删除 密钥 - AWS 支付密码学
关于等待期限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除 密钥

删除 AWS 支付加密密钥会删除密钥材料和与该密钥关联的所有元数据,除非在 AWS 支付密码学之外有该密钥的副本,否则该密钥的副本不可撤销。删除密钥后,您不能再解密用该密钥加密的数据,这意味着该数据将无法恢复。只有当您确定不再需要使用密钥且其他任何当事方不在使用此密钥时,才能将其删除。如果您不确定,可以考虑停止使用密钥,而不是将其删除。如果您以后需要再次使用已禁用的密钥,则可以重新启用该密钥,但是除非您可以从其他来源重新导入已删除的 AWS 付款加密密钥,否则无法恢复该密钥。

删除密钥之前,应确保不再需要该密钥。 AWS Payment Cryptograph CVV2 y 不存储加密操作的结果,也无法确定任何永久加密材料是否需要密钥。

AWS Payment Cryptography 永远不会删除属于活跃 AWS 账户的密钥,除非您明确安排将其删除,并且强制等待期已到期。

但是,出于以下一个或多个原因,您可能会选择删除 AWS 付款加密密钥:

  • 完成不再需要的密钥的密钥生命周期

  • 为了避免与维护未使用的 AWS 支付加密密钥相关的管理开销

注意

如果您关闭或删除您的 AWS 账户,则无法 AWS 访问您的付款加密密钥。在关闭账户的同时,您无需安排删除 AWS 支付密码密钥。

AWS Payment Cryptography 会在您计划删除 AWS 支付密码密钥以及实际删除支付密码密钥时在 AWS 您的AWS CloudTrail日志中记录一个条目。

使用多区域密钥复制、删除作为主区域密钥 (PRK) 的支付加密密钥 (PRK) 时,副本区域密钥 (RRK) 也将自动删除。无法像 PRK 那样删除 RRK。如果要删除 RRK,则需要修改 PRK 的复制区域。

关于等待期限

由于删除密钥是不可逆的,因此 AWS 支付密码学要求您将等待期设置为 3 到 180 天之间。默认的等待期限为七天。

但是,实际等待期限可能最多比您计划的时间长 24 小时。要获取删除 AWS 付款加密密钥的实际日期和时间,请使用 GetKey 操作。请务必记下时区。

在等待期间, AWS 付款加密密钥状态和密钥状态为 “待删除”。

注意

待删除的 AWS 支付加密密钥不能用于任何加密操作。

等待期结束后, AWS Payment Cryptography 会删除 AWS 支付加密密钥、其别名和所有相关的 AWS 支付密码学元数据。

使用等待期来确保你现在或将来都不需要 AWS 支付密码学密钥。如果您在等待期内发现确实需要密钥,可以在等待期限结束前取消密钥删除。等待期限结束后,将无法取消密钥删除, 将删除密钥。

示例

    在此示例中,请求删除密钥。除了基本的密钥信息外,还有两个相关的字段是密钥状态已更改为 DELETE_PENDING,以及 deletePendingTimestamp 表示当前计划删除密钥的时间。

    $ aws payment-cryptography delete-key \
                    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
                  
    

  {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
            "KeyClass": "SYMMETRIC_KEY",
            "KeyAlgorithm": "TDES_3KEY",
            "KeyModesOfUse": {
                "Encrypt": false,
                "Decrypt": false,
                "Wrap": false,
                "Unwrap": false,
                "Generate": true,
                "Sign": false,
                "Verify": true,
                "DeriveKey": false,
                "NoRestrictions": false
            }
        },
        "KeyCheckValue": "0A3674",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "Enabled": false,
        "Exportable": true,
        "KeyState": "DELETE_PENDING",
        "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
        "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00",
        "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00",
        "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00"
    }
}

    在此示例中,待处理的删除被取消。成功完成后,密钥将不再按照之前的时间表被删除。响应包含基本的密钥信息;此外,两个相关字段已更改 - KeyStatedeletePendingTimestampKeyState 返回到 CREATE_COMPLETE 的值,同时 DeletePendingTimestamp 被移除。

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
                    
    {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
            "KeyClass": "SYMMETRIC_KEY",
            "KeyAlgorithm": "TDES_3KEY",
            "KeyModesOfUse": {
                "Encrypt": false,
                "Decrypt": false,
                "Wrap": false,
                "Unwrap": false,
                "Generate": true,
                "Sign": false,
                "Verify": true,
                "DeriveKey": false,
                "NoRestrictions": false
            }
        },
        "KeyCheckValue": "0A3674",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "Enabled": false,
        "Exportable": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
        "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00",
        "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00"
    }
}