本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 刪除 AWS KMS key
刪除 AWS KMS key 具有破壞性和潛在危險性。這樣會刪除金鑰資料,還有與 KMS 金鑰相關聯的所有中繼資料,而且無法復原。刪除 KMS 金鑰之後,您就再也無法解密以該 KMS 金鑰加密的資料,這表示該資料已無法復原。(唯一的例外是[多區域複本金鑰](#deleting-mrks),以及具有匯入金鑰資料的非對稱金鑰與 HMAC KMS 金鑰。) 對於[用於加密的非對稱 KMS 金鑰](#deleting-asymmetric-cmks)而言,此風險很重要,其中使用者可以在沒有警告或錯誤的情況下,繼續產生具有公有金鑰的加密文字,該公有金鑰在刪除私有金鑰之後無法解密 AWS KMS。
只有當您確定不再需要使用 KMS 金鑰時,才應刪除 KMS 金鑰。如果您不確定,請考慮[停用 KMS 金鑰](enabling-keys.md),而不是刪除。您可以重新啟用已停用的 KMS 金鑰並[取消排程刪除](deleting-keys-scheduling-key-deletion.md) KMS 金鑰,但您無法復原已刪除的 KMS 金鑰。
您只能排程刪除客戶受管金鑰。您無法刪除 AWS 受管金鑰 或 AWS 擁有的金鑰。
在刪除 KMS 金鑰之前,您可能想知道在該 KMS 金鑰下有多少加密文字。 AWS KMS 不會儲存此資訊,也不會儲存任何加密文字。若要取得此資訊,您必須判斷 KMS 金鑰的過去使用情形。如需協助,請前往 [判斷 KMS 金鑰的過去用量](deleting-keys-determining-usage.md)。
AWS KMS 永遠不會刪除您的 KMS 金鑰,除非您明確排定刪除它們,且強制等待期間過期。
然而,您可能會因以下一或多個原因而選擇刪除 KMS 金鑰:
+ 為了完成不再需要的 KMS 金鑰生命週期
+ 為了避免管理開銷以及維護未使用 KMS 金鑰的相關[成本](https://aws.amazon.com/kms/pricing/)
+ 為了降低針對 [KMS 金鑰資源配額](resource-limits.md#kms-keys-limit)列入計算的 KMS 金鑰數量
**注意**
如果您[關閉 AWS 帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html),您的 KMS 金鑰將無法存取,而且您不再需要支付這些金鑰的費用。
AWS KMS 當您[排程刪除](ct-schedule-key-deletion.md) KMS 金鑰以及[實際刪除 KMS 金鑰](ct-delete-key.md)時, 會在 AWS CloudTrail 日誌中記錄項目。
## 關於等待期
由於刪除 KMS 金鑰具有破壞性和潛在危險性, AWS KMS 因此 需要您設定 7 – 30 天的等待期間。預設等待期間為 30 天。
不過,實際等待期可能比您排定的等待期長最多 24 小時。若要取得刪除 KMS 金鑰的實際日期和時間,請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作。或者在 AWS KMS 主控台,KMS 金鑰的[詳細資訊頁面](finding-keys.md#viewing-console-details),在 **General configuration** (一般組態) 區段中,請參閱 **Scheduled deletion date** (排定的刪除日期)。請務必注意時區。
在等待期間,KMS 金鑰狀態和金鑰狀態為 **Pending deletion** (待刪除)。
+ 正在等待刪除的 KMS 金鑰不能用於任何[密碼編譯操作](kms-cryptography.md#cryptographic-operations)。
+ AWS KMS 不會[輪換待刪除 KMS 金鑰的金鑰材料](rotate-keys.md#rotate-keys-how-it-works)。
等待期間結束後, 會 AWS KMS 刪除 KMS 金鑰、其別名和所有相關 AWS KMS 中繼資料。
