Menghancurkan dan memulihkan versi kunci

Halaman ini menunjukkan cara menjadwalkan versi kunci Cloud Key Management Service untuk penghancuran permanen. Di Cloud KMS, materi kunci kriptografis yang Anda gunakan untuk mengenkripsi, mendekripsi, menandatangani, dan memverifikasi data disimpan dalam versi kunci. Kunci memiliki nol atau beberapa versi kunci. Saat merotasi kunci, Anda akan membuat versi kunci baru.

Menghancurkan versi kunci berarti materi kunci tersebut dihapus secara permanen. Saat Anda menghancurkan versi kunci, detail lain seperti nama kunci dan nomor versi kunci tidak akan dihapus. Setelah kunci dihancurkan, data yang dienkripsi dengan versi kunci tidak dapat didekripsi.

Karena penghancuran kunci tidak dapat dibatalkan, Cloud KMS tidak mengizinkan Anda untuk segera menghancurkan versi kunci. Sebagai gantinya, Anda menjadwalkan versi kunci untuk pemusnahan. Versi kunci tetap berada dalam state penghancuran terjadwal selama waktu yang dapat dikonfigurasi. Selama durasi pemusnahan yang dijadwalkan, Anda dapat memulihkan versi kunci untuk membatalkan penghancurannya.

Durasi pemusnahan yang dijadwalkan secara default adalah 24 jam. Anda dapat menetapkan jadwal kustom untuk durasi pemusnahan kunci selama pembuatan kunci. Organisasi Anda dapat menerapkan batas durasi pemusnahan minimum yang dijadwalkan dengan menetapkan batasan Minimum shake Scheduler per key dalam kebijakan organisasi Anda.

Anda juga dapat mengelola akses ke kunci tersebut menggunakan Identity and Access Management (IAM). Operasi IAM konsisten dalam hitungan detik. Untuk mengetahui informasi selengkapnya, baca Menggunakan IAM.

Anda juga dapat menonaktifkan versi kunci untuk sementara. Sebaiknya nonaktifkan versi kunci sebelum menjadwalkan pemusnahan sebagai bagian dari prosedur Anda untuk memastikan bahwa kunci dapat dihancurkan dengan aman. Bergantung pada kebijakan organisasi, Anda mungkin perlu menonaktifkan versi kunci sebelum dapat menjadwalkan pemusnahan. Untuk mengetahui informasi selengkapnya tentang mengontrol penghancuran versi kunci menggunakan kebijakan organisasi, lihat Mengontrol penghancuran versi kunci.

Pada bagian selanjutnya dalam topik ini, penjadwalan kunci untuk pemusnahan disebut sebagai penghancuran kunci, meskipun tidak terjadi pemusnahan secara langsung.

Sebelum memulai

Memahami risikonya

Menghancurkan versi kunci adalah operasi permanen. Menghancurkan versi kunci yang masih diperlukan memiliki risiko seperti berikut:

Gangguan layanan: Jika Anda menghancurkan kunci yang diperlukan untuk memulai container atau instance, layanan atau aplikasi Anda dapat menjadi tidak tersedia.
Kehilangan data permanen: Jika Anda menghancurkan kunci yang digunakan untuk mengenkripsi data, data tersebut tidak akan tersedia. Data yang dienkripsi dengan kunci yang telah dihancurkan dianggap dihancurkan kripto. Dalam beberapa kasus, menghancurkan kunci dapat menyebabkan resource terenkripsi dihapus secara permanen.
Masalah peraturan atau kepatuhan: Jika Anda menghancurkan kunci yang diperlukan untuk mengakses data yang memerlukan periode retensi data sebelum periode retensi tersebut selesai, Anda mungkin melanggar persyaratan peraturan atau kepatuhan.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menghancurkan dan memulihkan versi kunci, minta administrator untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) pada kunci tersebut. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Memeriksa apakah versi kunci sedang digunakan

Sebelum Anda menghancurkan versi kunci, selesaikan langkah-langkah berikut untuk melihat apakah versi kunci tersebut sedang digunakan:

Lihat detail pelacakan penggunaan kunci untuk kunci tersebut. Jika ada resource yang dilindungi oleh versi kunci yang ingin Anda hancurkan, enkripsi ulang resource dengan versi kunci lain.

