Auf dieser Seite erfahren Sie, wie Sie eine Schlüsselversion für Cloud Key Management Service als permanente Zerstörung. In Cloud KMS ist das von Ihnen verwendete kryptografische Schlüsselmaterial , um Daten zu verschlüsseln, zu entschlüsseln, zu signieren und zu prüfen, ob sie in einer Schlüsselversion gespeichert sind. Ein Schlüssel hat keine oder mehr Schlüsselversionen. Wenn Sie einen Schlüssel rotieren, erstellen Sie einen neuen Schlüssel Version.
Das Löschen einer Schlüsselversion bedeutet, dass das Schlüsselmaterial dauerhaft gelöscht wird. Wenn Sie eine Schlüsselversion löschen, werden andere Details wie der Schlüsselname und der Schlüssel gelöscht Versionsnummern nicht gelöscht werden. Nach dem Löschen eines Schlüssels werden verschlüsselte Daten mit der Schlüsselversion kann nicht entschlüsselt werden.
Da die Schlüssellöschung irreversibel ist, können Sie in Cloud KMS Schlüsselversionen sofort löschen. Stattdessen planen Sie eine Schlüsselversion für Zerstörung. Die Schlüsselversion bleibt im Status zum Löschen vorgemerkt. für eine konfigurierbare Zeit. Während des Löschvorgangs können Sie Folgendes tun: eine Schlüsselversion wiederherstellen, um das Löschen abzubrechen.
Standardmäßig ist eine Dauer von 30 Tagen für das Löschen geplant. Sie können einen Benutzerdefiniert mit Löschdauer für einen Schlüssel während des Schlüssels geplant . Ihre Organisation kann eine Mindestdauer für das Löschen vorgemerkt, indem Sie die Mindestanzahl für das Löschen Beschränkung der geplanten Dauer pro Schlüssel in Ihren Organisationsrichtlinien.
Sie können den Zugriff auf den Schlüssel auch mithilfe von Identity and Access Management (IAM) verwalten. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter IAM verwenden.
Sie können auch eine Schlüsselversion vorübergehend deaktivieren. Mi. empfehlen, Schlüsselversionen zu deaktivieren, bevor Sie sie zum Löschen vormerken: wie Sie dafür sorgen, dass der Schlüssel sicher zerstört werden kann. Je nach Ihren Organisationsrichtlinien müssen Sie möglicherweise einen Schlüssel deaktivieren , bevor Sie sie zum Löschen vormerken können. Weitere Informationen zu das Löschen von Schlüsselversionen mithilfe von Organisationsrichtlinien steuern, siehe Steuern Löschen von Schlüsselversionen
Im weiteren Verlauf dieses Themas wird weil der Schlüssel gelöscht wird, auch wenn er nicht sofort gelöscht wird.
Hinweise
Die Risiken verstehen
Das Löschen einer Schlüsselversion ist ein dauerhafter Vorgang. Löschen einer Schlüsselversion, die weiterhin benötigt wird, birgt folgende Risiken:
Dienstausfall: Wenn Sie einen Schlüssel löschen, der zum Starten eines Containers erforderlich ist oder Instanz, können Ihre Dienste oder Anwendungen nicht mehr verfügbar sein.
Dauerhafter Datenverlust: Wenn Sie einen Schlüssel löschen, der zum Verschlüsseln von Daten verwendet wurde, dass die Daten nicht mehr verfügbar sind. Daten, die mit einem Schlüssel verschlüsselt wurden, der gelöscht wird, gilt als kryptografisch geschreddert. In einigen Fällen ist das Löschen eines Schlüssels können verschlüsselte Ressourcen dauerhaft gelöscht werden.
Gesetzes- oder Compliance-Probleme: Wenn Sie einen Schlüssel löschen, der für Auf Daten zugreifen, für die eine Aufbewahrungsdauer vor dieser Aufbewahrungsdauer gilt abgeschlossen ist, verstoßen Sie möglicherweise gegen Vorschriften oder Compliance. Anforderung.
