Auf dieser Seite erfahren Sie, wie Sie eine Cloud Key Management Service-Schlüsselversion zum endgültigen Löschen planen. In Cloud KMS wird das kryptografische Schlüsselmaterial, das Sie zum Verschlüsseln, Entschlüsseln, Signieren und Überprüfen von Daten verwenden, in einer Schlüsselversion gespeichert. Ein Schlüssel hat keine oder mehr Schlüsselversionen. Wenn Sie einen Schlüssel rotieren, erstellen Sie eine neue Schlüsselversion.
Das Löschen einer Schlüsselversion bedeutet, dass das Schlüsselmaterial dauerhaft gelöscht wird. Wenn Sie eine Schlüsselversion löschen, werden andere Details wie der Schlüsselname und die Schlüsselversionsnummer nicht gelöscht. Nachdem ein Schlüssel gelöscht wurde, können mit der Schlüsselversion verschlüsselte Daten nicht entschlüsselt werden.
Da das Löschen von Schlüsseln nicht rückgängig gemacht werden kann, können Sie Schlüsselversionen in Cloud KMS nicht sofort löschen. Stattdessen planen Sie das Löschen einer Schlüsselversion. Die Schlüsselversion bleibt für einen konfigurierbaren Zeitraum im state zum Löschen vorgemerkt. Während des Löschzeitraums können Sie eine Schlüsselversion wiederherstellen, um das Löschen abzubrechen.
Standardmäßig ist eine Dauer von 30 Tagen für das Löschen geplant. Sie können einen benutzerdefinierten Löschzeitraum für einen Schlüssel während der Schlüsselerstellung festlegen. Ihre Organisation kann eine Mindestdauer für das Löschen planen. Dazu legen Sie in Ihren Organisationsrichtlinien die Einschränkung Minimale Dauer für das geplante Löschen pro Schlüssel fest.
Sie können den Zugriff auf den Schlüssel auch mithilfe von Identity and Access Management (IAM) verwalten. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter IAM verwenden.
Sie können auch eine Schlüsselversion vorübergehend deaktivieren. Wir empfehlen, Schlüsselversionen vor dem Planen zum Löschen zu deaktivieren, damit der Schlüssel sicher gelöscht werden kann. Abhängig von Ihren Organisationsrichtlinien müssen Sie möglicherweise eine Schlüsselversion deaktivieren, bevor Sie sie zum Löschen vormerken können. Weitere Informationen zum Steuern des Löschens von Schlüsselversionen mithilfe von Organisationsrichtlinien finden Sie unter Löschen von Schlüsselversionen steuern.
Im weiteren Verlauf dieses Themas wird das Vormerken des Löschens eines Schlüssels als Löschen des Schlüssels bezeichnet, auch wenn das Löschen nicht sofort erfolgt.
Hinweise
Die Risiken verstehen
Das Löschen einer Schlüsselversion ist ein dauerhafter Vorgang. Das Löschen einer noch benötigten Schlüsselversion birgt folgende Risiken:
Dienstausfall: Wenn Sie einen Schlüssel löschen, der zum Starten eines Containers oder einer Instanz erforderlich ist, sind Ihre Dienste oder Anwendungen möglicherweise nicht mehr verfügbar.
Permanenter Datenverlust: Wenn Sie einen Schlüssel löschen, der zum Verschlüsseln von Daten verwendet wurde, sind diese Daten nicht mehr verfügbar. Daten, die mit einem gelöschten Schlüssel verschlüsselt wurden, werden als kryptografisch geschreddert betrachtet. In einigen Fällen kann das Löschen eines Schlüssels dazu führen, dass verschlüsselte Ressourcen dauerhaft gelöscht werden.