Perhatian: Detail pelacakan penggunaan utama dapat tertunda atau tidak lengkap. Pahami batasan data ini.
Aktifkan log untuk layanan atau aplikasi apa pun yang mungkin menggunakan versi kunci.
Aktifkan log di project Cloud KMS yang berisi kunci.
Nonaktifkan versi kunci. Menonaktifkan versi kunci akan mencegah penggunaan versi kunci. Jika versi kunci dinonaktifkan, semua upaya untuk menggunakan versi kunci tersebut akan gagal.
Pantau log sampai Anda yakin bahwa tidak ada aplikasi atau layanan yang masih mengandalkan versi kunci yang Anda nonaktifkan. Jika ada error yang menunjukkan kegagalan akses ke versi kunci, konfigurasikan aplikasi atau resource untuk menggunakan versi kunci lain.

Durasi waktu yang Anda habiskan untuk memantau log sebelum menghancurkan versi kunci bergantung pada jenis kunci, pola penggunaannya, dan tingkat sensitivitasnya. Misalnya, sebelum menghancurkan versi kunci yang digunakan dalam proses yang berjalan tiga bulan sekali, tetap nonaktifkan versi kunci hingga proses tersebut berhasil diselesaikan.
Periksa penggunaan kunci berdasarkan persyaratan kepatuhan yang berlaku. Misalnya, versi kunci dan data yang dienkripsi dengan versi tersebut mungkin tunduk pada periode retensi data.

Langkah-langkah ini membantu Anda mengidentifikasi apakah kunci mungkin masih diperlukan atau tidak; tetapi, langkah tersebut tidak dapat menjamin bahwa versi kunci tidak lagi diperlukan. Organisasi Anda harus menerapkan prosedur dan panduan untuk memastikan bahwa penghancuran versi kunci tidak akan menimbulkan efek negatif.

Menghancurkan versi kunci

Anda dapat menghancurkan versi kunci yang diaktifkan atau dinonaktifkan.

Konsol

Di konsol Google Cloud, buka halaman Key Management.

Buka Key Management
Centang kotak di samping versi kunci yang ingin Anda jadwalkan untuk dihancurkan.
Klik Hancurkan di header.
Di perintah konfirmasi, masukkan nama kunci, lalu klik Schedule Destruction.

gcloud

Untuk menggunakan Cloud KMS di command line, Instal atau upgrade Google Cloud CLI ke versi terbaru terlebih dahulu.

gcloud kms keys versions destroy KEY_VERSION \
    --key KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION

Ganti kode berikut:

KEY_VERSION: nomor versi versi kunci yang ingin Anda hancurkan.
KEY_NAME: nama kunci yang versi kuncinya ingin Anda hancurkan.
KEY_RING: nama key ring yang berisi kunci.
LOCATION: lokasi Cloud KMS key ring.

Untuk mengetahui informasi tentang semua tanda dan nilai yang memungkinkan, jalankan perintah dengan tanda --help.

C#

Untuk menjalankan kode ini, siapkan lingkungan pengembangan C# terlebih dahulu lalu instal Cloud KMS C# SDK.


using Google.Cloud.Kms.V1;

public class DestroyKeyVersionSample
{
    public CryptoKeyVersion DestroyKeyVersion(
      string projectId = "my-project", string locationId = "us-east1", string keyRingId = "my-key-ring", string keyId = "my-key", string keyVersionId = "123")
    {
        // Create the client.
        KeyManagementServiceClient client = KeyManagementServiceClient.Create();