Erforderliche Rollen
Um die Berechtigungen zu erhalten, die Sie zum Löschen und Wiederherstellen von Schlüsselversionen benötigen,
bitten Sie Ihren Administrator, Ihnen
Die IAM-Rolle Cloud KMS Admin (roles/cloudkms.admin
) für den Schlüssel.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Prüfen, ob die Schlüsselversion verwendet wird
Bevor Sie eine Schlüsselversion löschen, führen Sie die folgenden Schritte aus, um festzustellen, die Schlüsselversion verwendet:
Rufen Sie Details zum Tracking der Schlüsselnutzung für den Schlüssel auf. Wenn Ressourcen durch die Schlüsselversion geschützt sind, die Sie löschen möchten, mit einer anderen Schlüsselversion neu verschlüsseln.
Aktivieren Sie Logs für alle Dienste oder Anwendungen, die den Schlüssel verwenden könnten Version.
Aktivieren Sie die Logs für das Cloud KMS-Projekt, das den Schlüssel enthält.
Deaktivieren Sie die Schlüsselversion. Schlüssel deaktivieren version verhindert, dass die Schlüsselversion verwendet wird. Mit der Schlüsselversion deaktiviert, schlagen alle Versuche, die Schlüsselversion zu verwenden, fehl.
Überwachen Sie die Logs, bis Sie sicher sind, dass keine Anwendung oder kein Dienst mehr verfügbar ist. hängt von der deaktivierten Schlüsselversion ab. Wenn Fehler auf „Fehlgeschlagen“ hinweisen Zugriff auf die Schlüsselversion und die zu verwendende Anwendung oder Ressource konfigurieren eine andere Schlüsselversion.
Die Zeit, die Sie für das Monitoring von Logs benötigen, bevor Sie ein Schlüsselversion hängt vom Schlüsseltyp, seinem Nutzungsmuster und Empfindlichkeitsstufe. Bevor Sie beispielsweise eine Schlüsselversion löschen, die verwendet wird, in einem Prozess, der vierteljährlich ausgeführt wird, lassen Sie die Schlüsselversion bis dahin deaktiviert. abgeschlossen wird.
Prüfen Sie die Nutzung des Schlüssels anhand der anwendbaren Compliance-Anforderungen. Für die Schlüsselversion und die damit verschlüsselten Daten können beispielsweise die Aufbewahrungsdauer von Daten.
Anhand dieser Schritte können Sie feststellen, ob ein Schlüssel möglicherweise noch benötigt wird. Allerdings können sie nicht garantieren, dass eine Schlüsselversion nicht mehr benötigt wird. Meine Organisation Verfahren und Richtlinien implementieren, die sicherstellen, dass die Schlüsselversion Zerstörung keine negativen Auswirkungen hat.
Schlüsselversion löschen
Sie können eine aktivierte oder deaktivierte Schlüsselversion löschen.
Console
Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.
Klicken Sie das Kästchen neben der Schlüsselversion an, deren Löschen Sie planen möchten.
Klicken Sie im Header auf Löschen.
Geben Sie in der Bestätigungsaufforderung den Schlüsselnamen ein und klicken Sie auf Löschung planen.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys versions destroy KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Ersetzen Sie Folgendes:
KEY_VERSION
: Versionsnummer der gewünschten Schlüsselversion zu zerstören.KEY_NAME
: der Name des Schlüssels, für den Sie einen Schlüssel löschen möchten Version.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Löschen Sie eine Schlüsselversion, indem Sie die Methode CryptoKeyVersions.destroy .
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Wenn Sie eine Schlüsselversion nicht löschen können, verlangt Ihre Organisation möglicherweise das Schlüsselversionen müssen vor dem Löschen deaktiviert werden. Schlüsselversion deaktivieren bevor sie zerstört werden.
