En esta página, se muestra cómo administrar buckets de almacenamiento aislados de Google Distributed Cloud (GDC) encriptados.
Antes de comenzar
Un espacio de nombres del proyecto administra los recursos del bucket en el servidor de la API de Management. Debes tener un proyecto para trabajar con buckets y objetos.
También debes tener los permisos de bucket adecuados para realizar la siguiente operación. Consulta Cómo otorgar acceso al bucket.
Administra recursos de encriptación
Los buckets con encriptación v2 tendrían un kekRef secreto y varias AEADKeys creadas, en las que kekRef se usa para hacer referencia a las AEADKeys predeterminadas activas que se están usando, y las AEADKeys incluyen las activas y las archivadas que pertenecen al bucket.
Actualiza las claves AEAD predeterminadas activas para un bucket
Como práctica recomendada, actualiza las claves AEAD predeterminadas de tu bucket después de aproximadamente 42,000 millones de escrituras de objetos. Este paso proactivo mejora la seguridad y evita el agotamiento de las claves. El proceso de actualización creará un nuevo kekRef y desactivará las claves AEAD anteriores. Para iniciar el proceso de actualización, borra el secreto kekRef asociado al bucket.
Puedes recuperar el kekRef anterior ejecutando el siguiente comando:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Luego, puedes ejecutar el siguiente comando para borrar el kekRef existente:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Después de la eliminación correcta, puedes ejecutar el siguiente comando para confirmar que se creó un nuevo kekRef basado en AGE:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifica que se hayan creado nuevas AEADKeys predeterminadas basadas en AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Rota las claves AEAD predeterminadas para un bucket
Si se vulnera una AEADKey para tu bucket, debes rotar manualmente las claves de encriptación de claves asociadas con el bucket.
Para iniciar el proceso, primero debes actualizar las claves predeterminadas activas. Esto crea nuevas claves AEAD predeterminadas activas y marca las claves de encriptación de claves anteriores como desactivadas. Después de que se actualizan las claves predeterminadas, las cargas de objetos posteriores usan las nuevas AEADKeys como claves de encriptación de claves. Las claves AEAD anteriores no se destruyen, por lo que aún puedes desencriptar los objetos existentes que se encriptaron antes con esas claves.
A continuación, sigue los pasos para descargar y volver a subir los objetos de tu bucket y borrar los objetos antiguos.
Después de volver a subir todos los objetos de tu bucket, puedes limpiar las claves AEAD inactivas y los objetos antiguos. Identifica las AEADKeys desactivadas según AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Por último, sigue los pasos para borrar las AEADKeys.