        // Build the key version name.
        CryptoKeyVersionName keyVersionName = new CryptoKeyVersionName(projectId, locationId, keyRingId, keyId, keyVersionId);

        // Call the API.
        CryptoKeyVersion result = client.DestroyCryptoKeyVersion(keyVersionName);

        // Return the result.
        return result;
    }
}

Go

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Go terlebih dahulu lalu instal Cloud KMS Go SDK.

import (
	"context"
	"fmt"
	"io"

	kms "cloud.google.com/go/kms/apiv1"
	"cloud.google.com/go/kms/apiv1/kmspb"
)

// destroyKeyVersion marks a specified key version for deletion. The key can be
// restored if requested within 24 hours.
func destroyKeyVersion(w io.Writer, name string) error {
	// name := "projects/my-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key/cryptoKeyVersions/123"

	// Create the client.
	ctx := context.Background()
	client, err := kms.NewKeyManagementClient(ctx)
	if err != nil {
		return fmt.Errorf("failed to create kms client: %w", err)
	}
	defer client.Close()

	// Build the request.
	req := &kmspb.DestroyCryptoKeyVersionRequest{
		Name: name,
	}

	// Call the API.
	result, err := client.DestroyCryptoKeyVersion(ctx, req)
	if err != nil {
		return fmt.Errorf("failed to destroy key version: %w", err)
	}
	fmt.Fprintf(w, "Destroyed key version: %s\n", result)
	return nil
}

Java

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Java terlebih dahulu dan instal Java SDK Cloud KMS.

import com.google.cloud.kms.v1.CryptoKeyVersion;
import com.google.cloud.kms.v1.CryptoKeyVersionName;
import com.google.cloud.kms.v1.KeyManagementServiceClient;
import java.io.IOException;

public class DestroyKeyVersion {

  public void destroyKeyVersion() throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "your-project-id";
    String locationId = "us-east1";
    String keyRingId = "my-key-ring";
    String keyId = "my-key";
    String keyVersionId = "123";
    destroyKeyVersion(projectId, locationId, keyRingId, keyId, keyVersionId);
  }

  // Schedule destruction of the given key version.
  public void destroyKeyVersion(
      String projectId, String locationId, String keyRingId, String keyId, String keyVersionId)
      throws IOException {
    // Initialize client that will be used to send requests. This client only
    // needs to be created once, and can be reused for multiple requests. After
    // completing all of your requests, call the "close" method on the client to
    // safely clean up any remaining background resources.
    try (KeyManagementServiceClient client = KeyManagementServiceClient.create()) {
      // Build the key version name from the project, location, key ring, key,
      // and key version.
      CryptoKeyVersionName keyVersionName =
          CryptoKeyVersionName.of(projectId, locationId, keyRingId, keyId, keyVersionId);

      // Destroy the key version.
      CryptoKeyVersion response = client.destroyCryptoKeyVersion(keyVersionName);
      System.out.printf("Destroyed key version: %s%n", response.getName());
    }
  }
}

Node.js

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Node.js terlebih dahulu, lalu instal Node.js SDK Cloud KMS.

//
// TODO(developer): Uncomment these variables before running the sample.
//
// const projectId = 'my-project';
// const locationId = 'us-east1';
// const keyRingId = 'my-key-ring';
// const keyId = 'my-key';
// const versionId = '123';

// Imports the Cloud KMS library
const {KeyManagementServiceClient} = require('@google-cloud/kms');

// Instantiates a client
const client = new KeyManagementServiceClient();

// Build the key version name
const versionName = client.cryptoKeyVersionPath(
  projectId,
  locationId,
  keyRingId,
  keyId,
  versionId
);

async function destroyKeyVersion() {
  const [version] = await client.destroyCryptoKeyVersion({
    name: versionName,
  });

  console.log(`Destroyed key version: ${version.name}`);
  return version;
}

return destroyKeyVersion();

