Questa pagina mostra come ruotare automaticamente o manualmente una chiave. Per ulteriori informazioni sullarotazione della chiavei in generale, consulta Rotazione delle chiavi.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per ruotare le chiavi, chiedi all'amministratore di concederti i seguenti ruoli IAM per la chiave:
-
Amministratore Cloud KMS (
roles/cloudkms.admin
) -
Esegui nuovamente la crittografia dei dati:
Cloud KMS CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter
)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per ruotare le chiavi. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per la rotazione delle chiavi sono necessarie le seguenti autorizzazioni:
-
Modifica la versione della chiave primaria:
cloudkms.cryptoKeys.update
-
Modificare o disattivare la rotazione automatica:
cloudkms.cryptoKeys.update
-
Crea una nuova versione della chiave:
cloudkms.cryptoKeyVersions.create
-
Disabilita le versioni precedenti della chiave:
cloudkms.cryptoKeyVersions.update
-
Ricripta i dati:
-
cloudkms.cryptoKeyVersions.useToDecrypt
-
cloudkms.cryptoKeyVersions.useToEncrypt
-
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Un singolo utente con un ruolo personalizzato contenente tutte queste autorizzazioni può ruotare le chiavi e ricriptare i dati in autonomia. Gli utenti con il ruolo Amministratore Cloud KMS e il ruolo Utilità di crittografia/decrittografia CryptoKey di Cloud KMS possono collaborare per ruotare le chiavi e ricriptare i dati. Segui il principio del privilegio minimo quando assegni i ruoli. Per maggiori dettagli, vedi Autorizzazioni e ruoli.
Quando ruoti una chiave, i dati criptati con le versioni precedenti della chiave non vengono criptati nuovamente in modo automatico. Per saperne di più, vedi Decrittografare e ricrittografare. La rotazione di una chiave non disattiva né elimina automaticamente le versioni della chiave esistenti. L'eliminazione delle versioni delle chiavi non più necessarie contribuisce a ridurre i costi.
Configurare la rotazione automatica
Per configurare la rotazione automatica durante la creazione di una nuova chiave:
Console
Quando utilizzi la console Google Cloud per creare una chiave, Cloud KMS imposta automaticamente il periodo di rotazione e l'ora della rotazione successiva. Puoi scegliere di utilizzare i valori predefiniti o specificarne di diversi.
Per specificare un periodo di rotazione e un orario di inizio diversi, quando crei la chiave, ma prima di fare clic sul pulsante Crea:
Per Periodo di rotazione della chiave, seleziona un'opzione.
Per A partire dal giorno, seleziona la data in cui vuoi che avvenga la prima rotazione automatica. Puoi lasciare A partire dal giorno al valore predefinito per avviare la prima rotazione automatica un periodo di rotazione della chiave dopo la creazione della chiave.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, vedi CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la prima rotazione, ad esempio2023-01-01T01:02:03
. Puoi omettere--next-rotation-time
per programmare la prima rotazione per un periodo di rotazione dal momento in cui esegui il comando. Per ulteriori informazioni, vediCryptoKey.nextRotationTime
.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go di Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il
metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
PURPOSE
: lo scopo della chiave.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, vedi CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la prima rotazione, ad esempio2023-01-01T01:02:03
. Per ulteriori informazioni, vediCryptoKey.nextRotationTime
.
Per configurare la rotazione automatica su una chiave esistente:
Console
Vai alla pagina Key Management nella console Google Cloud .
Fai clic sul nome del keyring che contiene la chiave per cui vuoi aggiungere una pianificazione della rotazione.
Fai clic sulla chiave a cui vuoi aggiungere una pianificazione di rotazione.
Nell'intestazione, fai clic su Modifica periodo di rotazione.
Nel prompt, scegli nuovi valori per i campi Periodo di rotazione e A partire dal giorno.
Nel prompt, fai clic su Salva.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, vedi CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la rotazione successiva, ad esempio2023-01-01T01:02:03
. Puoi omettere--next-rotation-time
per programmare la rotazione successiva per un periodo di rotazione a partire dal momento in cui esegui il comando. Per ulteriori informazioni, vediCryptoKey.nextRotationTime
.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go di Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per aggiornare una chiave, utilizza il
metodo
CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, vedi CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in cui completare la rotazione successiva, ad esempio2023-01-01T01:02:03
. Per ulteriori informazioni, vediCryptoKey.nextRotationTime
.
Ruotare manualmente una chiave
Innanzitutto, crea una nuova versione della chiave:
Console
Vai alla pagina Key Management nella console Google Cloud .
