Questa pagina spiega come gestire i bucket di archiviazione criptati, concentrandosi in particolare sull'aggiornamento e sulla rotazione delle AEADKey per la crittografia v2. Vengono trattati i prerequisiti e i passaggi per l'utilizzo dei comandi kubectl per gestire le chiavi AEAD e i secret kekRef. Queste informazioni ti consentono di applicare una solida sicurezza dei dati e ridurre al minimo il rischio di compromettere le chiavi di crittografia tramite una gestione efficace del ciclo di vita.
Questa pagina è rivolta a segmenti di pubblico come gli amministratori IT all'interno del gruppo di operatori dell'infrastruttura o gli sviluppatori all'interno del gruppo di operatori dell'applicazione che gestiscono le impostazioni di crittografia per i bucket di archiviazione negli ambienti isolati di Google Distributed Cloud (GDC). Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.
Prima di iniziare
Uno spazio dei nomi del progetto gestisce le risorse bucket nel server API Management. Per utilizzare bucket e oggetti, devi disporre di un progetto.
Devi inoltre disporre delle autorizzazioni del bucket appropriate per eseguire la seguente operazione. Consulta Concedere l'accesso al bucket.
Gestire le risorse di crittografia
I bucket con crittografia v2 avrebbero un secret kekRef e diverse AEADKey create, in cui kekRef viene utilizzato per fare riferimento alle AEADKey predefinite attive in uso e le AEADKey includono quelle attive e archiviate appartenenti al bucket.
Aggiorna le chiavi AEAD predefinite attive per un bucket
Come best practice, aggiorna le AEADKeys predefinite del bucket dopo circa 42 miliardi di scritture di oggetti. Questo passaggio proattivo migliora la sicurezza e impedisce l'esaurimento delle chiavi. Il processo di aggiornamento creerà un nuovo kekRef e disattiverà le chiavi AEAD precedenti. Per avviare la procedura di aggiornamento, elimina il secret kekRef associato al bucket.
Il precedente kekRef può essere recuperato eseguendo il seguente comando:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Dopodiché puoi eseguire il comando seguente per eliminare kekRef esistente:
kubectl delete secrets OLD_KEKREF_NAME -n NAMESPACE_NAME
Dopo l'eliminazione, puoi eseguire il seguente comando per verificare che sia stato creato un nuovo kekRef in base a AGE:
kubectl get secrets -n NAMESPACE_NAME -l object.gdc.goog/bucket-name=BUCKET_NAME
Verifica che siano state create nuove AEADKeys predefinite in base a AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Ruotare le chiavi AEAD predefinite per un bucket
Se una AEADKey per il tuo bucket viene compromessa, devi ruotare manualmente le chiavi di crittografia delle chiavi associate al bucket.
Per avviare la procedura, devi prima aggiornare le chiavi predefinite attive. In questo modo vengono create nuove chiavi AEAD predefinite attive e le chiavi di crittografia delle chiavi precedenti vengono contrassegnate come disattivate. Dopo l'aggiornamento delle chiavi predefinite, i caricamenti degli oggetti successivi utilizzano le nuove AEADKeys come chiavi di crittografia delle chiavi. Le chiavi AEAD precedenti non vengono eliminate, quindi puoi comunque decriptare gli oggetti esistenti che sono stati criptati in precedenza utilizzando queste chiavi.
Poi, segui i passaggi per scaricare e ricaricare gli oggetti nel bucket ed eliminare i vecchi oggetti.
Dopo aver caricato nuovamente tutti gli oggetti nel bucket, puoi eliminare le chiavi AEAD inattive e gli oggetti precedenti. Identifica le AEADKeys disattivate in base a AGE:
kubectl get aeadkeys -n NAMESPACE_NAME -l cmek.security.gdc.goog/resource-name=BUCKET_NAME
Infine, segui i passaggi per eliminare le AEADKeys.