PHP

Untuk menjalankan kode ini, pelajari cara menggunakan PHP di Google Cloud terlebih dahulu dan instal PHP SDK Cloud KMS.

use Google\Cloud\Kms\V1\Client\KeyManagementServiceClient;
use Google\Cloud\Kms\V1\DestroyCryptoKeyVersionRequest;

function destroy_key_version(
    string $projectId = 'my-project',
    string $locationId = 'us-east1',
    string $keyRingId = 'my-key-ring',
    string $keyId = 'my-key',
    string $versionId = '123'
) {
    // Create the Cloud KMS client.
    $client = new KeyManagementServiceClient();

    // Build the key version name.
    $keyVersionName = $client->cryptoKeyVersionName($projectId, $locationId, $keyRingId, $keyId, $versionId);

    // Call the API.
    $destroyCryptoKeyVersionRequest = (new DestroyCryptoKeyVersionRequest())
        ->setName($keyVersionName);
    $destroyedVersion = $client->destroyCryptoKeyVersion($destroyCryptoKeyVersionRequest);
    printf('Destroyed key version: %s' . PHP_EOL, $destroyedVersion->getName());

    return $destroyedVersion;
}

Python

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Python terlebih dahulu lalu instal Cloud KMS Python SDK.

from google.cloud import kms

def destroy_key_version(
    project_id: str, location_id: str, key_ring_id: str, key_id: str, version_id: str
) -> kms.CryptoKeyVersion:
    """
    Schedule destruction of the given key version.

    Args:
        project_id (string): Google Cloud project ID (e.g. 'my-project').
        location_id (string): Cloud KMS location (e.g. 'us-east1').
        key_ring_id (string): ID of the Cloud KMS key ring (e.g. 'my-key-ring').
        key_id (string): ID of the key to use (e.g. 'my-key').
        version_id (string): ID of the key version to destroy (e.g. '1').

    Returns:
        CryptoKeyVersion: The version.

    """

    # Create the client.
    client = kms.KeyManagementServiceClient()

    # Build the key version name.
    key_version_name = client.crypto_key_version_path(
        project_id, location_id, key_ring_id, key_id, version_id
    )

    # Call the API.
    destroyed_version = client.destroy_crypto_key_version(
        request={"name": key_version_name}
    )
    print(f"Destroyed key version: {destroyed_version.name}")
    return destroyed_version

Ruby

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Ruby terlebih dahulu dan instal Ruby SDK Cloud KMS.

# TODO(developer): uncomment these values before running the sample.
# project_id  = "my-project"
# location_id = "us-east1"
# key_ring_id = "my-key-ring"
# key_id      = "my-key"
# version_id  = "123"

# Require the library.
require "google/cloud/kms"

# Create the client.
client = Google::Cloud::Kms.key_management_service

# Build the key version name.
key_version_name = client.crypto_key_version_path project:            project_id,
                                                  location:           location_id,
                                                  key_ring:           key_ring_id,
                                                  crypto_key:         key_id,
                                                  crypto_key_version: version_id

# Call the API.
destroyed_version = client.destroy_crypto_key_version name: key_version_name
puts "Destroyed key version: #{destroyed_version.name}"

API

Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.

Hancurkan versi kunci dengan memanggil metode CryptoKeyVersions.destroy.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \
    --request "POST" \
    --header "authorization: Bearer TOKEN"

Jika Anda tidak dapat menghancurkan versi kunci, organisasi Anda mungkin mengharuskan versi kunci tersebut dinonaktifkan sebelum dihancurkan. Cobalah menonaktifkan versi kunci sebelum menghancurkannya.

Saat Anda mengirimkan permintaan pemusnahan, status versi kunci akan dijadwalkan untuk pemusnahan. Setelah konfigurasi yang dijadwalkan untuk durasi pemusnahan kunci berlalu, status versi kunci akan dihancurkan, yang berarti penghapusan logis materi kunci dari sistem aktif telah dimulai, dan materi kunci tidak dapat dipulihkan oleh pelanggan. Materi kunci dapat tetap berada di sistem Google hingga 45 hari sejak waktu pemusnahan terjadwal.

