Cette page explique comment gérer les buckets de stockage chiffrés, en se concentrant plus particulièrement sur l'actualisation et la rotation des AEADKeys pour le chiffrement v2. Cette section couvre les conditions préalables et les étapes à suivre pour utiliser les commandes kubectl afin de gérer les AEADKeys et les secrets kekRef. Ces informations vous permettent d'appliquer une sécurité des données robuste et de minimiser le risque de compromission de vos clés de chiffrement grâce à une gestion efficace du cycle de vie.
Cette page s'adresse à des audiences telles que les administrateurs informatiques du groupe des opérateurs d'infrastructure ou les développeurs du groupe des opérateurs d'applications qui gèrent les paramètres de chiffrement des buckets de stockage dans les environnements Google Distributed Cloud (GDC) isolés. Pour en savoir plus, consultez la documentation sur les audiences pour GDC en mode air-gapped.
Avant de commencer
Un espace de noms de projet gère les ressources de bucket sur le serveur de l'API Management. Vous devez disposer d'un projet pour travailler avec des buckets et des objets.
Vous devez également disposer des autorisations de bucket appropriées pour effectuer l'opération suivante. Consultez Accorder l'accès à un bucket.
Gérer les ressources de chiffrement
Les buckets avec chiffrement v2 auraient un secret kekRef et plusieurs AEADKeys créés, dans lesquels kekRef est utilisé pour référencer les AEADKeys actifs par défaut utilisés et les AEADKeys incluent les AEADKeys actifs et archivés appartenant au bucket.
Actualiser les clés AEAD actives par défaut pour un bucket
Nous vous recommandons d'actualiser les AEADKeys par défaut de votre bucket après environ 42 milliards d'écritures d'objets. Cette étape proactive renforce la sécurité et empêche l'épuisement des clés. Le processus d'actualisation crée un kekRef et désactive les AEADKeys précédentes. Pour lancer le processus d'actualisation, supprimez le secret kekRef associé au bucket.
Vous pouvez récupérer le kekRef précédent en exécutant la commande suivante :
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Vous pouvez ensuite exécuter la commande suivante pour supprimer le kekRef existant :
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Une fois la suppression effectuée, vous pouvez exécuter la commande suivante pour vérifier qu'une référence kekRef a été créée sur la base de AGE :
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Vérifiez que de nouvelles clés AEAD par défaut ont été créées en fonction de AGE :
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Faire pivoter les AEADKeys par défaut pour un bucket
Si une clé AEADKey de votre bucket est compromise, vous devez alterner manuellement les clés de chiffrement associées au bucket.
Pour commencer, vous devez d'abord actualiser les clés par défaut actives. Cette opération crée de nouvelles AEADKeys actives par défaut et marque les clés de chiffrement de clé précédentes comme désactivées. Une fois les clés par défaut actualisées, les importations d'objets suivantes utilisent les nouvelles AEADKeys comme clés de chiffrement de clé. Les clés AEAD précédentes ne sont pas détruites. Vous pouvez donc toujours déchiffrer les objets existants qui ont déjà été chiffrés à l'aide de ces clés.
Ensuite, suivez la procédure pour télécharger et importer de nouveau les objets de votre bucket, puis supprimez les anciens objets.
Une fois que vous avez réimporté tous les objets de votre bucket, vous pouvez supprimer les AEADKeys inactives et les anciens objets. Identifiez les AEADKeys désactivées en fonction de AGE :
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Enfin, suivez la procédure pour supprimer les AEADKeys.