En esta página se muestra cómo gestionar los segmentos de almacenamiento aislados con air gap de Google Distributed Cloud (GDC) cifrados.
Antes de empezar
Un espacio de nombres de proyecto gestiona los recursos de los contenedores en el servidor de la API Management. Debes tener un proyecto para trabajar con los contenedores y los objetos.
También debe tener los permisos de contenedor adecuados para realizar la siguiente operación. Consulta Conceder acceso a un contenedor.
Gestionar recursos de cifrado
Los contenedores con cifrado v2 tendrían un secreto kekRef y varias AEADKeys creadas, en las que kekRef se usa para hacer referencia a las AEADKeys predeterminadas activas que se están usando, y las AEADKeys incluyen las activas y las archivadas que pertenecen al contenedor.
Actualizar las AEADKeys predeterminadas activas de un segmento
Como práctica recomendada, actualiza las AEADKeys predeterminadas de tu contenedor después de aproximadamente 42.000 millones de escrituras de objetos. Esta medida proactiva mejora la seguridad y evita que se agoten las claves. El proceso de actualización creará un nuevo kekRef y desactivará las AEADKeys anteriores. Para iniciar el proceso de actualización, elimina el secreto kekRef asociado al contenedor.
El kekRef anterior se puede recuperar ejecutando el siguiente comando:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
A continuación, puedes ejecutar lo siguiente para eliminar el kekRef:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Una vez que se haya eliminado correctamente, puedes ejecutar lo siguiente para confirmar que se ha creado un nuevo kekRef basado en AGE:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifica que se hayan creado nuevas AEADKeys predeterminadas basadas en AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Rotar las AEADKeys predeterminadas de un segmento
Si una AEADKey de tu segmento se ve comprometida, debes rotar manualmente las claves de cifrado de claves asociadas al segmento.
Para iniciar el proceso, primero debes actualizar las claves predeterminadas activas. De esta forma, se crean nuevas AEADKeys predeterminadas activas y se marcan como desactivadas las claves de cifrado anteriores. Después de que se actualicen las claves predeterminadas, las subidas de objetos posteriores usarán las nuevas AEADKeys como claves de cifrado de claves. Las AEADKeys anteriores no se destruyen, por lo que puedes seguir descifrando los objetos que se cifraron anteriormente con esas claves.
A continuación, sigue los pasos para descargar y volver a subir los objetos de tu segmento y eliminar los objetos antiguos.
Después de volver a subir todos los objetos de tu contenedor, puedes limpiar las AEADKeys inactivas y los objetos antiguos. Identifica las AEADKeys desactivadas en función de AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Por último, sigue los pasos para eliminar las AEADKeys.