本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 刪除匯入的金鑰材料
<a name="importing-keys-delete-key-material"></a>

您可以隨時刪除 KMS 金鑰中匯入的金鑰材料。此外，當具有過期日期的匯入金鑰材料過期時， 會 AWS KMS 刪除金鑰材料。在任一情況下，刪除金鑰材料時，KMS 金鑰的[金鑰狀態](key-state.md)會變更為*待匯入*，且 KMS 金鑰無法用於任何密碼編譯操作。

對稱加密金鑰可以有多個與其相關聯的金鑰材料。對於這些金鑰，KMS 會為每個金鑰材料指派唯一的識別符。您可以使用 [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html) API 來檢視這些金鑰材料識別符和對應的金鑰材料狀態 （請參閱 [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html))。金鑰材料狀態為 `PENDING_ROTATION`或 `PENDING_MULTI_REGION_IMPORT_AND_ROTATION`表示金鑰材料未永久與 KMS 金鑰相關聯。刪除或過期任何永久關聯的金鑰材料會將金鑰狀態變更為*待匯入*。您可以使用 [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) API 中的 `key-material-id` 參數指定特定金鑰材料的識別符。

**多區域金鑰的考量事項**
+ 當您刪除處於 `PENDING_ROTATION`或 `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` 狀態之主要區域金鑰的金鑰材料時，您也會刪除複本區域金鑰的金鑰材料。
+ 如果您刪除主要或複本區域金鑰中的金鑰材料，則只會影響該特定金鑰，而其他相關的多區域金鑰保持不變。具有其所有永久關聯金鑰材料的任何主要或複本區域金鑰都會繼續用於密碼編譯操作。

**警告**  
`key-material-id` 參數是選用的， AWS KMS 如果您未指定， 會刪除目前的金鑰材料。

除停用 KMS 金鑰及撤回權限外，刪除金鑰資料也可作為快速但暫時停止使用 KMS 金鑰的策略。反之，利用匯入的金鑰資料來排程刪除 KMS 金鑰也可快速停止運用 KMS 金鑰。不過，如果在等待期間未取消刪除，KMS 金鑰、相關聯的金鑰材料和所有金鑰中繼資料都會永久刪除。如需詳細資訊，請參閱[Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)。

若要刪除金鑰材料，您可以使用 AWS KMS 主控台或 [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) API 操作。當您[刪除匯入的金鑰材料](ct-deleteimportedkeymaterial.md)，以及[AWS KMS 刪除過期的金鑰材料](ct-deleteexpiredkeymaterial.md)時， 會在 AWS CloudTrail 日誌中 AWS KMS 記錄 項目。

**刪除金鑰材料如何影響 AWS 服務**  
當您刪除任何金鑰材料時，KMS 金鑰會立即變成無法使用 （取決於最終一致性）。不過，使用受 KMS 金鑰保護之[資料金鑰](data-keys.md)所加密的資源不會受影響，除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務，其中許多 會使用資料金鑰來保護您的 資源。如需詳細資訊，請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。

## 使用 AWS KMS 主控台
<a name="importing-keys-delete-key-material-console"></a>

您可以使用 AWS KMS 主控台來刪除金鑰材料。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格中，選擇 **Customer managed keys** (客戶受管金鑰)。

1. 執行以下任意一項：
   + 選取含有匯入金鑰資料的 KMS 金鑰的核取方塊。選擇 **Key actions (金鑰動作)**、**Delete key material (刪除金鑰材料)**。對於具有多個金鑰材料關聯的對稱加密金鑰，這會刪除目前的金鑰材料。
   + 對於具有匯入金鑰材料的對稱加密 KMS 金鑰，請選擇 KMS 金鑰的別名或金鑰 ID。選擇**金鑰材料和輪換**索引標籤。金鑰材料資料表會列出與金鑰相關聯的所有金鑰材料。在對應至您要刪除之**金鑰材料**的資料列中，從**動作**選單中選擇刪除金鑰材料。

1. 確認您要刪除金鑰材料，然後選擇 **Delete key material (刪除金鑰材料)**。KMS 金鑰的狀態 (對應其[金鑰狀態](key-state.md)) 會變更為 **Pending import** (待匯入)。如果刪除的金鑰材料處於 `PENDING_ROTATION` 狀態，KMS 金鑰的狀態不會變更。

## 使用 AWS KMS API
<a name="importing-keys-delete-key-material-api"></a>

若要使用 [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) 來刪除金鑰材料，請傳送 [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) 請求。以下範例顯示如何使用 [AWS CLI](https://aws.amazon.com/cli/) 執行此作業。

將 `{{1234abcd-12ab-34cd-56ef-1234567890ab}}` 替換為您要刪除其金鑰材料之 KMS 金鑰的金鑰 ID。您可以使用 KMS 金鑰的金鑰 ID 或 ARN，但不能對此操作使用別名。下列命令會刪除目前的金鑰材料，這可能是與金鑰相關聯的唯一金鑰材料。

```
$ aws kms delete-imported-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}}
```

若要刪除特定金鑰材料，請使用 `key-material-id` 參數指定識別的金鑰材料。`{{123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0}}` 將 取代為您要刪除之金鑰資料的識別符。

```
$ aws kms delete-imported-key-material --key-id {{1234abcd-12ab-34cd-56ef-1234567890ab}} \
    --key-material-id {{123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0}}
```