Gesetzliche Bestimmungen oder Compliance-Probleme: Wenn Sie einen Schlüssel löschen, der für den Zugriff auf Daten erforderlich ist, für die eine Aufbewahrungsdauer gilt, bevor diese Aufbewahrungsdauer abgelaufen ist, verstoßen Sie möglicherweise gegen eine gesetzliche oder Compliance-Anforderung.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS Admin (roles/cloudkms.admin
) für den Schlüssel zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Löschen und Wiederherstellen von Schlüsselversionen benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Prüfen, ob die Schlüsselversion verwendet wird
Bevor Sie eine Schlüsselversion löschen, führen Sie die folgenden Schritte aus, um festzustellen, ob die Schlüsselversion verwendet wird:
Rufen Sie Details zum Tracking der Schlüsselnutzung für den Schlüssel auf. Wenn Ressourcen durch die Schlüsselversion geschützt sind, die Sie löschen möchten, verschlüsseln Sie sie noch einmal mit einer anderen Schlüsselversion.
Aktivieren Sie Logs für alle Dienste oder Anwendungen, die die Schlüsselversion verwenden könnten.
Aktivieren Sie die Logs für das Cloud KMS-Projekt, das den Schlüssel enthält.
Deaktivieren Sie die Schlüsselversion. Wenn Sie die Schlüsselversion deaktivieren, kann sie nicht mehr verwendet werden. Wenn die Schlüsselversion deaktiviert ist, schlagen alle Versuche, die Schlüsselversion zu verwenden, fehl.
Überwachen Sie die Logs, bis Sie sicher sind, dass keine Anwendung oder kein Dienst noch von der deaktivierten Schlüsselversion abhängt. Wenn Fehler darauf hinweisen, dass der Zugriff auf die Schlüsselversion fehlgeschlagen ist, konfigurieren Sie die Anwendung oder Ressource für die Verwendung einer anderen Schlüsselversion.
Die Zeit, die Sie für das Monitoring von Logs vor dem Löschen einer Schlüsselversion benötigen, hängt vom Schlüsseltyp, seinem Nutzungsmuster und seiner Vertraulichkeit ab. Bevor Sie beispielsweise eine Schlüsselversion löschen, die in einem vierteljährlich ausgeführten Prozess verwendet wird, lassen Sie die Schlüsselversion deaktiviert, bis dieser Prozess erfolgreich abgeschlossen ist.
Prüfen Sie die Nutzung des Schlüssels anhand der anwendbaren Compliance-Anforderungen. Beispielsweise kann es für die Schlüsselversion und die damit verschlüsselten Daten eine Aufbewahrungsdauer geben.
Mit diesen Schritten können Sie feststellen, ob ein Schlüssel möglicherweise noch benötigt wird. Sie können jedoch nicht garantieren, dass eine Schlüsselversion nicht mehr benötigt wird. Ihre Organisation sollte Verfahren und Richtlinien implementieren, damit das Löschen von Schlüsselversionen keine negativen Auswirkungen hat.
Schlüsselversion löschen
Sie können eine aktivierte oder deaktivierte Schlüsselversion löschen.
Console
Rufen Sie in der Google Cloud Console die Seite Key Management auf.
Klicken Sie das Kästchen neben der Schlüsselversion an, deren Löschen Sie planen möchten.
Klicken Sie im Header auf Löschen.
Geben Sie in der Bestätigungsaufforderung den Schlüsselnamen ein und klicken Sie auf Löschung planen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys versions destroy KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Ersetzen Sie Folgendes:
KEY_VERSION
: Die Versionsnummer der Schlüsselversion, die Sie löschen möchten.KEY_NAME
: der Name des Schlüssels, für den Sie eine Schlüsselversion löschen möchten.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Löschen Sie eine Schlüsselversion, indem Sie die Methode CryptoKeyVersions.destroy aufrufen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Wenn Sie eine Schlüsselversion nicht löschen können, verlangt Ihre Organisation möglicherweise, dass Schlüsselversionen vor dem Löschen deaktiviert werden. Deaktivieren Sie die Schlüsselversion, bevor Sie sie löschen.
