Cette page vous explique comment mettre à jour la référence de clé externe pour une clé Cloud EKM sans effectuer de rotation de la clé. La nouvelle référence de clé doit pointer vers le même matériel de clé que la référence de clé actuelle. Si la rotation du matériel de la clé a été effectuée dans le système partenaire de gestion des clés externe, vous devez effectuer la rotation de la clé.
Suivez les instructions de cette page si votre système partenaire de gestion des clés externes a modifié la référence de clé pour une clé existante. Par exemple, la référence de clé peut changer si le nom d'hôte du partenaire de gestion des clés externes est modifié ou si la structure de référence de clé est modifiée.
Rôles requis
Pour obtenir l'autorisation nécessaire pour mettre à jour une référence de clé externe, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur votre clé.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient l'autorisation cloudkms.cryptoKeyVersions.update, qui est nécessaire pour mettre à jour une référence de clé externe.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Mettre à jour l'URI d'une version de clé sans rotation
Pour mettre à jour la référence de clé d'une clé Cloud EKM que vous utilisez sur Internet, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Gestion des clés.
Sélectionnez le trousseau de clés, puis la clé et la version.
Cliquez sur more_vert Plus, puis sur Afficher l'URI de la clé.
Cliquez sur Mettre à jour l'URI de clé.
Saisissez le nouvel URI de clé, puis cliquez sur Enregistrer.
CLI gcloud
Pour mettre à jour l'URI de la version de clé, utilisez la commande gcloud kms versions update :
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Remplacez les éléments suivants :
KEY_VERSION: numéro de version de la clé.KEY_NAME: nom de la clé.KEY_RING: nom du trousseau de clés qui inclut la cléLOCATION: emplacement Cloud KMS du trousseau de clés.NEW_KEY_URI: nouvel URI pour le matériel de clé externe existant.
Mettre à jour le chemin d'accès d'une version de clé sans rotation
Pour mettre à jour la référence de clé d'une clé Cloud EKM que vous utilisez sur un réseau VPC, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Gestion des clés.
Sélectionnez le trousseau de clés, puis la clé et la version.
Cliquez sur Plus more_vert, puis sur Afficher le chemin d'accès de la clé.
Cliquez sur Mettre à jour le chemin d'accès de la clé.
Saisissez le nouveau chemin d'accès à la clé, puis cliquez sur Enregistrer.
CLI gcloud
Pour mettre à jour le chemin d'accès de la version de clé, utilisez la commande gcloud kms versions
update :
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Remplacez les éléments suivants :
KEY_VERSION: numéro de version de la clé.KEY_NAME: nom de la clé.KEY_RING: nom du trousseau de clés qui inclut la cléLOCATION: emplacement Cloud KMS du trousseau de clés.NEW_KEY_PATH: nouveau chemin d'accès au matériel de clé externe existant.