Memperbarui referensi kunci eksternal

Halaman ini menunjukkan cara memperbarui referensi kunci eksternal untuk kunci Cloud EKM tanpa merotasi kunci. Referensi kunci baru harus mengarah ke materi kunci yang sama dengan referensi kunci saat ini. Jika materi kunci telah dirotasi di sistem partner pengelolaan kunci eksternal, Anda harus merotasi kunci.

Gunakan petunjuk di halaman ini jika sistem partner pengelolaan kunci eksternal Anda telah mengubah referensi kunci untuk kunci yang ada. Misalnya, referensi kunci dapat berubah sebagai akibat dari perubahan pada nama host partner pengelolaan kunci eksternal atau perubahan pada struktur referensi kuncinya.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk memperbarui referensi kunci eksternal, minta administrator Anda untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) di kunci Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin cloudkms.cryptoKeyVersions.update, yang diperlukan untuk memperbarui referensi kunci eksternal.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengupdate URI untuk versi kunci tanpa rotasi

Untuk memperbarui referensi kunci bagi kunci Cloud EKM yang Anda gunakan melalui internet, selesaikan langkah-langkah berikut:

Konsol

  1. Di Google Cloud console, buka halaman Key Management.

    Buka Key Management

  2. Pilih key ring, lalu pilih kunci dan versi.

  3. Klik Lainnya, lalu klik Lihat URI kunci.

  4. Klik Perbarui URI kunci.

  5. Masukkan URI kunci baru, lalu klik Simpan.

gcloud CLI

Untuk memperbarui URI versi kunci, gunakan perintah gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Ganti kode berikut:

  • KEY_VERSION: nomor versi kunci.
  • KEY_NAME: nama kunci.
  • KEY_RING: nama key ring yang berisi kunci.
  • LOCATION: lokasi Cloud KMS key ring.
  • NEW_KEY_URI: URI baru untuk materi kunci eksternal yang ada.

Memperbarui jalur kunci untuk versi kunci tanpa rotasi

Untuk memperbarui referensi kunci bagi kunci Cloud EKM yang Anda gunakan melalui jaringan VPC, selesaikan langkah-langkah berikut:

Konsol

  1. Di Google Cloud console, buka halaman Key Management.

    Buka Key Management

  2. Pilih key ring, lalu pilih kunci dan versi.

  3. Klik Lainnya lalu Lihat jalur kunci.

  4. Klik Perbarui jalur kunci.

  5. Masukkan jalur kunci baru, lalu klik Simpan.

gcloud CLI

Untuk memperbarui jalur kunci versi kunci, gunakan perintah gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Ganti kode berikut:

  • KEY_VERSION: nomor versi kunci.
  • KEY_NAME: nama kunci.
  • KEY_RING: nama key ring yang berisi kunci.
  • LOCATION: lokasi Cloud KMS key ring.
  • NEW_KEY_PATH: jalur baru untuk materi kunci eksternal yang ada.