Esta página mostra como gerir contentores de armazenamento isolados (air-gapped) do Google Distributed Cloud (GDC) encriptados.
Antes de começar
Um espaço de nomes do projeto gere os recursos de contentores no servidor da API Management. Tem de ter um projeto para trabalhar com contentores e objetos.
Também tem de ter as autorizações de contentor adequadas para realizar a seguinte operação. Consulte o artigo Conceda acesso ao contentor.
Faça a gestão dos recursos de encriptação
Os contentores com encriptação v2 teriam um segredo kekRef e várias AEADKeys criadas, em que kekRef é usado para fazer referência às AEADKeys predefinidas ativas que estão a ser usadas, e as AEADKeys incluem as ativas e as arquivadas pertencentes ao contentor.
Atualize as AEADKeys predefinidas ativas para um contentor
Como prática recomendada, atualize as AEADKeys predefinidas do seu contentor após aproximadamente 42 mil milhões de gravações de objetos. Este passo proativo melhora a segurança e evita o esgotamento das chaves. O processo de atualização cria um novo kekRef e desativa as AEADKeys anteriores. Para iniciar o processo de atualização, elimine o segredo kekRef associado ao contentor.
Pode executar o seguinte comando para obter o kekRef anterior:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Em seguida, pode executar o seguinte comando para eliminar o kekRef existente:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Após a eliminação bem-sucedida, pode executar o seguinte comando para confirmar que foi criado um novo kekRef com base em AGE:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifique se foram criadas novas AEADKeys predefinidas com base em AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Alterne as AEADKeys predefinidas para um contentor
Se uma AEADKey para o seu contentor for comprometida, tem de alterar manualmente as chaves de encriptação de chaves associadas ao contentor.
Para iniciar o processo, tem de atualizar as chaves predefinidas ativas. Isto cria novas AEADKeys predefinidas ativas e marca as chaves de encriptação de chaves anteriores como desativadas. Após a atualização das chaves predefinidas, os carregamentos de objetos subsequentes usam as novas AEADKeys como chaves de encriptação de chaves. As AEADKeys anteriores não são destruídas, pelo que ainda pode desencriptar objetos existentes que foram encriptados anteriormente com essas chaves.
Em seguida, siga os passos para transferir e voltar a carregar os objetos no seu contentor e eliminar os objetos antigos.
Depois de voltar a carregar todos os objetos no seu contentor, pode limpar as AEADKeys inativas e os objetos antigos. Identifique as AEADKeys desativadas com base em AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Por último, siga os passos para eliminar as AEADKeys.