Auf dieser Seite erfahren Sie, wie Sie die externe Schlüsselreferenz für einen Cloud EKM-Schlüssel aktualisieren, ohne den Schlüssel zu rotieren. Die neue Schlüsselreferenz muss auf dasselbe Schlüsselmaterial verweisen wie die aktuelle Schlüsselreferenz. Wenn das Schlüsselmaterial im Partnersystem für die externe Schlüsselverwaltung rotiert wurde, müssen Sie stattdessen den Schlüssel rotieren.
Folgen Sie der Anleitung auf dieser Seite, wenn das Partnersystem für die externe Schlüsselverwaltung den Schlüsselpfad oder den Schlüssel-URI für einen vorhandenen Schlüssel geändert hat. Die Schlüsselreferenz kann sich beispielsweise aufgrund einer Änderung am Hostnamen des externen Schlüsselverwaltungspartners oder einer Änderung an der Struktur der Schlüsselreferenz ändern.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Admin (roles/cloudkms.admin) für Ihren Schlüssel zu erteilen, damit Sie die Berechtigungen erhalten, die Sie zum Aktualisieren einer externen Schlüsselreferenz benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung cloudkms.cryptoKeyVersions.update, die zum Aktualisieren einer externen Schlüsselreferenz erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
URI für eine Schlüsselversion ohne Rotation aktualisieren
So aktualisieren Sie die Schlüsselreferenz für einen Cloud EKM-Schlüssel, den Sie über das Internet verwenden:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf more_vert und dann auf das Dreipunkt-Menü und dann auf Schlüssel-URI anzeigen.
Klicken Sie auf Schlüssel-URI aktualisieren.
Geben Sie den neuen Schlüssel-URI ein und klicken Sie auf Speichern.
gcloud-CLI
Verwenden Sie zum Aktualisieren des URI für die Schlüsselversion den Befehl gcloud kms versions update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Ersetzen Sie Folgendes:
KEY_VERSION: die Versionsnummer des Schlüssels.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.NEW_KEY_URI: Der neue URI für das vorhandene externe Schlüsselmaterial.
Schlüsselpfad für eine Schlüsselversion ohne Rotation aktualisieren
So aktualisieren Sie die Schlüsselreferenz für einen Cloud EKM-Schlüssel, den Sie über ein VPC-Netzwerk verwenden:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf das Dreipunkt-Menü more_vert und dann auf Schlüsselpfad ansehen.
Klicken Sie auf Schlüsselpfad aktualisieren.
Geben Sie den neuen Schlüsselpfad ein und klicken Sie auf Speichern.
gcloud-CLI
Verwenden Sie den Befehl gcloud kms versions
update, um den Schlüsselpfad der Schlüsselversion zu aktualisieren:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Ersetzen Sie Folgendes:
KEY_VERSION: die Versionsnummer des Schlüssels.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.NEW_KEY_PATH: Der neue Pfad für das vorhandene externe Schlüsselmaterial.