排程刪除 KMS 金鑰可能不會立即影響 KMS 金鑰所加密的資料金鑰。如需詳細資訊,請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。
使用等待期間可確保您現在或未來不需要 KMS 金鑰。您可以[設定 Amazon CloudWatch 警示](deleting-keys-creating-cloudwatch-alarm.md)來警告您有人或應用程式在等待期間嘗試使用 KMS 金鑰。若要復原 KMS 金鑰,您可以在等待期間結束前取消金鑰刪除。在等待期間結束後,您無法取消刪除金鑰,並 AWS KMS 刪除 KMS 金鑰。
## 特殊考量
排定要刪除的金鑰之前,請檢閱下列刪除特殊用途 KMS 金鑰的特殊考量。
**刪除非對稱 KMS 金鑰**
[獲得授權](deleting-keys-adding-permission.md)的使用者可以刪除對稱或非對稱 KMS 金鑰。兩種類型金鑰排程刪除這些 KMS 金鑰的程序都是一樣的。不過,由於[非對稱 KMS 金鑰的公有金鑰可以在 外部下載](download-public-key.md)和使用 AWS KMS,因此操作會帶來重大的額外風險,特別是用於加密的非對稱 KMS 金鑰 (金鑰使用量為 `ENCRYPT_DECRYPT`)。
+ 當您排程刪除 KMS 金鑰時,KMS 金鑰的金鑰狀態會變更為 **Pending deletion** (待刪除),而 KMS 金鑰不能用於[密碼編譯操作](kms-cryptography.md#cryptographic-operations)。不過,排程刪除不會影響 外部的公有金鑰 AWS KMS。擁有公有金鑰的使用者可以繼續使用這些金鑰加密訊息。他們不會收到金鑰狀態變更的任何通知。除非取消刪除,否則無法解密使用公有金鑰建立的加密文字。
+ 可偵測到嘗試使用待刪除 KMS 金鑰的警示、日誌和其他策略,偵測不到在 AWS KMS外部對公有金鑰的使用。
+ 刪除 KMS 金鑰時,所有涉及該 KMS 金鑰 AWS KMS 的動作都會失敗。不過,擁有公有金鑰的使用者可以繼續使用這些金鑰加密訊息。無法解密這些加密文字。
如果您必須刪除金鑰用途為 `ENCRYPT_DECRYPT` 的非對稱 KMS 金鑰,請使用 CloudTrail Log 項目判斷是否已下載並共用公有金鑰。如果是,請驗證公有金鑰未用在 AWS KMS之外。然後,考慮[停用 KMS 金鑰](enabling-keys.md)而不是刪除 KMS 金鑰。
對於含匯入金鑰資料的非對稱 KMS 金鑰來說,可減輕刪除非對稱 KMS 金鑰所造成的風險。如需詳細資訊,請參閱[Deleting KMS keys with imported key material](#import-delete-key)。
**刪除多區域金鑰**
若要刪除主要金鑰,您必須排程刪除其所有複本金鑰,然後等待刪除複本金鑰。刪除主要金鑰所需的等待期間在刪除其最後一個複本金鑰時開始。如果您必須從特定區域刪除主要金鑰而不刪除其複本金鑰,請透過[更新主要區域](multi-region-update.md)將主要金鑰變更為複本金鑰。
您可以隨時刪除複本金鑰。它不取決於任何其他 KMS 金鑰的金鑰狀態。如果錯誤地刪除了複本密鑰,則可透過在同一區域中複寫相同的主要金鑰來重新建立。您建立的新複本金鑰將具有相同的[共用屬性](multi-region-keys-overview.md#mrk-sync-properties)作為原始複本金鑰。
**使用匯入的金鑰材料刪除 KMS 金鑰**
刪除包含匯入金鑰資料的 KMS 金鑰資料為暫時性且可復原。若要還原金鑰,請重新匯入其金鑰資料。
相對地,刪除 KMS 金鑰則無法復原。如果您[排定金鑰刪除](#deleting-keys-how-it-works),且所需的等待期間過期, 會 AWS KMS 永久且無法復原地刪除 KMS 金鑰、其金鑰材料,以及與 KMS 金鑰相關聯的所有中繼資料。
然而,刪除包含匯入金鑰資料的 KMS 金鑰所產生的風險與後果取決於 KMS 金鑰的類型 (「金鑰規格」)。