Wenn Sie die Löschanfrage senden, ändert sich der Status der Schlüsselversion zu zum Löschen vorgemerkt. Nachdem der Schlüssel konfiguriert Löschungsdauer geplant hat bestanden, wird der Status der Schlüsselversion gelöscht, d. h. Das logische Löschen des Schlüsselmaterials Systeme wurde gestartet und das Schlüsselmaterial kann vom Kunden nicht wiederhergestellt werden. Schlüssel Inhalte können bis zu 45 Tage ab dem zum geplanten Löschen vorgemerkt.
Wie Sie eine Benachrichtigung erhalten, wenn eine Schlüsselversion zum Löschen geplant ist, erfahren Sie unter Cloud Monitoring mit Cloud KMS verwenden.
Gelöschte Schlüsselversionen werden nicht in Rechnung gestellt.
Externe Schlüssel löschen
So entfernen Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel haben, können Sie die Schlüsselversion löschen. Nach Ablauf des Zeitraums für Zum Löschen vorgemerkt wird der Schlüssel gelöscht. Nachdem die Schlüsselversion gelöscht wurde, können Sie keine Daten mehr verschlüsseln oder Daten entschlüsseln, die mit der Cloud EKM-Schlüsselversion verschlüsselt wurden.
Durch das Löschen einer manuell verwalteten Schlüsselversion in Cloud KMS ändert sich nichts Schlüssel im External Key Manager. Wir empfehlen, zuerst den Schlüssel oder Schlüsselversion in Google Cloud. Nachdem die Cloud EKM-Schlüsselversion gelöscht wurde, können Sie das Schlüsselmaterial im externen Schlüsselverwaltungssystem löschen.
Zuerst eine koordinierte externe Schlüsselversion in Cloud KMS löschen Zerstört die Schlüsselversion in Google Cloud und sendet dann ein Löschen Anfrage an den EKM zum Löschen des externen Schlüsselmaterials.
Schlüsselversion wiederherstellen
Während des Zeitraums, in dem der Status einer Schlüsselversion zum Löschen vorgemerkt ist, können Sie die Schlüsselversion wiederherstellen, indem Sie eine Wiederherstellungsanfrage senden.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds mit dem Schlüssel, dessen Schlüsselversion Sie wiederherstellen möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie wiederherstellen möchten.
Klicken Sie auf das Kästchen neben der Schlüsselversion, die Sie wiederherstellen möchten.
Klicken Sie im Header auf Wiederherstellen.
Klicken Sie in der Bestätigungsaufforderung auf Wiederherstellen.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die Version des Schlüssels, die wiederhergestellt werden soll. Ersetzen Sie key durch den Namen des Schlüssels. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Stellen Sie eine Schlüsselversion wieder her, indem Sie die Methode CryptoKeyVersions.restore .
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \ --request "POST" \ --header "authorization: Bearer token"
Nach Abschluss der Wiederherstellungsanfrage ändert sich der Status der Schlüsselversion. deaktiviert. Sie müssen den Schlüssel aktivieren, damit er verwendet werden kann.
Erforderliche IAM-Berechtigungen
Zum Löschen einer Schlüsselversion benötigt der Aufrufer den
cloudkms.cryptoKeyVersions.destroy
-IAM-Berechtigung für den Schlüssel,
den Schlüsselbund, das Projekt, den Ordner oder die Organisation.
Zum Wiederherstellen einer Schlüsselversion benötigt der Aufrufer die Berechtigung cloudkms.cryptoKeyVersions.restore
.
Beide Berechtigungen werden der Cloud KMS-Administratorrolle (roles/cloudkms.admin
) gewährt.
Löschzeitachse
Cloud KMS löscht das Kundenschlüsselmaterial aus allen Google-Produkten innerhalb von 45 Tagen nach dem geplanten Löschtermin. Dazu gehören Daten aus aktiven Systemen und Back-ups der Rechenzentren zu entfernen. Anderer Kunde unterliegen dem Standard Zeitplan für die Löschung von Google Cloud von 180 Tagen.