excluirá os materiais principais das réplicas das chaves de região.

  • Se você excluir o material principal de uma réplica da chave de região, a chave de região primária e outras chaves de região da réplica permanecerão inalteradas.

Atenção

O parâmetro key-material-id é opcional e, se não for especificado, o AWS KMS excluirá o material de chave atual.

Além de desativar a chave do KMS e retirar as permissões, a exclusão do material da chave pode ser usada como uma estratégia para interromper o uso da chave do KMS de forma rápida, mas temporária. Por outro lado, programar a exclusão de uma chave do KMS com material de chave importado também interrompe rapidamente o uso da chave do KMS. Porém, se a exclusão não for cancelada durante o período de espera, a chave do KMS, os materiais de chave associados e todos os metadados da chave serão excluídos permanentemente. Para obter detalhes, consulte Deleting KMS keys with imported key material.

Para excluir o material chave, você pode usar o AWS KMS console ou a operação DeleteImportedKeyMaterialda API. AWS KMS registra uma entrada em seu AWS CloudTrail registro quando você exclui material de chave importado e quando AWS KMS exclui material de chave expirado.

Como a exclusão do material essencial afeta os serviços AWS

Quando você exclui qualquer material da chave, a chave do KMS torna-se inutilizável imediatamente (sujeita a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta Serviços da AWS muitos dos quais usam chaves de dados para proteger seus recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

Você pode usar o AWS KMS console para excluir o material principal.

  1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Execute um destes procedimentos:

    • Marque a caixa de seleção de uma chave do KMS com material de chave importado. Escolha Key actions (Ações de chave), Delete key material (Excluir material de chaves). Para chaves de criptografia simétrica que têm vários materiais de chave associados a elas, isso excluirá o material de chave atual.

    • Para chaves KMS de criptografia simétrica com material de chave importado, escolha o alias ou ID da chave de uma chave KMS. Escolha a guia Material de chave e rodízios. A tabela de materiais de chave listará todos os materiais de chave associados à chave. Escolha Excluir material de chave no menu Ações na linha correspondente ao material de chave que você deseja excluir.

  5. Confirme que você deseja excluir o material de chaves e selecione Delete key material (Excluir material de chaves). O status da chave do KMS, que corresponde ao seu estado de chave, muda para Pending import (Importação pendente). Se o material de chave excluído estiver no estado PENDING_ROTATION, não haverá alteração no status da chave do KMS.

Para usar a AWS KMS API para excluir material chave, envie uma DeleteImportedKeyMaterialsolicitação. O exemplo a seguir mostra como fazer isso com a AWS CLI.

Substitua 1234abcd-12ab-34cd-56ef-1234567890ab pelo ID da chave do KMS cujo material de chave você quer excluir. É possível usar o ID de chave ou o ARN da chave do KMS, mas não é possível usar um alias para essa operação. O comando a seguir exclui o material da chave atual, que talvez seja o único material da chave associado à chave.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Para excluir um determinado material de chave, especifique o material de chave identificado usando o parâmetro key-material-id. Substitua 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0 pelo identificador da chave cujo material de chave você deseja excluir.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0