In Cloud KMS wird das kryptografische Schlüsselmaterial, das Sie zum Verschlüsseln, Entschlüsseln, Signieren und Prüfen von Daten verwenden, in einer Schlüsselversion gespeichert. Ein Schlüssel hat null oder mehr Schlüsselversionen. Wenn Sie einen Schlüssel rotieren, erstellen Sie eine neue Schlüsselversion.
In diesem Thema wird gezeigt, wie Sie eine Schlüsselversion zum endgültigen Löschen vormerken. Nachdem ein Schlüssel gelöscht wurde, kann nicht mehr auf die mit dem Schlüssel verschlüsselten Daten zugegriffen werden.
Wenn Sie eine Anfrage zum Löschen einer Schlüsselversion senden, wird diese standardmäßig nach 24 Stunden gelöscht. Sie können den Löschvorgang abbrechen, indem Sie die Schlüsselversion wiederherstellen.
Der Schlüssel bleibt 24 Stunden lang im Status „Zum Löschen vorgemerkt“. Sie können diese Standarddauer zum Zeitpunkt der Schlüsselerstellung ändern.
Sie können den Zugriff auf den Schlüssel auch mithilfe von Identity and Access Management (IAM) verwalten. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter IAM verwenden.
Sie können auch eine Schlüsselversion vorübergehend deaktivieren.
Im Rest dieses Themas wird das Löschen eines Schlüssels als das Löschen des Schlüssels bezeichnet, obwohl das Löschen nicht sofort erfolgt.
Schlüsselversion löschen
Sie können eine aktivierte oder deaktivierte Schlüsselversion löschen.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselrings, der den Schlüssel enthält, dessen Schlüsselversion zum Löschen vorgemerkt werden soll.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie zum Löschen vormerken möchten.
Klicken Sie das Kästchen neben der Schlüsselversion an, deren Löschen Sie planen möchten.
Klicken Sie im Header auf Löschen.
Geben Sie in der Bestätigungsaufforderung den Schlüsselnamen ein und klicken Sie auf Löschung planen.
gcloud
Wenn Sie Cloud KMS über die Befehlszeile verwenden möchten, installieren Sie die neueste Version von Google Cloud CLI oder führen Sie ein Upgrade darauf durch.
gcloud kms keys versions destroy key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die Version des Schlüssels, die geslöscht werden soll. Ersetzen Sie key durch den Namen des Schlüssels. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Wenn Sie die Löschanfrage senden, wird der Zustand der Schlüsselversion auf Zum Löschen vorgemerkt geändert. Nach 24 Stunden wird der Schlüsselversionsstatus in gelöscht geändert. Das bedeutet, dass das logische Löschen aus aktiven Systemen gestartet wurde und das Schlüsselmaterial vom Kunden nicht wiederhergestellt werden kann. Schlüsselmaterial kann bis zu 45 Tage nach dem geplanten Löschen in den Google-Systemen verbleiben.
Wie Sie eine Benachrichtigung erhalten, wenn eine Schlüsselversion zum Löschen geplant ist, erfahren Sie unter Cloud Monitoring mit Cloud KMS verwenden.
Gelöschte Schlüsselversionen werden nicht in Rechnung gestellt.
Schlüsselversion wiederherstellen
Wenn der Zustand einer Schlüsselversion Zum Löschen vorgemerkt ist, können Sie die Schlüsselversion wiederherstellen, indem Sie eine Wiederherstellungsanfrage senden.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds mit dem Schlüssel, dessen Schlüsselversion Sie wiederherstellen möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie wiederherstellen möchten.
Klicken Sie auf das Kästchen neben der Schlüsselversion, die Sie wiederherstellen möchten.
Klicken Sie im Header auf Wiederherstellen.
Klicken Sie in der Bestätigungsaufforderung auf Wiederherstellen.
gcloud
Wenn Sie Cloud KMS über die Befehlszeile verwenden möchten, installieren Sie die neueste Version von Google Cloud CLI oder führen Sie ein Upgrade darauf durch.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die Version des Schlüssels, die wiederhergestellt werden soll. Ersetzen Sie key durch den Namen des Schlüssels. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Nach Abschluss der Wiederherstellungsanfrage wird der Status der Schlüsselversion Deaktiviert. Sie müssen den Schlüssel aktivieren, bevor er verwendet werden kann.
Erforderliche IAM-Berechtigungen
Zum Löschen einer Schlüsselversion benötigt der Aufrufer die IAM-Berechtigung cloudkms.cryptoKeyVersions.destroy
für den Schlüssel, den Schlüsselbund oder das Projekt, den Ordner oder die Organisation.
Zum Wiederherstellen einer Schlüsselversion benötigt der Aufrufer die Berechtigung cloudkms.cryptoKeyVersions.restore
.
Beide Berechtigungen werden der Cloud KMS-Administratorrolle (roles/cloudkms.admin
) gewährt.
Löschzeitplan
Cloud KMS verpflichtet sich, Kundenschlüsselmaterial innerhalb von 45 Tagen nach der geplanten Zerstörungszeit aus der gesamten Google-Infrastruktur zu löschen. Dazu gehört das Entfernen von Daten aus aktiven Systemen und Rechenzentrums-Sicherungen. Für andere Kundendaten gilt die standardmäßige Google Cloud-Löschfrist von 180 Tagen.