Untuk menerima pemberitahuan saat versi kunci dijadwalkan untuk dimusnahkan, lihat Menggunakan Cloud Monitoring dengan Cloud KMS.

Versi kunci yang dihancurkan bukan resource yang ditagih.

Menghancurkan kunci eksternal

Untuk menghapus pengaitan antara kunci Cloud EKM dan kunci eksternal secara permanen, Anda dapat mengakhiri versi kunci tersebut. Setelah periode Dijadwalkan untuk dihancurkan, kunci akan dihancurkan. Setelah versi kunci dihancurkan, Anda tidak dapat lagi mengenkripsi data atau mendekripsi data yang dienkripsi dengan versi kunci Cloud EKM.

Menghancurkan versi kunci yang dikelola secara manual di Cloud KMS tidak akan mengubah kunci di pengelola kunci eksternal. Sebaiknya hancurkan kunci atau versi kunci terlebih dahulu di Google Cloud. Setelah versi kunci Cloud EKM dihancurkan, Anda dapat menghancurkan materi kunci di pengelola kunci eksternal.

Penghancuran versi kunci eksternal terkoordinasi di Cloud KMS akan terlebih dahulu menghapus versi kunci di Google Cloud, lalu mengirimkan permintaan pemusnahan ke EKM untuk menghancurkan material kunci eksternal.

Memulihkan versi kunci

Selama periode saat status versi kunci dijadwalkan untuk dimusnahkan, Anda dapat memulihkan versi kunci dengan mengirimkan permintaan pemulihan.

Konsol

Buka halaman Key Management di konsol Google Cloud.

Buka halaman Key Management
Klik nama key ring yang berisi kunci yang versi kuncinya akan Anda pulihkan.
Klik kunci yang versi kuncinya ingin Anda pulihkan.
Centang kotak di samping versi kunci yang ingin Anda pulihkan.
Klik Pulihkan di header.
Pada dialog konfirmasi, klik Pulihkan.

gcloud

Untuk menggunakan Cloud KMS di command line, Instal atau upgrade Google Cloud CLI ke versi terbaru terlebih dahulu.

gcloud kms keys versions restore key-version \
    --key key \
    --keyring key-ring \
    --location location

Ganti key-version dengan versi kunci yang akan dipulihkan. Ganti key dengan nama kunci. Ganti key-ring dengan nama key ring tempat kunci tersebut berada. Ganti location dengan lokasi Cloud KMS untuk key ring.

Untuk mengetahui informasi tentang semua tanda dan nilai yang memungkinkan, jalankan perintah dengan tanda --help.

C#

Untuk menjalankan kode ini, siapkan lingkungan pengembangan C# terlebih dahulu lalu instal Cloud KMS C# SDK.


using Google.Cloud.Kms.V1;

public class RestoreKeyVersionSample
{
    public CryptoKeyVersion RestoreKeyVersion(string projectId = "my-project", string locationId = "us-east1", string keyRingId = "my-key-ring", string keyId = "my-key", string keyVersionId = "123")
    {
        // Create the client.
        KeyManagementServiceClient client = KeyManagementServiceClient.Create();

        // Build the key version name.
        CryptoKeyVersionName cryptoKeyVersionName = new CryptoKeyVersionName(projectId, locationId, keyRingId, keyId, keyVersionId);

        // Call the API.
        CryptoKeyVersion result = client.RestoreCryptoKeyVersion(cryptoKeyVersionName);

        // Return the result.
        return result;
    }
}

Go

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Go terlebih dahulu lalu instal Cloud KMS Go SDK.

import (
	"context"
	"fmt"
	"io"

	kms "cloud.google.com/go/kms/apiv1"
	"cloud.google.com/go/kms/apiv1/kmspb"
)

