Auf dieser Seite wird beschrieben, wie Sie verschlüsselte Speicher-Buckets verwalten. Dabei wird insbesondere auf das Aktualisieren und Rotieren von AEADKeys für die v2-Verschlüsselung eingegangen. Hier werden die Voraussetzungen und Schritte für die Verwendung von kubectl-Befehlen zum Verwalten von AEADKeys und kekRef-Secrets beschrieben. Mithilfe dieser Informationen können Sie für eine robuste Datensicherheit sorgen und das Risiko einer Gefährdung Ihrer Verschlüsselungsschlüssel durch effektives Lifecycle-Management minimieren.
Diese Seite richtet sich an Nutzer wie IT-Administratoren in der Gruppe „Infrastrukturbetreiber“ oder Entwickler in der Gruppe „Anwendungsbetreiber“, die Verschlüsselungseinstellungen für Speicher-Buckets in Google Distributed Cloud-Umgebungen (GDC) ohne Internetverbindung verwalten. Weitere Informationen finden Sie unter Zielgruppen für die GDC-Dokumentation für Air-Gap-Umgebungen.
Hinweise
In einem Projektnamespace werden Bucket-Ressourcen auf dem Management API-Server verwaltet. Sie benötigen ein Projekt, um mit Buckets und Objekten arbeiten zu können.
Außerdem benötigen Sie die entsprechenden Bucket-Berechtigungen, um den folgenden Vorgang auszuführen. Weitere Informationen finden Sie unter Bucket-Zugriff gewähren.
Verschlüsselungsressourcen verwalten
Für Buckets mit v2-Verschlüsselung werden ein Secret kekRef und mehrere AEADKeys erstellt. kekRef wird verwendet, um auf aktive Standard-AEADKeys zu verweisen, die verwendet werden, und AEADKeys enthalten aktive und archivierte AEADKeys, die zum Bucket gehören.
Aktive Standard-AEADKeys für einen Bucket aktualisieren
Als Best Practice sollten Sie die standardmäßigen AEADKeys Ihres Buckets nach etwa 42 Milliarden Schreibvorgängen für Objekte aktualisieren. Dieser proaktive Schritt erhöht die Sicherheit und verhindert die Erschöpfung von Schlüsseln. Beim Aktualisieren wird ein neuer kekRef erstellt und die vorherigen AEADKeys werden deaktiviert. Löschen Sie das mit dem Bucket verknüpfte kekRef-Secret, um den Aktualisierungsvorgang zu starten.
Die vorherige kekRef kann mit dem folgenden Befehl abgerufen werden:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Anschließend können Sie den vorhandenen „kekRef“ mit dem folgenden Befehl löschen:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Nach dem erfolgreichen Löschen können Sie den folgenden Befehl ausführen, um zu bestätigen, dass basierend auf AGE eine neue „kekRef“ erstellt wurde:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Prüfen Sie, ob neue Standard-AEADKeys basierend auf AGE erstellt wurden:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Standard-AEADKeys für einen Bucket rotieren
Wenn ein AEADKey für Ihren Bucket gehackt wird, müssen Sie die mit dem Bucket verknüpften Schlüsselverschlüsselungsschlüssel manuell rotieren.
Dazu müssen Sie zuerst die aktiven Standardschlüssel aktualisieren. Dadurch werden neue aktive Standard-AEADKeys erstellt und die vorherigen Schlüsselverschlüsselungsschlüssel werden als deaktiviert markiert. Nach der Aktualisierung der Standardschlüssel werden bei nachfolgenden Objekt-Uploads die neuen AEADKeys als Schlüsselverschlüsselungsschlüssel verwendet. Die vorherigen AEADKeys werden nicht gelöscht. Sie können also weiterhin vorhandene Objekte entschlüsseln, die zuvor mit diesen Schlüsseln verschlüsselt wurden.
Laden Sie die Objekte in Ihrem Bucket herunter und laden Sie sie wieder hoch und löschen Sie die alten Objekte.
Nachdem Sie alle Objekte in Ihrem Bucket noch einmal hochgeladen haben, können Sie die inaktiven AEADKeys und alten Objekte bereinigen. Deaktivierte AEADKeys anhand von AGE identifizieren:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Folgen Sie zum Schluss der Anleitung zum Löschen der AEAD-Schlüssel.