Questa pagina mostra come aggiornare il riferimento alla chiave esterna per una chiave Cloud EKM senza ruotarla. Il nuovo riferimento alla chiave deve rimandare allo stesso materiale della chiave del riferimento attuale. Se il materiale della chiave è stato ruotato nel sistema esterno di gestione delle chiavi del partner, devi ruotare la chiave.
Segui le istruzioni riportate in questa pagina se il sistema di gestione delle chiavi esterne del partner ha modificato il riferimento alla chiave per una chiave esistente. Ad esempio, il riferimento alla chiave può cambiare in seguito a una modifica del nome host del partner di gestione delle chiavi esterno o a una modifica della struttura del riferimento alla chiave.
Ruoli obbligatori
Per ottenere l'autorizzazione necessaria per aggiornare un riferimento a una chiave esterna, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) sulla chiave.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
cloudkms.cryptoKeyVersions.update
necessaria per
aggiornare un riferimento a una chiave esterna.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Aggiorna l'URI per una versione della chiave senza rotazione
Per aggiornare il riferimento alla chiave per una chiave Cloud EKM che utilizzi su internet, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Key Management.
Seleziona il keyring, quindi la chiave e la versione.
Fai clic su more_vert Altro e poi su Visualizza URI chiave.
Fai clic su Aggiorna URI chiave.
Inserisci il nuovo URI della chiave, quindi fai clic su Salva.
Interfaccia a riga di comando gcloud
Per aggiornare l'URI della versione della chiave, utilizza il comando gcloud kms versions update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Sostituisci quanto segue:
KEY_VERSION: il numero di versione della chiave.KEY_NAME: il nome della chiave.KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.NEW_KEY_URI: il nuovo URI per il materiale della chiave esterna esistente.
Aggiorna il percorso della chiave per una versione della chiave senza rotazione
Per aggiornare il riferimento alla chiave per una chiave Cloud EKM che utilizzi su una rete VPC, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Key Management.
Seleziona il keyring, quindi la chiave e la versione.
Fai clic su Altro more_vert e poi su Visualizza percorso chiave.
Fai clic su Aggiorna percorso chiave.
Inserisci il nuovo percorso della chiave, quindi fai clic su Salva.
Interfaccia a riga di comando gcloud
Per aggiornare il percorso della chiave della versione della chiave, utilizza il comando gcloud kms versions
update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Sostituisci quanto segue:
KEY_VERSION: il numero di versione della chiave.KEY_NAME: il nome della chiave.KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.NEW_KEY_PATH: il nuovo percorso per il materiale della chiave esterna esistente.