In Cloud KMS wird das kryptografische Schlüsselmaterial, das Sie zum Verschlüsseln, Entschlüsseln, Signieren und Prüfen von Daten verwenden, in einer Schlüsselversion gespeichert. Ein Schlüssel hat null oder mehr Schlüsselversionen. Wenn Sie einen Schlüssel rotieren, erstellen Sie eine neue Schlüsselversion.
In diesem Thema erfahren Sie, wie Sie eine Schlüsselversion deaktivieren können. Während der Deaktivierung eines Schlüssels kann nicht auf die mit dem Schlüssel verschlüsselten Daten zugegriffen werden. Sie können die Schlüsselversion wieder aktivieren, um auf die Daten zuzugreifen.
Das Deaktivieren einer Schlüsselversion ist innerhalb eines Zeitraums von mehreren Sekunden bis zu drei Stunden konsistent. Die Schlüsselversion lässt sich fast sofort aktivieren. Sie können den Zugriff auf eine Schlüsselversion auch mit Identity and Access Management (IAM) verwalten. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter IAM verwenden.
Sie können auch eine Schlüsselversion dauerhaft löschen. Je nach den Richtlinien Ihrer Organisation müssen Sie eine Schlüsselversion möglicherweise deaktivieren, bevor Sie sie löschen können. Weitere Informationen finden Sie unter Löschen der Schlüsselversion kontrollieren.
Schlüsselversion deaktivieren
Sie können eine Schlüsselversion im Aktiviert-Status deaktivieren. Bevor Sie eine Schlüsselversion deaktivieren, sollten Sie prüfen, ob der Schlüssel noch verwendet wird. Sie können sich Details zur Schlüsselnutzung für den Schlüssel ansehen, um zu sehen, ob er CMEK-Ressourcen schützt. Wenn Ressourcen durch die Schlüsselversion geschützt sind, die Sie deaktivieren möchten, verschlüsseln Sie sie noch einmal mit einer anderen Schlüsselversion, bevor Sie den Schlüssel deaktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Keyrings, der den Schlüssel enthält, dessen Schlüsselversion Sie deaktivieren möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie deaktivieren möchten.
Klicken Sie auf das Kästchen neben den Schlüsselversionen, die Sie deaktivieren möchten.
Klicken Sie im Header auf Deaktivieren.
Klicken Sie in der Bestätigungsaufforderung auf Deaktivieren.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die Version des Schlüssels, die deaktiviert werden soll. Ersetzen Sie key durch den Namen des Schlüssels. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Nachdem Sie die Anfrage gesendet haben, ändert sich der Status der Schlüsselversion in „Deaktiviert“.
Deaktivierte Schlüsselversionen werden in Rechnung gestellt.
Externen Schlüssel deaktivieren oder löschen
Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel vorübergehend deaktivieren möchten, können Sie den Cloud EKM-Schlüssel oder die Schlüsselversion deaktivieren. Es wird empfohlen, alle Schlüsselversionen zu deaktivieren. Das Deaktivieren eines Schlüssels erfolgt innerhalb von drei Stunden.
Wenn Sie einen Schlüssel deaktivieren, sollten Sie auch den Zugriff auf den Schlüssel widerrufen. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Vielleicht sollten Sie auch den Zugriff des Google Cloud-Dienstkontos im Partnersystem für die externe Schlüsselverwaltung widerrufen.
Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel endgültig entfernen möchten, können Sie die Cloud EKM-Schlüsselversion zum Löschen vormerken. Nach Ablauf des Zeitraums, in dem die Vernichtung geplant ist, wird der Schlüssel gelöscht. Das Löschen einer Schlüsselversion ist endgültig. Nachdem die Schlüsselversion gelöscht wurde, können Sie keine Daten mehr verschlüsseln oder Daten entschlüsseln, die mit der Cloud EKM-Schlüsselversion verschlüsselt wurden. Sie können keine Cloud EKM-Schlüsselversion erstellen, die gelöscht wurde, auch wenn Sie denselben externen Schlüssel-URI oder Schlüsselpfad verwenden. Wenn Sie externes Schlüsselmaterial löschen, empfehlen wir, zuerst den Schlüssel oder die Schlüsselversion in Google Cloud zu löschen und erst danach, wenn der Cloud EKM-Schlüssel gelöscht wurde, das Schlüsselmaterial im externen Schlüsselverwaltungssystem.
Durch das Deaktivieren eines Schlüssels oder einer Schlüsselversion in Cloud KMS wird der Schlüssel im Partnersystem der externen Schlüsselverwaltung nicht geändert.
Durch das Löschen einer Version eines manuell verwalteten Schlüssels in Cloud KMS wird der Schlüssel im Partnersystem für die externe Schlüsselverwaltung nicht geändert. Wenn Sie eine koordinierte externe Schlüsselversion in Cloud KMS löschen, wird das interne Schlüsselmaterial gelöscht und es wird eine Anfrage an das Partnersystem für die externe Schlüsselverwaltung gesendet, um das externe Schlüsselmaterial zu löschen.
Schlüsselversion aktivieren
Sie können eine Schlüsselversion im deaktivierten Status aktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, dessen Schlüsselversion Sie auswählen möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie aktivieren möchten.
Klicken Sie auf die Kästchen neben den Schlüsselversionen, die Sie aktivieren möchten.
Klicken Sie im Header auf Aktivieren.
Klicken Sie in der Bestätigungsaufforderung auf Aktivieren.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die zu aktivierende Version des Schlüssels. Ersetzen Sie key durch den Schlüsselnamen. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Nachdem Sie die Anfrage gesendet haben, ändert sich der Status der Schlüsselversion in „Aktiviert“.
Erforderliche IAM-Berechtigungen
Zum Aktivieren oder Deaktivieren einer Schlüsselversion benötigt der Aufrufer die IAM-Berechtigung cloudkms.cryptoKeyVersions.update
für den Schlüssel, den Schlüsselbund oder das Projekt, den Ordner oder die Organisation.
Diese Berechtigung wird der Cloud KMS-Administratorrolle (roles/cloudkms.admin
) gewährt.