// restoreKeyVersion attempts to recover a key that has been marked for
// destruction in the past 24h.
func restoreKeyVersion(w io.Writer, name string) error {
	// name := "projects/my-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key/cryptoKeyVersions/123"

	// Create the client.
	ctx := context.Background()
	client, err := kms.NewKeyManagementClient(ctx)
	if err != nil {
		return fmt.Errorf("failed to create kms client: %w", err)
	}
	defer client.Close()

	// Build the request.
	req := &kmspb.RestoreCryptoKeyVersionRequest{
		Name: name,
	}

	// Call the API.
	result, err := client.RestoreCryptoKeyVersion(ctx, req)
	if err != nil {
		return fmt.Errorf("failed to restore key version: %w", err)
	}
	fmt.Fprintf(w, "Restored key version: %s\n", result)
	return nil
}

Java

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Java terlebih dahulu dan instal Java SDK Cloud KMS.

import com.google.cloud.kms.v1.CryptoKeyVersion;
import com.google.cloud.kms.v1.CryptoKeyVersionName;
import com.google.cloud.kms.v1.KeyManagementServiceClient;
import java.io.IOException;

public class RestoreKeyVersion {

  public void restoreKeyVersion() throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "your-project-id";
    String locationId = "us-east1";
    String keyRingId = "my-key-ring";
    String keyId = "my-key";
    String keyVersionId = "123";
    restoreKeyVersion(projectId, locationId, keyRingId, keyId, keyVersionId);
  }

  // Schedule destruction of the given key version.
  public void restoreKeyVersion(
      String projectId, String locationId, String keyRingId, String keyId, String keyVersionId)
      throws IOException {
    // Initialize client that will be used to send requests. This client only
    // needs to be created once, and can be reused for multiple requests. After
    // completing all of your requests, call the "close" method on the client to
    // safely clean up any remaining background resources.
    try (KeyManagementServiceClient client = KeyManagementServiceClient.create()) {
      // Build the key version name from the project, location, key ring, key,
      // and key version.
      CryptoKeyVersionName keyVersionName =
          CryptoKeyVersionName.of(projectId, locationId, keyRingId, keyId, keyVersionId);

      // Restore the key version.
      CryptoKeyVersion response = client.restoreCryptoKeyVersion(keyVersionName);
      System.out.printf("Restored key version: %s%n", response.getName());
    }
  }
}

Node.js

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Node.js terlebih dahulu, lalu instal Node.js SDK Cloud KMS.

//
// TODO(developer): Uncomment these variables before running the sample.
//
// const projectId = 'my-project';
// const locationId = 'us-east1';
// const keyRingId = 'my-key-ring';
// const keyId = 'my-key';
// const versionId = '123';

// Imports the Cloud KMS library
const {KeyManagementServiceClient} = require('@google-cloud/kms');

// Instantiates a client
const client = new KeyManagementServiceClient();

// Build the key version name
const versionName = client.cryptoKeyVersionPath(
  projectId,
  locationId,
  keyRingId,
  keyId,
  versionId
);

async function restoreKeyVersion() {
  const [version] = await client.restoreCryptoKeyVersion({
    name: versionName,
  });

  console.log(`Restored key version: ${version.name}`);
  return version;
}

return restoreKeyVersion();

PHP

Untuk menjalankan kode ini, pelajari cara menggunakan PHP di Google Cloud terlebih dahulu dan instal PHP SDK Cloud KMS.

use Google\Cloud\Kms\V1\Client\KeyManagementServiceClient;
use Google\Cloud\Kms\V1\RestoreCryptoKeyVersionRequest;

function restore_key_version(
    string $projectId = 'my-project',
    string $locationId = 'us-east1',
    string $keyRingId = 'my-key-ring',
    string $keyId = 'my-key',
    string $versionId = '123'
) {
    // Create the Cloud KMS client.
    $client = new KeyManagementServiceClient();