+ 對稱加密金鑰 — 如您刪除對稱加密 KMS 金鑰,則該金鑰加密的所有剩餘密文均無法復原。您無法建立新的對稱加密 KMS 金鑰來針對已刪除的對稱加密 KMS 金鑰解密其密文,即使您擁有相同金鑰資料也無法做到。每個 KMS 金鑰的唯一中繼資料會以密碼編譯方式繫結至每個對稱密文。此安全性功能可保證僅經加密對稱密文的 KMS 金鑰才能將其解密,但這會讓您無法重新建立對等 KMS 金鑰。
+ 非對稱和 HMAC 金鑰 — 如果您有原始金鑰材料,您可以建立新的 KMS 金鑰,其密碼編譯屬性與已刪除的非對稱或 HMAC KMS 金鑰相同。 AWS KMS 會產生標準 RSA 加密文字和簽章、ECC 簽章和 HMAC 標籤,其中不包含任何唯一的安全功能。此外,您也可在 AWS外部利用 HMAC 金鑰或非對稱金鑰對的私有金鑰。
您利用相同非對稱或 HMAC 金鑰資料建立的新 KMS 金鑰將具有不同金鑰識別碼。您必須建立新的金鑰政策、重新建立任何別名,以及更新現有 IAM 政策與授權,以便參考新金鑰。
**從 金鑰存放區刪除 KMS AWS CloudHSM 金鑰**
當您排定從金鑰存放區刪除 KMS AWS CloudHSM 金鑰時,其[金鑰狀態](key-state.md)會變更為**待刪除**。KMS 金鑰會在整個等待期保持在 **Pending deletion** (等待刪除) 狀態,即使 KMS 金鑰變為無法使用,因為您已[中斷連接自訂金鑰存放區](disconnect-keystore.md)。這可讓您在等待期間隨時取消刪除 KMS 金鑰。
當等待期間到期時, 會從 AWS KMS 中刪除 KMS 金鑰 AWS KMS。然後 AWS KMS , 會盡最大努力從相關聯的 AWS CloudHSM 叢集中刪除金鑰材料。如果 AWS KMS 無法刪除金鑰資料 (例如,當金鑰存放區與 AWS KMS中斷連接時),您可能需要手動從叢集[刪除遺棄的金鑰資料](fix-keystore.md#fix-keystore-orphaned-key)。
AWS KMS 不會從叢集備份中刪除金鑰材料。即使您從 刪除 KMS 金鑰 AWS KMS 並從 AWS CloudHSM 叢集刪除其金鑰材料,從備份建立的叢集可能包含已刪除的金鑰材料。若要永久刪除金鑰材料,請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作來識別 KMS 金鑰的建立日期。然後,[刪除所有叢集備份](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html),其中可能包含金鑰資料。
當您排程從金鑰存放區刪除 KMS AWS CloudHSM 金鑰時,KMS 金鑰會立即變成無法使用 (取決於最終一致性)。不過,使用受 KMS 金鑰保護之[資料金鑰](data-keys.md)所加密的資源不會受影響,除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務,其中許多 會使用資料金鑰來保護您的 資源。如需詳細資訊,請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。
**從外部金鑰存放區刪除 KMS 金鑰**
從外部金鑰存放區刪除 KMS 金鑰不會影響作為其金鑰材料的[外部金鑰](keystore-external.md#concept-external-key)。
排程從外部金鑰存放區刪除 KMS 金鑰時,其[金鑰狀態](key-state.md)會變更為 **Pending deletion** (等待刪除)。KMS 金鑰會在整個等待期保持在 **Pending deletion** (等待刪除) 狀態,即使 KMS 金鑰變為無法使用,因為您已[中斷連接外部金鑰存放區](xks-connect-disconnect.md)。這可讓您在等待期間隨時取消刪除 KMS 金鑰。當等待期間過期時, 會從 AWS KMS 中刪除 KMS 金鑰 AWS KMS。
當您排程從外部金鑰存放區刪除 KMS 金鑰時,KMS 金鑰會立即變為無法使用 (視最終一致性而定)。不過,使用受 KMS 金鑰保護之[資料金鑰](data-keys.md)所加密的資源不會受影響,除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。