Halaman ini memandu Anda cara mengelola bucket penyimpanan terenkripsi, khususnya berfokus pada penggantian dan rotasi AEADKey untuk enkripsi v2. Bagian ini mencakup prasyarat dan langkah-langkah untuk menggunakan perintah kubectl guna mengelola AEADKeys dan rahasia kekRef. Informasi ini memungkinkan Anda menerapkan keamanan data yang kuat dan meminimalkan risiko penyusupan kunci enkripsi melalui pengelolaan siklus proses yang efektif.
Halaman ini ditujukan untuk audiens seperti administrator IT dalam grup operator infrastruktur atau developer dalam grup operator aplikasi yang mengelola setelan enkripsi untuk bucket penyimpanan di lingkungan air-gapped Google Distributed Cloud (GDC). Untuk mengetahui informasi selengkapnya, lihat dokumentasi Audiens untuk GDC yang terisolasi dari internet.
Sebelum memulai
Namespace project mengelola resource bucket di server Management API. Anda harus memiliki project untuk menggunakan bucket dan objek.
Anda juga harus memiliki izin bucket yang sesuai untuk melakukan operasi berikut. Lihat Memberikan akses bucket.
Mengelola resource enkripsi
Bucket dengan enkripsi v2 akan memiliki rahasia kekRef dan beberapa AEADKey yang dibuat, yang mana kekRef digunakan untuk merujuk ke AEADKey default aktif yang sedang digunakan dan AEADKey mencakup AEADKey aktif dan arsip yang dimiliki bucket.
Memperbarui AEADKey default aktif untuk bucket
Sebagai praktik terbaik, perbarui AEADKeys default bucket Anda setelah sekitar 42 miliar penulisan objek. Langkah proaktif ini meningkatkan keamanan dan mencegah kehabisan kunci. Proses refresh akan membuat kekRef baru dan menonaktifkan AEADKeys sebelumnya. Untuk memulai proses penggantian, hapus rahasia kekRef yang terkait dengan bucket.
kekRef sebelumnya dapat diambil dengan menjalankan perintah berikut untuk mengambil:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Kemudian, Anda dapat menjalankan perintah berikut untuk menghapus kekRef yang ada:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Setelah penghapusan berhasil, Anda dapat menjalankan perintah berikut untuk mengonfirmasi bahwa kekRef baru telah dibuat berdasarkan AGE:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Pastikan AEADKey default baru telah dibuat berdasarkan AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Merotasi AEADKey default untuk bucket
Jika AEADKey untuk bucket Anda disusupi, Anda harus merotasi kunci enkripsi kunci yang terkait dengan bucket secara manual.
Untuk memulai proses, Anda harus memperbarui kunci default aktif terlebih dahulu. Tindakan ini akan membuat AEADKey default aktif yang baru, dan menandai kunci enkripsi kunci sebelumnya sebagai tidak aktif. Setelah kunci default diperbarui, upload objek berikutnya akan menggunakan AEADKeys baru sebagai kunci enkripsi kunci. AEADKey sebelumnya tidak dihancurkan, sehingga Anda masih dapat mendekripsi objek yang sudah ada yang sebelumnya dienkripsi menggunakan kunci tersebut.
Selanjutnya, ikuti langkah-langkah untuk mendownload dan mengupload ulang objek di bucket Anda dan menghapus objek lama.
Setelah mengupload ulang semua objek di bucket, Anda dapat membersihkan AEADKey yang tidak aktif dan objek lama. Identifikasi AEADKey yang dinonaktifkan berdasarkan AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Terakhir, ikuti langkah-langkah untuk menghapus AEADKeys.