Fai clic sul nome del keyring che contiene la chiave per cui creerai una nuova versione della chiave.
Fai clic sulla chiave per cui creerai una nuova versione.
Nell'intestazione, fai clic su Ruota.
Nel prompt, fai clic su Ruota per confermare.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.
Le versioni della chiave sono numerate in sequenza.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go di Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per ruotare manualmente una chiave, crea prima una nuova versione della chiave chiamando il metodo CryptoKeyVersions.create.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Questo comando crea una nuova versione della chiave, ma non la imposta come versione principale.
Per impostare la nuova versione della chiave come principale, vedi Impostare una versione esistente come versione della chiave principale.
Se necessario, cripta nuovamente i dati criptati utilizzando la versione precedente della chiave.
Impostare una versione esistente come versione della chiave primaria
Per impostare una versione della chiave diversa come versione primaria per una chiave, aggiorna la chiave con le nuove informazioni sulla versione primaria. Una versione della chiave deve essere abilitata prima di poterla configurare come versione principale.
Console
Vai alla pagina Key Management nella console Google Cloud .
Fai clic sul nome del keyring contenente la chiave di cui vuoi aggiornare la versione principale.
Fai clic sulla chiave di cui vuoi aggiornare la versione principale.
Nella riga corrispondente alla versione della chiave che vuoi impostare come principale, fai clic su Visualizza altro
.Fai clic su Imposta come versione principale nel menu.
Nel prompt di conferma, fai clic su Imposta come principale.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary-version KEY_VERSION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.- KEY_VERSION: il numero di versione della nuova versione della chiave primaria.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go di Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Modifica la versione della chiave primaria chiamando il metodo CryptoKey.updatePrimaryVersion.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME:updatePrimaryVersion" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"cryptoKeyVersionId": "KEY_VERSION"}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il portachiavi.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.KEY_NAME
: il nome della chiave.- KEY_VERSION: il numero di versione della nuova versione della chiave primaria.
Quando modifichi la versione della chiave primaria, la modifica in genere diventa coerente entro 1 minuto. Tuttavia, in casi eccezionali, la propagazione di questa modifica può richiedere fino a 3 ore. Durante questo periodo, la versione primaria precedente potrebbe essere utilizzata per criptare i dati. Per ulteriori informazioni, consulta Coerenza delle risorse Cloud KMS.
Disattivare la rotazione automatica
Per disattivare la rotazione automatica di una chiave, deseleziona la pianificazione della rotazione della chiave:
Console
Vai alla pagina Key Management nella console Google Cloud .
Fai clic sul nome del keyring che contiene la chiave per la quale vuoi rimuovere la pianificazione della rotazione.
Fai clic sulla chiave da cui vuoi rimuovere la pianificazione di rotazione.
Nell'intestazione, fai clic su Modifica periodo di rotazione.
Nel prompt, fai clic sul campo Periodo di rotazione e seleziona Mai (rotazione manuale).
Nel prompt, fai clic su Salva.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --remove-rotation-schedule
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go di Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per saperne di più sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per aggiornare una chiave, utilizza il
metodo
CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": null, "nextRotationTime": null}'
Per ulteriori dettagli su rotationPeriod
e nextRotationTime
, vedi
keyRings.cryptoKeys
.
Ruotare una chiave esterna
Ruotare una chiave esterna coordinata
Puoi configurare la rotazione automatica per le chiavi esterne coordinate simmetriche. Puoi anche creare manualmente una nuova versione della chiave per le chiavi esterne coordinate simmetriche o asimmetriche.
La rotazione o la creazione di una nuova versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con la nuova versione della chiave. I dati protetti con una versione precedente della chiave non vengono ricriptati. Di conseguenza, il gestore chiavi esterno deve continuare a rendere disponibile il materiale della chiave della versione precedente.
Per creare una nuova versione della chiave per una chiave esterna coordinata, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Key Management.
Seleziona il keyring, quindi seleziona la chiave.
Fai clic su Crea versione. Un messaggio indica che la nuova versione della chiave verrà generata sia in Cloud KMS sia nell'EKM. Se vedi un campo Percorso chiave o URI chiave, la chiave selezionata non è una chiave esterna coordinata.
Per confermare che vuoi creare una nuova versione della chiave, fai clic su Crea versione.
La nuova versione della chiave viene visualizzata nello stato In attesa di generazione. Per le chiavi simmetriche, le versioni delle chiavi create manualmente non vengono impostate automaticamente come versione della chiave primaria. Puoi impostare la nuova versione della chiave come principale.
Interfaccia a riga di comando gcloud
Per creare una nuova versione della chiave simmetrica e impostarla come versione della chiave primaria,
utilizza il comando kms keys versions create
con il flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.
