Nesta página, mostramos como atualizar a referência de chave externa para uma chave do Cloud EKM sem fazer a rotação dela. A nova referência precisa apontar para o mesmo material da chave que a referência atual. Se o material da chave tiver sido girado no sistema do parceiro de gerenciamento de chaves externas, gire a chave.
Use as instruções nesta página se o sistema do parceiro de gerenciamento de chave externa tiver mudado a referência de chave para uma chave existente. Por exemplo, a referência de chave pode mudar como resultado de uma alteração no nome do host do parceiro de gerenciamento de chave externo ou na estrutura de referência de chave dele.
Funções exigidas
Para receber a permissão necessária para atualizar uma referência de chave externa,
peça ao administrador para conceder a você o
papel do IAM Administrador do Cloud KMS (roles/cloudkms.admin)
na sua chave.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém a
permissão
cloudkms.cryptoKeyVersions.update,
que é necessária para
atualizar uma referência de chave externa.
Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.
Atualizar o URI de uma versão de chave sem rotação
Para atualizar a referência de uma chave do Cloud EKM que você usa na Internet, siga estas etapas:
Console
No console Google Cloud , acesse a página Gerenciamento de chaves.
Selecione o keyring, a chave e a versão.
Clique em more_vert Mais e depois em Visualizar URI da chave.
Clique em Atualizar URI da chave.
Insira o novo URI da chave e clique em Salvar.
CLI da gcloud
Para atualizar o URI da versão da chave, use o comando gcloud kms versions update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Substitua:
KEY_VERSION: o número da versão da chave.KEY_NAME: o nome da chave;KEY_RING: o nome do keyring que contém a chave.LOCATION: o local do Cloud KMS do keyring.NEW_KEY_URI: o novo URI do material de chave externo atual.
Atualizar o caminho de uma versão de chave sem rotação
Para atualizar a referência de uma chave do Cloud EKM usada em uma rede VPC, siga estas etapas:
Console
No console Google Cloud , acesse a página Gerenciamento de chaves.
Selecione o keyring, a chave e a versão.
Clique em Mais more_vert e depois em Ver caminho da chave.
Clique em Atualizar caminho da chave.
Insira o novo caminho da chave e clique em Salvar.
CLI da gcloud
Para atualizar o caminho da chave da versão da chave, use o comando gcloud kms versions
update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Substitua:
KEY_VERSION: o número da versão da chave.KEY_NAME: o nome da chave;KEY_RING: o nome do keyring que contém a chave.LOCATION: o local do Cloud KMS do keyring.NEW_KEY_PATH: o novo caminho para o material de chave externo atual.