Dans Cloud KMS, le matériel de clé cryptographique que vous utilisez pour chiffrer, déchiffrer, signer et valider les données est stocké dans une version de clé. Une clé comporte zéro ou plusieurs versions de clé. Lorsque vous effectuez une rotation de clé, vous créez une nouvelle version de clé.
Cet article explique comment programmer la destruction définitive d'une version de clé. Une fois qu'une clé est détruite, les données chiffrées avec cette clé ne sont plus accessibles.
Lorsque vous envoyez une requête visant à détruire une version de clé, la destruction est effectuée après 24 heures, sauf si vous annulez la requête de destruction en restaurant la version de clé. Vous pouvez également gérer l'accès à la clé à l'aide d'Identity and Access Management (IAM). Les opérations IAM sont cohérentes en quelques secondes. Pour en savoir plus, consultez la page Utiliser Cloud IAM.
Vous pouvez également désactiver temporairement une version de clé.
Dans la suite de cette section, "détruire la clé" désigne la programmation de la destruction d'une clé, et non sa destruction immédiate.
Détruire une version de clé
Vous pouvez détruire une version de clé activée ou désactivée.
UI Web
Accédez à la page Clés de chiffrement dans Cloud Console.
Cliquez sur le nom du trousseau de clés contenant la clé dont vous souhaitez programmer la destruction de la version.
Cliquez sur la clé dont vous souhaitez programmer la destruction de la version.
Cochez l'option située à côté de la version de clé dont vous souhaitez programmer la destruction.
Cliquez sur Détruire dans l'en-tête.
Dans l'invite de confirmation, saisissez le nom de la clé, puis cliquez sur Programmer la destruction.
Ligne de commande
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour le SDK Cloud.
gcloud kms keys versions destroy key-version \ --key key \ --keyring key-ring \ --location location
Remplacez key-version par la version de la clé à détruire. Remplacez key par le nom de la clé. Remplacez key-ring par le nom du trousseau de clés où se trouve la clé. Remplacez location par l'emplacement Cloud KMS du trousseau de clés.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help
.
C#
Pour exécuter ce code, commencez par configurer un environnement de développement C#, puis installez le SDK Cloud KMS pour C#.
Go
Pour exécuter ce code, commencez par configurer un environnement de développement Go, puis installez le SDK Cloud KMS pour Go.
Java
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Cloud KMS pour Java.
Node.js
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Cloud KMS pour Node.js.
PHP
Pour exécuter ce code, commencez par en apprendre plus sur l'utilisation de PHP sur Google Cloud, puis installez le SDK Cloud KMS pour PHP.
Python
Pour exécuter ce code, commencez par configurer un environnement de développement Python, puis installez le SDK Cloud KMS pour Python.
Ruby
Pour exécuter ce code, commencez par configurer un environnement de développement Ruby, puis installez le SDK Cloud KMS pour Ruby.
Lorsque vous envoyez la requête de destruction, l'état de la version de clé devient Destruction programmée. Au bout de 24 heures, la version de clé passe à l'état Détruite.
Pour recevoir une alerte lorsque la destruction d'une version de clé est programmée, consultez la page Utiliser Cloud Monitoring avec Cloud KMS.
Les versions de clé détruites ne sont pas des ressources facturées.
Restaurer une version de clé
Durant la période où l'état d'une version de clé est Destruction programmée, vous pouvez restaurer la version de clé en envoyant une requête de restauration.
UI Web
Accédez à la page Clés de chiffrement dans Cloud Console.
Cliquez sur le nom du trousseau de clés contenant la clé dont vous souhaitez restaurer la version.
Cliquez sur la clé dont vous souhaitez restaurer la version.
Cochez l'option située à côté de la version de clé que vous souhaitez restaurer.
Cliquez sur Restaurer dans l'en-tête.
Dans l'invite de confirmation, cliquez sur Restaurer.
Ligne de commande
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour le SDK Cloud.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Remplacez key-version par la version de la clé à restaurer. Remplacez key par le nom de la clé. Remplacez key-ring par le nom du trousseau de clés où se trouve la clé. Remplacez location par l'emplacement Cloud KMS du trousseau de clés.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help
.
C#
Pour exécuter ce code, commencez par configurer un environnement de développement C#, puis installez le SDK Cloud KMS pour C#.
Go
Pour exécuter ce code, commencez par configurer un environnement de développement Go, puis installez le SDK Cloud KMS pour Go.
Java
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Cloud KMS pour Java.
Node.js
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Cloud KMS pour Node.js.
PHP
Pour exécuter ce code, commencez par en apprendre plus sur l'utilisation de PHP sur Google Cloud, puis installez le SDK Cloud KMS pour PHP.
Python
Pour exécuter ce code, commencez par configurer un environnement de développement Python, puis installez le SDK Cloud KMS pour Python.
Ruby
Pour exécuter ce code, commencez par configurer un environnement de développement Ruby, puis installez le SDK Cloud KMS pour Ruby.
Une fois la requête de restauration terminée, l'état de la version de clé devient Désactivée. Vous devez activer la clé avant de pouvoir l'utiliser.
Autorisations IAM requises
Pour détruire une version de clé, l'appelant doit disposer de l'autorisation IAM cloudkms.cryptoKeyVersions.destroy
sur la clé, le trousseau de clés, ou sur le projet, le dossier ou l'organisation.
Pour restaurer une version de clé, l'appelant doit disposer de l'autorisation cloudkms.cryptoKeyVersions.restore
.
Ces deux autorisations sont accordées au rôle d'administrateur Cloud KMS (roles/cloudkms.admin
).