刪除 金鑰 - AWS 付款密碼編譯
關於等待期

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

刪除 金鑰

刪除 AWS 付款密碼編譯金鑰會刪除金鑰材料和與金鑰相關聯的所有中繼資料,除非該金鑰的副本可在 AWS 付款密碼編譯外部使用,否則將無法復原。刪除金鑰後,您無法再解密在該金鑰下加密的資料,這表示資料可能無法復原。只有當您確定不再需要使用金鑰,而且沒有其他方正在使用此金鑰時,才應該刪除金鑰。如果您不確定,請考慮停止金鑰用量,而不是將其刪除。如果您稍後需要再次使用已停用的金鑰,您可以重新啟用該金鑰,但除非您能夠從其他來源重新匯入,否則無法復原已刪除的 AWS 付款密碼編譯金鑰。

在刪除金鑰之前,您應該確保不再需要金鑰。 AWS 付款密碼編譯不會儲存密碼編譯操作的結果,例如 CVV2,也無法判斷任何持久性密碼編譯資料是否需要金鑰。

AWS 除非您明確排定刪除金鑰,且強制等待期間過期,否則付款密碼編譯永遠不會刪除屬於作用中 AWS 帳戶的金鑰。

不過,由於下列一個或多個原因,您可以選擇刪除 AWS 付款密碼編譯金鑰:

  • 為不再需要的金鑰完成金鑰生命週期

  • 為了避免與維護未使用的 AWS 付款密碼編譯金鑰相關的管理開銷

注意

如果您關閉或刪除 AWS 帳戶,則無法存取您的 AWS 付款密碼編譯金鑰。您不需要將 AWS 付款密碼編譯金鑰與關閉帳戶分開排程刪除。

AWS 當您排程刪除付款密碼編譯金鑰,以及實際刪除 AWS 付款密碼 AWS 編譯金鑰時,付款密碼編譯會在AWS CloudTrail日誌中記錄項目。

使用多區域金鑰複寫時,刪除主要區域金鑰 (PRK) 的付款密碼編譯金鑰,複本區域金鑰 (RRK) 也會自動刪除。RRK 無法像 PRK 一樣刪除。如果您想要刪除 RRK,則需要修改 PRK 的複寫區域

關於等待期

由於刪除金鑰是不可復原的,因此 AWS 付款密碼編譯需要您將等待期間設定為 3-180 天。預設等待期間為七天。

不過,實際等待期可能比您排定的等待期長最多 24 小時。若要取得要刪除 AWS 付款密碼編譯金鑰的實際日期和時間,請使用 GetKey 操作。請務必注意時區。

在等待期間, AWS 付款密碼編譯金鑰狀態和金鑰狀態為待刪除

注意

等待刪除的 AWS 付款密碼編譯金鑰不能用於任何密碼編譯操作

等待期間結束後, AWS 付款密碼編譯會刪除 AWS 付款密碼編譯金鑰、其別名和所有相關 AWS 付款密碼編譯中繼資料。

使用等待期間來確保您現在或未來不需要 AWS 付款密碼編譯金鑰。如果您發現在等待期間確實需要 金鑰,您可以在等待期間結束前取消刪除金鑰。在等待期間結束後,您無法取消金鑰刪除,且服務會刪除金鑰。

範例
    範例

    在此範例中,系統會請求刪除金鑰。除了基本金鑰資訊之外,兩個相關欄位是金鑰狀態已變更為 DELETE_PENDING,而 deletePendingTimestamp 代表目前排程刪除金鑰的時間。

    $ aws payment-cryptography delete-key \
                    --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
                  
    

  {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
            "KeyClass": "SYMMETRIC_KEY",
            "KeyAlgorithm": "TDES_3KEY",
            "KeyModesOfUse": {
                "Encrypt": false,
                "Decrypt": false,
                "Wrap": false,
                "Unwrap": false,
                "Generate": true,
                "Sign": false,
                "Verify": true,
                "DeriveKey": false,
                "NoRestrictions": false
            }
        },
        "KeyCheckValue": "0A3674",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "Enabled": false,
        "Exportable": true,
        "KeyState": "DELETE_PENDING",
        "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
        "CreateTimestamp": "2023-06-05T12:01:29.969000-07:00",
        "UsageStopTimestamp": "2023-06-05T14:31:13.399000-07:00",
        "DeletePendingTimestamp": "2023-06-12T14:58:32.865000-07:00"
    }
}
    範例

    在此範例中,將取消待定刪除。一旦成功完成,就不會再根據先前的排程刪除金鑰。回應包含基本金鑰資訊;此外,兩個相關欄位已變更 - KeyStatedeletePendingTimestamp。當 DeletePendingTimestamp移除時, KeyState 會傳回 CREATE_COMPLETE 的值。

    $ aws payment-cryptography restore-key --key-identifier arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h
                    
    {
    "Key": {
        "KeyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
        "KeyAttributes": {
            "KeyUsage": "TR31_V2_VISA_PIN_VERIFICATION_KEY",
            "KeyClass": "SYMMETRIC_KEY",
            "KeyAlgorithm": "TDES_3KEY",
            "KeyModesOfUse": {
                "Encrypt": false,
                "Decrypt": false,
                "Wrap": false,
                "Unwrap": false,
                "Generate": true,
                "Sign": false,
                "Verify": true,
                "DeriveKey": false,
                "NoRestrictions": false
            }
        },
        "KeyCheckValue": "0A3674",
        "KeyCheckValueAlgorithm": "ANSI_X9_24",
        "Enabled": false,
        "Exportable": true,
        "KeyState": "CREATE_COMPLETE",
        "KeyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
        "CreateTimestamp": "2023-06-08T12:01:29.969000-07:00",
        "UsageStopTimestamp": "2023-06-08T14:31:13.399000-07:00"
    }
}