Si eres cliente de T-Systems Sovereign Cloud, debes seguir otro flujo de trabajo para gestionar tus claves de Cloud External Key Manager (Cloud EKM). En lugar de configurar y gestionar tu propio gestor de claves externo, Google Cloud T-Systems International (TSI) se encarga de estos pasos. Esto significa que el TSI gestiona tus claves y versiones de claves a petición tuya.
En este tema se explica cómo enviar solicitudes de operaciones de claves comunes en un proyecto de Cloud Key Management Service gestionado por TSI, conocido como proyecto de gestión de claves.
Antes de empezar
Debes tener un llavero con al menos una clave antes de hacer solicitudes de operaciones con claves. Si necesitas un nuevo conjunto de claves y una nueva clave, sigue los pasos que se indican en Primeros pasos con Cloud KMS gestionado por TSI.
Obtener el nombre de recurso de la clave
En cualquier solicitud de operación de clave, debes proporcionar el nombre del recurso de la clave o de la versión de la clave que se va a modificar.
- Debes proporcionar el nombre del recurso clave para crear una versión o rotar una clave.
- Para actualizar o eliminar una versión de clave, debes proporcionar el nombre del recurso de la versión de clave.
Solicitudes de Issue Tracker
Issue Tracker es una herramienta que usan Google y sus partners para monitorizar las solicitudes de proyectos especializados. En los proyectos de Cloud Key Management Service gestionados por el equipo de asistencia técnica de infraestructura, puedes usar Issue Tracker para enviar solicitudes al equipo, que se encargará de ellas en tu proyecto de Cloud Key Management Service y gestionará tus claves en el gestor de claves externo.
En el correo de bienvenida encontrarás un enlace a la herramienta de seguimiento de incidencias de tu organización.
Operaciones comunes con claves
Crear una versión de clave
Usa Issue Tracker para enviar una solicitud de una nueva versión de la clave. La nueva versión de la clave se establece como versión principal si es la primera versión de la clave o si no hay otras versiones de la clave.
En Issue Tracker, selecciona Crear versión de clave y proporciona el nombre de recurso de tu clave. Haga clic en Crear para enviar su solicitud.
Rotar clave
En Issue Tracker, indica Rotate key (Rotar clave) en el cuerpo del ticket y proporciona el nombre del recurso de tu clave. Haga clic en Crear para enviar su solicitud.
Cuando se rota una clave, TSI genera material de clave nuevo en EKM, crea una versión de clave nueva en tu proyecto de Cloud Key Management Service y, a continuación, define la nueva versión de clave como la principal.
Al rotar una versión de una clave, todos los datos creados recientemente y protegidos con esa clave se encriptan con material de clave nuevo. Los datos protegidos con el material de clave anterior no se vuelven a cifrar. Por lo tanto, el material de clave anterior debe seguir estando disponible para su uso.
Inhabilitar una versión de clave
Puedes usar la Google Cloud consola, la CLI de Google Cloud o una biblioteca de cliente de Cloud KMS para inhabilitar una versión de una clave que esté en el estado Habilitada. Cuando inhabilitas una versión de clave, su estado cambia a Inhabilitada. Para obtener más información, consulta el artículo Habilitar e inhabilitar versiones de claves de la documentación de Cloud KMS.
Eliminar una versión de clave
Para eliminar una versión de clave, programa su eliminación en Cloud KMS. De esta forma, se destruye la clave de Cloud KMS y ya no se podrá acceder a los datos encriptados con ella.
Si también quieres destruir la clave en el EKM de TSI, sigue estos pasos:
- Programa la eliminación de la versión de clave.
- En Issue Tracker, selecciona Destroy key version (Destruir versión de clave) en el cuerpo del ticket y proporciona el nombre del recurso de la versión de clave que quieras destruir.
- Haga clic en Crear para enviar su solicitud.
TSI confirma contigo tu solicitud de destrucción de claves antes de continuar. Cuando se confirma la destrucción, TSI proporciona una fecha y una hora para la destrucción de la clave. Puedes restaurar la clave antes de que se destruya.
Durante el periodo anterior a la destrucción de la clave, si restauras la versión de la clave, se conservarán tanto la clave de Cloud KMS como la clave del EKM de TSI.
Si la destrucción continúa según lo programado, primero se elimina la clave de Cloud KMS y, después, la clave de EKM de TSI.
Tiempo de respuesta
Utiliza Issue Tracker solo para las operaciones rutinarias de gestión de claves. Una vez que se haya enviado una solicitud de Issue Tracker, recibirás una respuesta de tu partner en un plazo de un día hábil.