Questa pagina mostra come pianificare una versione della chiave Cloud Key Management Service per l'eliminazione permanente. In Cloud KMS, il materiale della chiave di crittografia utilizzato per criptare, decriptare, firmare e verificare i dati è archiviato in una versione della chiave. Una chiave ha zero o più versioni. Quando ruoti una chiave, ne crei una nuova versione.
L'eliminazione della versione di una chiave significa che il materiale della chiave viene eliminato definitivamente. Quando elimini la versione di una chiave, altri dettagli come il nome e il numero di versione della chiave non vengono eliminati. Dopo l'eliminazione di una chiave, i dati criptati con la versione della chiave non possono essere decriptati.
Poiché l'eliminazione delle chiavi è irreversibile, Cloud KMS non ti consente di eliminare immediatamente le versioni delle chiavi. ma pianifichi una versione della chiave per l'eliminazione. La versione della chiave rimane nello state pianificato per l'eliminazione per un periodo di tempo configurabile. Durante la durata pianificata per l'eliminazione, puoi ripristinare una versione della chiave per annullarne l'eliminazione.
La durata predefinita per l'eliminazione pianificata è di 24 ore. Puoi impostare una durata personalizzata dell'eliminazione pianificata per una chiave durante la creazione della chiave. La tua organizzazione può applicare una durata minima pianificata per l'eliminazione impostando il vincolo Durata minima pianificata per l'eliminazione nei criteri dell'organizzazione.
Puoi anche gestire l'accesso alla chiave utilizzando Identity and Access Management (IAM). Le operazioni IAM sono coerenti in pochi secondi. Per ulteriori informazioni, consulta la sezione Utilizzo di IAM.
Puoi anche disabilitare temporaneamente una versione della chiave. Ti consigliamo di disabilitare le versioni della chiave prima di pianificarne l'eliminazione, come parte delle tue procedure, al fine di garantire che la chiave possa essere eliminata in modo sicuro. A seconda dei criteri dell'organizzazione, potrebbe essere necessario disabilitare una versione della chiave prima di poterne pianificare l'eliminazione. Per maggiori informazioni su come controllare l'eliminazione delle versioni delle chiavi utilizzando i criteri dell'organizzazione, consulta Controllare l'eliminazione delle versioni della chiave.
Nel resto di questo argomento, la pianificazione di una chiave per l'eliminazione è definita eliminazione della chiave, anche se l'eliminazione non è immediata.
Prima di iniziare
Comprendere i rischi
L'eliminazione della versione di una chiave è un'operazione permanente. L'eliminazione di una versione della chiave ancora necessaria comporta alcuni rischi, tra cui:
Interruzione del servizio: se elimini una chiave necessaria per avviare un container o un'istanza, i servizi o le applicazioni potrebbero non essere più disponibili.
Perdita permanente di dati: se elimini una chiave utilizzata per criptare i dati, questi ultimi non saranno più disponibili. I dati criptati con una chiave che è stata eliminata sono considerati distrutti dalle criptovalute. In alcuni casi, l'eliminazione di una chiave può causare l'eliminazione definitiva delle risorse criptate.
Problemi normativi o di conformità: se elimini una chiave necessaria per accedere a dati soggetti a un periodo di conservazione prima del completamento di tale periodo, potresti aver violato un requisito normativo o di conformità.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per eliminare e ripristinare le versioni della chiave, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin
) per la chiave.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Controllare se la versione della chiave è in uso
Prima di eliminare una versione della chiave, completa i seguenti passaggi per verificare se la versione della chiave è in uso:
Visualizza i dettagli principali di monitoraggio dell'utilizzo relativi alla chiave. Se le risorse sono protette dalla versione della chiave che vuoi eliminare, criptale nuovamente con un'altra versione della chiave.
Attiva i log per qualsiasi servizio o applicazione che potrebbe utilizzare la versione della chiave.
Attiva i log nel progetto Cloud KMS che contiene la chiave.
Disabilita la versione della chiave. La disattivazione della versione della chiave ne impedisce l'utilizzo. