CMK的删除

删除 KMS 密钥后,使用该密钥加密的所有数据将永远无法恢复。这是一个完全不可逆的操作,密钥材料被彻底销毁后,即使是 AWS 也无法帮助恢复已删除的密钥。这种操作影响范围通常非常广泛,可能波及到多个系统和应用程序。

所以,AWS 实施了 7-30 天的强制等待期(可配置),最短不能少于 7 天,最长不超过 30 天。在等待期间,密钥处于"待删除"状态,此时已经不能用于新的加密操作,但能保留解密功能:

image-20191207221123756

删除前,密钥会自动被禁用并被标记为"等待删除"状态。用户可以配置 CloudTrail 警报来监控删除事件,获得通知。最重要的是,在整个等待期内,用户随时可以取消删除操作,将密钥恢复到正常状态:

image-20191207221405249

KMS 密钥删除的设计充分体现了 AWS 对数据安全的谨慎态度,强制等待期作为一种重要的安全机制,为组织提供了发现和纠正潜在错误的机会。

测试

删除密钥后,尝试使用CMK进行加密:

image-20250308191820816

提示:is pending deletion

进行取消密钥删除操作,然后重新进行加密:

image-20250308191855635