English
Deutsch
Español
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Konsol

Hubungi Kami Mulai gratis

Halaman ini diterjemahkan oleh Cloud Translation API.

Merotasi kunci root

Dokumen ini menjelaskan cara merotasi kunci root. Jika kunci root Anda disusupi, atau jika Anda memilih untuk merotasi kunci root secara berkala untuk meningkatkan keamanan, Anda dapat merotasi kunci ke kunci root baru menggunakan resource RotationJob.

Merotasi kunci root akan membuat kunci root baru, yang menjadi kunci utama dan mengenkripsi semua kunci non-root. Anda tidak dapat menghapus kunci root; rotasi adalah satu-satunya cara untuk menggantinya. Lihat Jenis kunci root untuk mengetahui informasi selengkapnya tentang kunci root.

Lihat ringkasan KMS API untuk mengetahui detail KMS API dan Key Management Service KRM API untuk melihat definisi API lengkap.

Sebelum memulai

Sebelum melanjutkan, pastikan Anda memiliki hal berikut:

Perintah kubectl dikonfigurasi untuk mengakses server Management API. Untuk melakukannya, dapatkan file kubeconfig menggunakan antarmuka command line (CLI) gdcloud.
Peran Admin Tugas Rotasi KMS. Untuk mendapatkan izin yang diperlukan untuk merotasi kunci, minta Admin IAM Organisasi Anda untuk memberi Anda peran Admin Tugas Rotasi KMS (kms-rotationjob-admin).

Merotasi kunci root

Untuk membuat kunci root baru dan merotasi kunci Anda, selesaikan langkah-langkah berikut:

Buat file YAML, lalu tambahkan resource RotationJob dan konten berikut:
```
apiVersion: "kms.gdc.goog/v1"
kind: RotationJob
metadata:
  name: ROTATION_NAME
spec:
  rootKeyResourceName: ROOT_KEY_RESOURCE_NAME
```
Ganti ROTATION_NAME dengan nama untuk tugas rotasi misalnya: rotate-job1.

Ganti ROOT_KEY_RESOURCE_NAME dengan nama kunci root yang ditentukan dalam formulir namespace/NAMESPACE/secrets/ROOT_KEY_NAME

Misalnya, namespaces/kms-system/secrets/ctm-root.
Terapkan isi file YAML ke KMS:
```
kubectl apply -f FILENAME.yaml
```
Ganti FILENAME dengan nama file YAML.

Setelah menjalankan perintah, KMS akan membuat kunci root baru dan merotasi setiap kunci dengan kunci root baru.
Untuk memverifikasi bahwa rotasi kunci root telah selesai, jalankan perintah berikut:
```
kubectl get rotationjobs ROTATION_NAME
```
Ganti ROTATION_NAME dengan nama tugas rotasi.

Setelah menjalankan perintah, Anda akan melihat status tugas rotasi sebagai Completed jika berhasil.
Hapus anotasi Done dari kunci root. Menghapus anotasi memungkinkan Anda merotasi kunci lebih dari sekali. Operator Infrastruktur (IO) Anda harus melakukan langkah ini. Minta IO Anda untuk menjalankan perintah berikut:
```
kubectl annotate secret kms-key-ROOT_KEY_NAME -n kms-system gdch.cluster.gke.io/rotation-status-
```

Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.

Terakhir diperbarui pada 2025-09-12 UTC.