身為 T-Systems Sovereign Cloud 客戶,您會使用不同的工作流程來管理 Cloud External Key Manager (Cloud EKM) 金鑰。您不必自行設定及管理外部金鑰管理工具, Google Cloud 而是由 T-Systems International (TSI) 為您處理這些步驟。也就是說,TSI 會根據您的要求管理金鑰和金鑰版本。
本主題將說明如何針對 TSI 管理的 Cloud Key Management Service 專案 (通常稱為「金鑰管理專案」) 提交常見金鑰作業要求。
事前準備
您必須先建立至少含有一組金鑰的金鑰環,才能提出金鑰作業要求。如果您需要新的金鑰環和金鑰,請按照「開始使用 TSI 管理的 Cloud KMS」一文中的步驟操作。
取得金鑰的資源名稱
對於任何金鑰作業要求,您都需要提供要修改的金鑰或金鑰版本的資源名稱。
- 您必須提供金鑰資源名稱,才能建立版本或輪替金鑰。
- 您必須提供金鑰版本資源名稱,才能更新或刪除金鑰版本。
Issue Tracker 要求
Issue Tracker 是 Google 及其合作夥伴用來追蹤專案要求的工具。如果是 TSI 管理的 Cloud Key Management Service 專案,您可以使用問題追蹤工具向 TSI 提交要求,由 TSI 在 Cloud Key Management Service 專案中執行要求,並在外部金鑰管理工具中管理金鑰。
您可以在歡迎電子郵件中找到貴機構的 Issue Tracker 連結。
常見的鍵操作
建立金鑰版本
請使用問題追蹤工具,提交新金鑰版本的申請。如果新金鑰版本是第一個金鑰版本,或是沒有其他金鑰版本,系統會將新金鑰版本設為主要版本。
在 Issue Tracker 中,選取「Create key version」,然後提供金鑰的資源名稱。按一下「建立」即可提交要求。
輪替金鑰
在「Issue Tracker」中,在支援單內文中指出「Rotate key」,並提供金鑰的資源名稱。按一下「建立」即可提交要求。
輪替金鑰後,TSI 會在 EKM 中產生新的金鑰內容,並在 Cloud Key Management Service 專案中建立新的金鑰版本,然後將新金鑰版本設為主要版本。
輪替金鑰版本後,系統會使用新金鑰內容加密所有以該金鑰保護的新建資料。使用先前金鑰內容保護的資料不會重新加密。因此,您必須繼續使用先前的金鑰資料。
停用金鑰版本
您可以使用 Google Cloud 控制台、Google Cloud CLI 或 Cloud KMS 用戶端程式庫,停用處於「Enabled」狀態的金鑰版本。停用金鑰版本後,其狀態會變更為「已停用」。詳情請參閱 Cloud KMS 說明文件中的「啟用及停用金鑰版本」。
刪除金鑰版本
如要銷毀金鑰版本,請在 Cloud KMS 中安排刪除金鑰版本。這會刪除 Cloud KMS 金鑰,並且無法再存取以該金鑰加密的資料。
如果您也想在 TSI 的 EKM 中銷毀金鑰,請按照下列步驟操作:
- 安排刪除金鑰版本。
- 在「Issue Tracker」中,選取支援單內文中的「Destroy key version」,然後提供要銷毀的金鑰版本資源名稱。
- 按一下「建立」即可提交要求。
TSI 會先與您確認金鑰銷毀要求,再繼續處理。確認銷毀作業後,TSI 會提供金鑰銷毀的日期和時間。您可以在銷毀前還原金鑰。
在金鑰刪除前,如果您還原金鑰版本,Cloud KMS 金鑰和 TSI 的 EKM 金鑰都會保留。
如果刪除作業仍按原訂時程進行,系統會先刪除 Cloud KMS 金鑰,然後刪除 TSI 的 EKM 金鑰。
回應時間
請僅將 Issue Tracker 用於例行性的金鑰管理作業。提交「問題追蹤」要求後,合作夥伴會在 1 個工作天內回覆。