本頁面說明如何在不輪替金鑰的情況下,更新 Cloud EKM 金鑰的外部金鑰參照。新的金鑰參照必須指向與目前金鑰參照相同的金鑰內容。如果金鑰內容已在外部金鑰管理合作夥伴系統中輪替,您必須改為輪替金鑰。
如果外部金鑰管理合作夥伴系統已變更現有金鑰的金鑰參照,請按照本頁的操作說明進行操作。舉例來說,外部金鑰管理合作夥伴的主機名稱或金鑰參照結構變更,都可能導致金鑰參照變更。
必要的角色
如要取得更新外部金鑰參照所需的權限,請要求管理員為您的金鑰授予「Cloud KMS 管理員」 (roles/cloudkms.admin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這個預先定義的角色包含 cloudkms.cryptoKeyVersions.update 權限,這是更新外部索引鍵參照所需的權限。
更新未輪替的金鑰版本 URI
如要更新透過網際網路使用的 Cloud EKM 金鑰的金鑰參照,請完成下列步驟:
控制台
前往 Google Cloud 控制台的「Key Management」頁面。
選取金鑰環,然後選取金鑰和版本。
依序按一下「更多」圖示 more_vert 和「查看金鑰 URI」。
按一下「更新金鑰 URI」。
輸入新的鍵 URI,然後按一下「儲存」。
gcloud CLI
如要更新金鑰版本的 URI,請使用 gcloud kms versions update 指令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
更改下列內容:
KEY_VERSION:鍵版本號碼。KEY_NAME:鍵的名稱。KEY_RING:金鑰所屬金鑰環的名稱。LOCATION:金鑰環的 Cloud KMS 位置。NEW_KEY_URI:現有外部金鑰資料的新 URI。
更新未輪替的金鑰版本金鑰路徑
如要更新透過虛擬私有雲網路使用的 Cloud EKM 金鑰的金鑰參照,請完成下列步驟:
控制台
前往 Google Cloud 控制台的「Key Management」頁面。
選取金鑰環,然後選取金鑰和版本。
依序點選「更多」more_vert 和「查看金鑰路徑」。
按一下「更新金鑰路徑」。
輸入新的鍵路徑,然後按一下「儲存」。
gcloud CLI
如要更新金鑰版本的金鑰路徑,請使用 gcloud kms versions
update 指令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
更改下列內容:
KEY_VERSION:鍵版本號碼。KEY_NAME:鍵的名稱。KEY_RING:金鑰所屬金鑰環的名稱。LOCATION:金鑰環的 Cloud KMS 位置。NEW_KEY_PATH:現有外部金鑰素材的新路徑。