Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

删除 Amazon KMS keys

删除 Amazon KMS key具有破坏性和潜在危险性。这将删除密钥材料以及与 KMS 密钥关联的所有元数据，并且不可撤销。删除 KMS 密钥后，您不能再解密用该密钥加密的数据，这意味着该数据将无法恢复。只有当您确定不再需要使用 KMS 密钥时，才能将其删除。如果您不确定，请考虑禁用 KMS 密钥，而不是将其删除。您可以重新启用被禁用的 KMS 密钥，取消 KMS 密钥的计划删除，但无法恢复已删除的 KMS。

您只能安排删除客户托管的密钥。 Amazon KMS从不会删除您的 KMS 密钥，除非您明确安排删除它们并且强制的等待期到期。您无法删除 Amazon 托管式密钥或 Amazon 拥有的密钥。

您可能会出于以下一个或多个原因而选择删除 KMS 密钥：

在删除 KMS 密钥之前，您可能想要了解使用该 KMS 密钥加密了多少密文。Amazon KMS 不会存储此信息，也不会存储任何密文。要获取此信息，您必须确定 KMS 密钥的过去使用情况。如需帮助，请转到 确定 KMS 密钥的过去使用情况。

在您计划删除 KMS 密钥且 KMS 密钥被实际删除时，Amazon KMS 会将一个条目记录在 Amazon CloudTrail 日志中。

有关删除多区域主密钥和副本密钥的信息，请参阅 删除多区域密钥。

关于等待期限

因为删除 KMS 密钥具有破坏性且存在潜在危险，所以 Amazon KMS 要求您将等待期限设置为 7-30 天。默认的等待期限为 30 天。

但是，实际等待期限可能最多比您计划的时间长 24 小时。要获取删除 KMS 密钥的实际日期和时间，请使用 KMS 密钥的实际日期和DescribeKey时间。或者在 Amazon KMS 控制台中的 KMS 密钥详细信息页面的 General configuration（常规配置）部分中，参阅计划删除日期。请务必记下时区。

在等待期限内，KMS 密钥状态和密钥状态为 Pending deletion（等待删除）。

等待期结束后，Amazon KMS 会删除 KMS 密钥、其别名以及所有相关的 Amazon KMS 元数据。

计划删除 KMS 密钥可能不会立即影响由 KMS 密钥加密的数据密钥。有关详细信息，请参阅不可用的 KMS 密钥如何影响数据密钥。

请利用这段等待期来确保现在或将来都不需要 KMS 密钥。您可以配置 Amazon 告 CloudWatch警，使其在有人员或应用程序在等待期间试图使用 KMS 密钥时发出警告。要恢复 KMS 密钥，您可以在等待期限结束前取消密钥删除。等待期限结束后，将无法取消密钥删除，Amazon KMS 将删除 KMS 密钥。

删除非对称 KMS 密钥

获得授权的用户可以删除对称 KMS 密钥或非对称 KMS 密钥。对于两种密钥类型，计划删除 KMS 密钥的过程是相同的。但是，由于非对称 KMS 密钥的公有密钥可以下载并在 Amazon KMS 外部使用，因此操作会带来重大的额外风险，尤其是对于用于加密的非对称 KMS 密钥（密钥用法为 ENCRYPT_DECRYPT）。

如果必须删除密钥用法为的非对称 KMS 密钥ENCRYPT_DECRYPT，请 CloudTrail 使用 KMS 条目确定是否已下载并共享公有密钥。如果有，请验证该公有密钥是否在 Amazon KMS 外部使用。然后，考虑禁用 KMS 密钥而不是将其删除。

删除多区域密钥

获得授权的用户可以计划删除多区域主密钥和副本密钥。然而，Amazon KMS 将不会删除具有副本密钥的多区域主键。此外，只要主键存在，您就可以重新创建已删除的多区域副本密钥。有关详细信息，请参阅删除多区域密钥。