En Cloud KMS, el material de clave criptográfica que usas para encriptar, desencriptar, firmar y verificar los datos se almacena en una versión de clave. Una clave tiene cero o más versiones de clave. Cuando rotas una clave, creas una versión de clave nueva.
En este tema, se muestra cómo programar una versión de clave para su destrucción permanente. Una vez que se destruye una clave, no se puede acceder a los datos encriptados con ella.
Cuando envías una solicitud para destruir una versión de clave, la destrucción ocurre después de 24 horas, a menos que canceles la solicitud de destrucción si restableces la versión de clave. También puedes administrar el acceso a la clave mediante la administración de identidades y accesos (IAM). Las operaciones de IAM son coherentes en segundos. Para obtener más información, consulta Usa IAM.
También puedes inhabilitar una versión de clave de forma temporal.
En el resto de este tema, se habla de la destrucción de la clave para hacer referencia a programar una clave para su destrucción, aunque la destrucción no sea inmediata.
Destruye una versión de clave
Puedes destruir una versión de clave habilitada o inhabilitada.
IU web
Ve a la página Claves criptográficas en Cloud Console.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión de clave se programará para su destrucción.
Haz clic en la clave cuya versión de clave deseas programar para su destrucción.
Marca la casilla junto a la versión de clave que deseas programar para la destrucción.
Haz clic en Destruir en el encabezado.
En el mensaje de confirmación, ingresa el nombre de la clave y, luego, haz clic en Programar destrucción.
Línea de comandos
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente del SDK de Cloud.
gcloud kms keys versions destroy key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas destruir. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Comienza a usarlo
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Cuando envías la solicitud de destrucción, el estado de la versión de clave pasa a estar Programada para su destrucción. Después de 24 horas, el estado de la versión de clave se vuelve Destruida.
A fin de recibir una alerta cuando una versión de clave está programada para su destrucción, consulta Usa Cloud Monitoring con Cloud KMS.
Las versiones de clave destruidas no son recursos facturados.
Restablece una versión de clave
Durante el período en el que el estado de la versión de una clave es Programada para su destrucción, puedes restablecer la versión de clave mediante el envío de una solicitud de restablecimiento.
IU web
Ve a la página Claves criptográficas en Cloud Console.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión se restablecerá.
Haz clic en la clave cuya versión de clave deseas restablecer.
Marca la casilla junto a la versión de clave que deseas restablecer.
Haga clic en Restablecer en el encabezado.
En el mensaje de confirmación, haz clic en Restablecer.
Línea de comandos
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente del SDK de Cloud.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas restablecer. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Comienza a usarlo
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Una vez que se completa la solicitud de restablecimiento, el estado de la versión de la clave pasa a Inhabilitada. Debes habilitar la clave para poder usarla.
Permisos de IAM obligatorios
Para destruir una versión de clave, el emisor necesita el permiso cloudkms.cryptoKeyVersions.destroy
de IAM en la clave, el llavero de claves o el proyecto, la carpeta o la organización.
Para restablecer una versión de clave, el emisor necesita el permiso cloudkms.cryptoKeyVersions.restore
.
Ambos permisos se otorgan a la función de administrador de Cloud KMS (roles/cloudkms.admin
).