Nesta página, mostramos como programar uma versão de chave do Cloud Key Management Service para destruição. No Cloud KMS, o material da chave criptográfica usado para criptografar, descriptografar, assinar e verificar dados é armazenado em uma versão de chave. Uma chave não tem nenhuma ou mais versões de chave. Ao fazer isso, você cria uma nova chave para a versão anterior.
Destruir uma versão de chave significa que o material dela será excluído permanentemente. Quando você destrói uma versão de chave, outros detalhes, como o nome e a chave não serão excluídos. Depois que uma chave é destruída, os dados criptografados com a versão da chave não podem ser descriptografados.
Como a destruição da chave é irreversível, o Cloud KMS não destruir versões de chave imediatamente. Em vez disso, você programa uma versão destruição. A versão da chave permanece no estado programado para destruição por um período configurável. Durante a duração da destruição programada, é possível restaurar uma versão de chave para cancelar a destruição dela.
A duração padrão programada para a destruição é de 30 dias. É possível definir uma duração personalizada para o estado "programado para destruição" de uma chave durante a criação. Sua organização pode aplicar com duração mínima programada para a duração da destruição definindo a configuração Minimum destroy duração programada por chave nas políticas da organização.
Também é possível gerenciar o acesso à chave usando o gerenciamento de identidade e acesso (IAM). As operações do IAM são consistentes em segundos. Para mais informações, consulte Como usar o IAM.
Também é possível desativar temporariamente uma versão de chave. Recomendamos desativar as versões de chave antes de programá-las para destruição como parte dos seus procedimentos para garantir que a chave possa ser destruída com segurança. Dependendo das políticas da sua organização, talvez seja necessário desativar uma chave antes de programá-la para destruição. Para mais informações sobre controlar a destruição da versão da chave usando políticas da organização, consulte Controlar destruição da versão da chave.
No restante deste documento, o agendamento de uma chave para destruição é como destruir a chave, mesmo que a destruição não seja imediata.
Antes de começar
Entender os riscos
Destruir uma versão de chave é uma operação permanente. Destruir uma versão de chave que ainda é necessária tem riscos, incluindo:
Interrupção de serviço: se você destruir uma chave necessária para iniciar um contêiner ou uma instância, seus serviços ou aplicativos poderão ficar indisponíveis.
Perda permanente de dados: se você destruir uma chave usada para criptografar dados, esses dados ficarão indisponíveis. Dados criptografados com uma chave que foi destruídos são considerados triturados criptograficamente. Em alguns casos, destruir uma chave pode fazer com que os recursos criptografados sejam excluídos permanentemente.
Problemas regulatórios ou de conformidade: se você destruir uma chave que é necessária para acessar os dados que estão sujeitos a um período de armazenamento anterior a essa retenção for concluído, é possível que você tenha violado um regulamento ou conformidade requisito fundamental.
Funções exigidas
Para ter as permissões necessárias para destruir e restaurar versões de chave,
peça ao administrador para conceder a você
Papel do IAM Administrador do Cloud KMS (roles/cloudkms.admin
) na chave.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Verificar se a versão da chave está em uso
Antes de destruir uma versão de chave, conclua as etapas a seguir para saber se a versão da chave está em uso:
Veja os detalhes de rastreamento de uso da chave. Se algum recurso estiver protegido pela versão da chave que você quer destruir, criptografe-os novamente com outra versão de chave.
Ative os registros de qualquer serviço ou aplicativo que possa estar usando a chave para a versão anterior.
Ative os registros no projeto do Cloud KMS que contém a chave.
Desative a versão da chave. Como desativar a chave impede que a versão da chave seja usada. Com o versão de chave desativada, qualquer tentativa de usar a versão da chave falhará.
Monitore os registros até ter certeza de que nenhum aplicativo ou serviço ainda depende da versão da chave que você desativou. Se algum erro indicar falha acesso à versão da chave, configurar o aplicativo ou recurso para usar outra versão de chave.
O tempo gasto monitorando registros antes de destruir um depende do tipo de chave, do padrão de uso e nível de sensibilidade. Por exemplo, antes de destruir uma versão de chave usada em um processo que é executado trimestralmente, mantenha a versão da chave desativada até que é bem-sucedido.
Verifique se o uso da chave está de acordo com os requisitos de conformidade aplicáveis. Por exemplo, a versão da chave e os dados criptografados com ela podem estar sujeitos a e períodos de retenção de dados.
