Eliminación del material de claves importado - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminación del material de claves importado

Puede eliminar el material de claves importado desde una clave de KMS en cualquier momento. Además, cuando el material clave importado con fecha de caducidad caduca, lo AWS KMS elimina. En cualquier caso, cuando se elimina el material de claves, el estado de la clave de KMS cambia a importación pendiente, y la clave de KMS no puede utilizarse en ninguna operación criptográfica.

Las claves de cifrado simétricas pueden tener varios materiales clave asociados y, al eliminar o caducar cualquier material clave que se encuentre en un estado distinto, el estado de la PENDING_ROTATION clave pasa a Pendiente de importación. Para estas claves, KMS asigna un identificador único a cada material de claves. Puede utilizar la ListKeyRotationsAPI para ver estos identificadores de material clave. Puedes eliminar un material clave específico especificando su identificador mediante el key-material-id parámetro de la DeleteImportedKeyMaterialAPI.

Consideraciones sobre las claves multirregionales

  • Al eliminar el material clave de una clave de región principal que esté en un PENDING_MULTI_REGION_IMPORT_AND_ROTATION estado PENDING_ROTATION o estado, también eliminará los materiales clave de las réplicas de las claves de región.

  • Si elimina el material clave de una clave de región de réplica, la clave de región principal y las demás claves de región de réplica permanecen sin cambios.

aviso

El parámetro key-material-id es opcional y, si no lo especifica, AWS KMS eliminará el material de claves actual.

Además de deshabilitar la clave de KMS y retirar los permisos, la eliminación del material de claves se puede utilizar como estrategia para detener el uso de la clave de KMS de forma rápida, pero temporal. Por el contrario, si se programa la eliminación de una clave de KMS con material de claves importado, también se detiene rápidamente el uso de la clave de KMS. Sin embargo, si la eliminación no se cancela durante el periodo de espera, la clave de KMS, el material de claves asociados y todos los metadatos clave se eliminan de forma permanente. Para obtener más información, consulte Deleting KMS keys with imported key material.

Para eliminar el material clave, puede utilizar la AWS KMS consola o la operación de la DeleteImportedKeyMaterialAPI. AWS KMS registra una entrada en su AWS CloudTrail registro cuando elimina el material clave importado y cuando AWS KMS elimina el material clave caducado.

Cómo afecta AWS a los servicios la eliminación de material clave

Cuando se elimina el material de claves, la clave de KMS se vuelve inutilizable de forma inmediata (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a Servicios de AWS muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

Puede utilizar la AWS KMS consola para eliminar material clave.

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Realice una de las siguientes acciones:

    • Seleccione la casilla de verificación de una clave KMS con material de claves importado. Elija Key actions, Delete key material. En el caso de las claves de cifrado simétricas que tienen varios materiales de claves asociados, se eliminará el material de claves actual.

    • Para claves de KMS de cifrado simétrico con material de clave importado, elija el alias o el ID de clave de una clave de KMS. Seleccione la pestaña Material y rotaciones de las claves. La tabla de materiales de claves mostrará una lista de todos los materiales de claves asociados a la clave. Seleccione Eliminar el material de claves en el menú Acciones de la fila correspondiente al material de claves que desee eliminar.

  5. Confirme que desea eliminar el material de claves y, a continuación, seleccione Delete key material. El estado de la clave KMS, que corresponde a su estado de clave, cambia a Pending import (Importación pendiente). Si el material de claves eliminado estaba en el estado PENDING_ROTATION, no habrá ningún cambio en el estado de la clave de KMS.

Para usar la AWS KMS API para eliminar material clave, envía una DeleteImportedKeyMaterialsolicitud. El siguiente ejemplo muestra cómo hacerlo con la AWS CLI.

Sustituya 1234abcd-12ab-34cd-56ef-1234567890ab por el ID de clave de la clave KMS cuyo material de claves desea eliminar. Puede usar el ID de clave o el ARN de la clave KMS, pero no puede usar un alias para esta operación. El siguiente comando elimina el material de claves actual, que puede ser el único material de claves asociado a la clave.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

Para eliminar un material de claves específico, especifique el material de claves identificado mediante el parámetro key-material-id. Sustituya 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0 por el ID del material de claves que desea eliminar.

$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0