Questa pagina mostra come gestire i bucket di archiviazione con air gap di Google Distributed Cloud (GDC) criptati.
Prima di iniziare
Uno spazio dei nomi del progetto gestisce le risorse bucket nel server API Management. Per utilizzare bucket e oggetti, devi disporre di un progetto.
Devi inoltre disporre delle autorizzazioni del bucket appropriate per eseguire la seguente operazione. Consulta Concedere l'accesso al bucket.
Gestire le risorse di crittografia
I bucket con crittografia v2
avrebbero un secret kekRef
e diverse AEADKey create, in cui kekRef
viene utilizzato per fare riferimento alle AEADKey predefinite attive in uso e le AEADKey includono quelle attive e archiviate appartenenti al bucket.
Aggiorna le chiavi AEAD predefinite attive per un bucket
Come best practice, aggiorna le AEADKeys predefinite del bucket dopo circa 42 miliardi di scritture di oggetti. Questo passaggio proattivo migliora la sicurezza e impedisce l'esaurimento delle chiavi. Il processo di aggiornamento creerà un nuovo kekRef e disattiverà le chiavi AEAD precedenti. Per avviare la procedura di aggiornamento, elimina il secret kekRef associato al bucket.
Il precedente kekRef può essere recuperato eseguendo il seguente comando:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Dopodiché puoi eseguire il comando seguente per eliminare kekRef esistente:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Dopo l'eliminazione, puoi eseguire il seguente comando per verificare che sia stato creato un nuovo kekRef in base a AGE
:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifica che siano state create nuove AEADKeys predefinite in base a AGE
:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Ruotare le chiavi AEAD predefinite per un bucket
Se una AEADKey per il tuo bucket viene compromessa, devi ruotare manualmente le chiavi di crittografia delle chiavi associate al bucket.
Per avviare la procedura, devi prima aggiornare le chiavi predefinite attive. In questo modo vengono create nuove chiavi AEAD predefinite attive e le chiavi di crittografia delle chiavi precedenti vengono contrassegnate come disattivate. Dopo l'aggiornamento delle chiavi predefinite, i caricamenti degli oggetti successivi utilizzano le nuove AEADKeys come chiavi di crittografia delle chiavi. Le chiavi AEAD precedenti non vengono eliminate, quindi puoi comunque decriptare gli oggetti esistenti che sono stati criptati in precedenza utilizzando queste chiavi.
Poi, segui i passaggi per scaricare e ricaricare gli oggetti nel bucket ed eliminare i vecchi oggetti.
Dopo aver caricato nuovamente tutti gli oggetti nel bucket, puoi eliminare le chiavi AEAD inattive e gli oggetti precedenti. Identifica le AEADKeys disattivate in base a AGE
:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Infine, segui i passaggi per eliminare le AEADKeys.