Nesta página, mostramos como gerenciar buckets de armazenamento isolados do Google Distributed Cloud (GDC) criptografados.
Antes de começar
Um namespace de projeto gerencia recursos de bucket no servidor da API Management. Você precisa ter um projeto para trabalhar com buckets e objetos.
Você também precisa ter as permissões de bucket adequadas para realizar a seguinte operação. Consulte Conceder acesso ao bucket.
Gerenciar recursos de criptografia
Os buckets com criptografia v2
teriam um kekRef
secreto e várias AEADKeys criadas, em que kekRef
é usado para referenciar as AEADKeys padrão ativas em uso, e as AEADKeys incluem as ativas e as arquivadas pertencentes ao bucket.
Atualizar as AEADKeys padrão ativas de um bucket
Como prática recomendada, atualize as AEADKeys padrão do seu bucket após aproximadamente 42 bilhões de gravações de objetos. Essa etapa proativa aumenta a segurança e evita o esgotamento de chaves. O processo de atualização vai criar um novo kekRef e desativar as AEADKeys anteriores. Para iniciar o processo de atualização, exclua o segredo kekRef associado ao bucket.
O kekRef anterior pode ser recuperado executando o seguinte comando:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Em seguida, execute o comando abaixo para excluir o kekRef atual:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Depois da exclusão, execute o seguinte comando para confirmar se um novo kekRef foi criado com base em AGE
:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifique se novas AEADKeys padrão foram criadas com base em AGE
:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Girar AEADKeys padrão para um bucket
Se uma AEADKey do seu bucket for comprometida, você precisará fazer a rotação manual das chaves de criptografia associadas a ele.
Para iniciar o processo, primeiro atualize as chaves padrão ativas. Isso cria novas AEADKeys padrão ativas e marca as chaves de criptografia de chaves anteriores como desativadas. Depois da atualização das chaves padrão, os uploads de objetos subsequentes usam as novas AEADKeys como chaves de criptografia de chaves. As AEADKeys anteriores não são destruídas. Portanto, ainda é possível descriptografar objetos que foram criptografados usando essas chaves.
Em seguida, siga as etapas para baixar e fazer upload novamente dos objetos no bucket e excluir os objetos antigos.
Depois de fazer upload de todos os objetos no bucket, você pode limpar as AEADKeys inativas e os objetos antigos. Identifique as AEADKeys desativadas com base em AGE
:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Por fim, siga as etapas para excluir as AEADKeys.