    // Build the key version name.
    $keyVersionName = $client->cryptoKeyVersionName($projectId, $locationId, $keyRingId, $keyId, $versionId);

    // Call the API.
    $restoreCryptoKeyVersionRequest = (new RestoreCryptoKeyVersionRequest())
        ->setName($keyVersionName);
    $restoredVersion = $client->restoreCryptoKeyVersion($restoreCryptoKeyVersionRequest);
    printf('Restored key version: %s' . PHP_EOL, $restoredVersion->getName());

    return $restoredVersion;
}

Python

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Python terlebih dahulu lalu instal Cloud KMS Python SDK.

from google.cloud import kms

def restore_key_version(
    project_id: str, location_id: str, key_ring_id: str, key_id: str, version_id: str
) -> kms.CryptoKeyVersion:
    """
    Restore a key version scheduled for destruction.

    Args:
        project_id (string): Google Cloud project ID (e.g. 'my-project').
        location_id (string): Cloud KMS location (e.g. 'us-east1').
        key_ring_id (string): ID of the Cloud KMS key ring (e.g. 'my-key-ring').
        key_id (string): ID of the key to use (e.g. 'my-key').
        version_id (string): ID of the version to use (e.g. '1').

    Returns:
        CryptoKeyVersion: Restored Cloud KMS key version.

    """

    # Create the client.
    client = kms.KeyManagementServiceClient()

    # Build the key version name.
    key_version_name = client.crypto_key_version_path(
        project_id, location_id, key_ring_id, key_id, version_id
    )

    # Call the API.
    restored_version = client.restore_crypto_key_version(
        request={"name": key_version_name}
    )
    print(f"Restored key version: {restored_version.name}")
    return restored_version

Ruby

Untuk menjalankan kode ini, siapkan lingkungan pengembangan Ruby terlebih dahulu dan instal Ruby SDK Cloud KMS.

# TODO(developer): uncomment these values before running the sample.
# project_id  = "my-project"
# location_id = "us-east1"
# key_ring_id = "my-key-ring"
# key_id      = "my-key"
# version_id  = "123"

# Require the library.
require "google/cloud/kms"

# Create the client.
client = Google::Cloud::Kms.key_management_service

# Build the key version name.
key_version_name = client.crypto_key_version_path project:            project_id,
                                                  location:           location_id,
                                                  key_ring:           key_ring_id,
                                                  crypto_key:         key_id,
                                                  crypto_key_version: version_id

# Call the API.
restored_version = client.restore_crypto_key_version name: key_version_name
puts "Restored key version: #{restored_version.name}"

API

Contoh ini menggunakan curl sebagai klien HTTP untuk menunjukkan penggunaan API. Untuk informasi selengkapnya tentang kontrol akses, lihat Mengakses Cloud KMS API.

Pulihkan versi kunci dengan memanggil metode CryptoKeyVersions.restore.

curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \
    --request "POST" \
    --header "authorization: Bearer token"

Setelah permintaan pemulihan selesai, status versi kunci akan dinonaktifkan. Anda harus mengaktifkan kunci sebelum dapat digunakan.

Izin IAM yang diperlukan

Untuk menghancurkan versi kunci, pemanggil memerlukan izin IAM cloudkms.cryptoKeyVersions.destroy pada kunci, key ring, atau project, folder, atau organisasi.

Untuk memulihkan versi kunci, pemanggil memerlukan izin cloudkms.cryptoKeyVersions.restore.

Kedua izin ini diberikan ke peran Admin Cloud KMS (roles/cloudkms.admin).

Linimasa penghapusan

Cloud KMS berkomitmen untuk menghapus materi kunci pelanggan dari semua infrastruktur Google dalam waktu 45 hari sejak waktu pemusnahan yang dijadwalkan. Hal ini termasuk penghapusan data dari cadangan pusat data dan sistem yang aktif. Data pelanggan lainnya tunduk pada linimasa penghapusan Google Cloud standar selama 180 hari.