Wenn Sie die Löschanfrage senden, wird der Status der Schlüsselversion zum Löschen vorgemerkt. Nachdem die konfigurierte Dauer zum Löschen des Schlüssels verstrichen ist, wird der Status der Schlüsselversion gelöscht. Das bedeutet, dass das logische Löschen des Schlüsselmaterials aus aktiven Systemen begonnen hat und das Schlüsselmaterial vom Kunden nicht wiederhergestellt werden kann. Schlüsselmaterial kann nach dem geplanten Löschen bis zu 45 Tage in den Google-Systemen verbleiben.
Wie Sie eine Benachrichtigung erhalten, wenn eine Schlüsselversion zum Löschen geplant ist, erfahren Sie unter Cloud Monitoring mit Cloud KMS verwenden.
Gelöschte Schlüsselversionen werden nicht in Rechnung gestellt.
Externe Schlüssel löschen
Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel dauerhaft entfernen möchten, können Sie die Schlüsselversion löschen. Nach Ablauf des Zeitraums für Zum Löschen vorgemerkt wird der Schlüssel gelöscht. Nachdem die Schlüsselversion gelöscht wurde, können Sie keine Daten mehr verschlüsseln oder Daten entschlüsseln, die mit der Cloud EKM-Schlüsselversion verschlüsselt wurden.
Durch das Löschen einer manuell verwalteten Schlüsselversion in Cloud KMS wird der Schlüssel im External Key Manager nicht geändert. Wir empfehlen, zuerst den Schlüssel oder die Schlüsselversion in Google Cloud zu löschen. Nachdem die Cloud EKM-Schlüsselversion gelöscht wurde, können Sie das Schlüsselmaterial im External Key Manager löschen.
Durch das Löschen einer koordinierten externen Schlüsselversion in Cloud KMS wird zuerst die Schlüsselversion in Google Cloud gelöscht. Anschließend wird eine Löschanfrage an den EKM gesendet, um das externe Schlüsselmaterial zu löschen.
Schlüsselversion wiederherstellen
Während des Zeitraums, in dem der Status einer Schlüsselversion zum Löschen vorgemerkt ist, können Sie die Schlüsselversion wiederherstellen, indem Sie eine Wiederherstellungsanfrage senden.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds mit dem Schlüssel, dessen Schlüsselversion Sie wiederherstellen möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie wiederherstellen möchten.
Klicken Sie auf das Kästchen neben der Schlüsselversion, die Sie wiederherstellen möchten.
Klicken Sie im Header auf Wiederherstellen.
Klicken Sie in der Bestätigungsaufforderung auf Wiederherstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst ein Upgrade auf die neueste Version der Google Cloud CLI durchführen oder ein Upgrade auf die neueste Version der Google Cloud CLI ausführen.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die Version des Schlüssels, die wiederhergestellt werden soll. Ersetzen Sie key durch den Namen des Schlüssels. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Stellen Sie eine Schlüsselversion wieder her, indem Sie die Methode CryptoKeyVersions.restore aufrufen.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \ --request "POST" \ --header "authorization: Bearer token"
Nach Abschluss der Wiederherstellungsanfrage wird der Status der Schlüsselversion deaktiviert. Sie müssen den Schlüssel aktivieren, damit er verwendet werden kann.
Erforderliche IAM-Berechtigungen
Zum Löschen einer Schlüsselversion benötigt der Aufrufer die IAM-Berechtigung cloudkms.cryptoKeyVersions.destroy
für den Schlüssel, den Schlüsselbund oder das Projekt, den Ordner oder die Organisation.
Zum Wiederherstellen einer Schlüsselversion benötigt der Aufrufer die Berechtigung cloudkms.cryptoKeyVersions.restore
.
Beide Berechtigungen werden der Cloud KMS-Administratorrolle (roles/cloudkms.admin
) gewährt.
Löschzeitachse
Cloud KMS löscht das Kundenschlüsselmaterial innerhalb von 45 Tagen nach dem geplanten Löschtermin aus der gesamten Google-Infrastruktur. Dazu gehört auch das Entfernen von Daten aus aktiven Systemen und Rechenzentrumssicherungen. Andere Kundendaten unterliegen dem standardmäßigen Löschzeitplan von Google Cloud von 180 Tagen.