Essas etapas ajudam a identificar se uma chave ainda é necessária. No entanto, eles não podem garantir que uma versão de chave não seja mais necessária. Sua organização deve implementar procedimentos e diretrizes para garantir que a versão principal e destruição não causarão efeitos negativos.
Destruir uma versão de chave
É possível destruir uma versão de chave ativada ou desativada.
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Marque a caixa ao lado da versão da chave que você quer programar para destruição.
Clique em Destruir no cabeçalho.
No prompt de confirmação, insira o nome da chave e clique em Programar destruição.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro Instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions destroy KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Substitua:
KEY_VERSION
: o número da versão da chave que você quer destruir.KEY_NAME
: o nome da chave para a qual você quer destruir uma versão.KEY_RING
: o nome do keyring que contém a chave.LOCATION
: o local do keyring no Cloud KMS.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Destrua uma versão de chave chamando CryptoKeyVersions.destroy .
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Se não for possível destruir uma versão de chave, sua organização pode exigir que versões de chave sejam desativadas antes da destruição. Tente desativar a versão da chave antes de destruí-la.
Quando você envia a solicitação de destruição, o estado da versão da chave se torna programados para destruição. Depois que a chave for configurada programado para duração de destruição tem o estado da versão da chave será destruído, ou seja, exclusão lógica do material da chave do ativo sistemas for iniciado, e o material da chave não poderá ser recuperado pelo cliente. Chave o material pode permanecer nos sistemas do Google por até 45 dias a partir do o horário de destruição programado.
Para receber um alerta quando uma versão de chave estiver programada para destruição, consulte Como usar o Cloud Monitoring com o Cloud KMS.
Versões de chave destruídas não são recursos faturados.
Destruição de chaves externas
Para remover permanentemente a associação entre uma chave do Cloud EKM e uma chave externa, é possível destruir a versão da chave. Após o período Programado para destruição, a chave é destruída. Depois que a versão da chave for destruída, não será possível mais criptografar nem descriptografar dados criptografados com a versão de chave do Cloud EKM.
A destruição de uma versão de chave gerenciada manualmente no Cloud KMS não modifica a chave no gerenciador externo. Recomendamos primeiro destruir a chave mais recente no Google Cloud. Depois que a versão da chave do Cloud EKM destruído, ele pode ser destruído no gerenciador de chaves externo.
Destruir primeiro uma versão de chave externa coordenada no Cloud KMS destrói a versão da chave no Google Cloud e depois envia uma destruição para que o EKM destrua o material da chave externa.
Restaurar uma versão de chave
Durante o período em que o estado de uma versão de chave está programado para destruição, é possível restaurar a versão da chave ao enviar uma solicitação de restauração.
Console
Acesse a página Gerenciamento de chaves no console do Google Cloud.
Clique no nome do keyring que contém a chave com a versão você quer restaurar.
Clique na chave cuja versão você quer restaurar.
Marque a caixa ao lado da versão da chave que você quer restaurar.
Clique em Restaurar no cabeçalho.
No prompt de confirmação, clique em Restaurar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro Instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave a ser restaurada. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
API
Estes exemplos usam curl como um cliente HTTP para demonstrar o uso da API. Para mais informações sobre controle de acesso, consulte Como acessar a API Cloud KMS.
Restaure uma versão de chave chamando o método CryptoKeyVersions.restore.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \ --request "POST" \ --header "authorization: Bearer token"
Após a conclusão da solicitação de restauração, o estado da versão da chave se torna desativado. É preciso ativar a chave para que ela possa ser usada.
Permissões do IAM obrigatórias
Para destruir uma versão de chave, o autor da chamada precisa da
cloudkms.cryptoKeyVersions.destroy
permissão IAM na chave,
o keyring, o projeto, a pasta ou a organização.
Para restaurar uma versão de chave, o autor da chamada precisa da
permissão cloudkms.cryptoKeyVersions.restore
.
Ambas as permissões são concedidas ao papel de administrador do Cloud KMS (roles/cloudkms.admin
).
Linha do tempo de exclusão
O Cloud KMS se compromete a excluir o material da chave do cliente de toda a infraestrutura do Google em até 45 dias após a destruição programada. Isso inclui remoção de dados tanto de sistemas ativos quanto de backups do data center. Outro cliente os dados estão sujeitos às normas Cronograma de exclusão do Google Cloud de 180 dias.