Per creare una nuova versione della chiave asimmetrica o una nuova versione della chiave simmetrica che non sia la versione della chiave primaria, utilizza il comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.
Ruota una chiave Cloud EKM gestita manualmente tramite VPC
Innanzitutto, ruota il materiale della chiave esterna nel gestore di chiavi esterno. Se viene generato un nuovo percorso della chiave, devi ruotare o creare una nuova versione della chiave Cloud EKM con il nuovo percorso della chiave. Per le chiavi di crittografia simmetrica, ruota la chiave Cloud EKM e specifica il nuovo percorso della chiave dal gestore di chiavi esterno. Per le chiavi asimmetriche, crea una nuova versione della chiave e specifica il nuovo percorso della chiave.
La rotazione o la creazione di una nuova versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con la nuova versione della chiave. I dati protetti con una versione precedente della chiave non vengono ricriptati. Di conseguenza, il gestore chiavi esterno deve continuare a rendere disponibile il materiale della chiave della versione precedente.
Se il materiale della chiave nel sistema di gestione delle chiavi esterno del partner non cambia, ma il percorso della chiave cambia, puoi aggiornare il percorso esterno della chiave senza ruotarla.
Console
Nella console Google Cloud , vai alla pagina Key Management.
Seleziona il keyring, quindi la chiave.
Fai clic su Ruota la chiave.
In Percorso chiave, inserisci il percorso della chiave per la nuova versione.
Fai clic su Ruota chiave per confermare.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.
Per creare una nuova versione della chiave simmetrica e impostarla come versione della chiave primaria,
utilizza il comando kms keys versions create
con il flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH \ --primary
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.EXTERNAL_KEY_PATH
: il percorso della nuova versione della chiave esterna.
Per creare una nuova versione della chiave asimmetrica o una nuova versione della chiave simmetrica che non sia la versione della chiave primaria, utilizza il comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.EXTERNAL_KEY_PATH
: il percorso della nuova versione della chiave esterna.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help
.
Una volta creata correttamente la versione della chiave, puoi utilizzarla come faresti con qualsiasi altra versione della chiave Cloud KMS.
Ruotare una chiave Cloud EKM gestita manualmente tramite una chiave internet
Innanzitutto, ruota il materiale della chiave esterna nel gestore di chiavi esterno. Se viene generato un nuovo URI, devi ruotare o creare una nuova versione della chiave Cloud EKM con il nuovo URI. Per le chiavi di crittografia simmetrica, ruota la chiave Cloud EKM e specifica il nuovo URI della chiave dal gestore di chiavi esterno. Per le chiavi asimmetriche, crea una nuova versione della chiave e specifica il nuovo URI della chiave.
La rotazione o la creazione di una nuova versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con la nuova versione della chiave. I dati protetti con una versione precedente della chiave non vengono ricriptati. Di conseguenza, il gestore chiavi esterno deve continuare a rendere disponibile il materiale della chiave della versione precedente.
Se il materiale della chiave nel sistema di gestione delle chiavi esterno del partner non cambia, ma l'URI cambia, puoi aggiornare l'URI esterno della chiave senza ruotarla.
Console
Nella console Google Cloud , vai alla pagina Key Management.
Seleziona il keyring, quindi la chiave.
Seleziona Ruota chiave per le chiavi simmetriche o Crea versione per le chiavi asimmetriche.
Inserisci il nuovo URI della chiave, poi seleziona Ruota chiave per le chiavi simmetriche o Crea versione per le chiavi asimmetriche.
La nuova versione della chiave diventa la versione principale.
Interfaccia a riga di comando gcloud
Per creare una nuova versione della chiave simmetrica e impostarla come versione della chiave primaria,
utilizza il comando kms keys versions create
con il flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI \ --primary
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.EXTERNAL_KEY_URI
: l'URI della chiave della nuova versione della chiave esterna.
Per creare una nuova versione della chiave asimmetrica o una nuova versione della chiave simmetrica che non sia la versione della chiave primaria, utilizza il comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome delle chiavi automatizzate che contengono la chiave.LOCATION
: la posizione di Cloud KMS delle chiavi automatizzate.EXTERNAL_KEY_URI
: l'URI della chiave della nuova versione della chiave esterna.
Passaggi successivi
- Dopo aver eseguito la rotazione di una chiave, puoi ricriptare i dati criptati con quella chiave.
- Dopo aver ricriptato i dati, puoi controllare se la versione della chiave è in uso.
- Dopo aver confermato che una versione della chiave non è più in uso, puoi eliminarla.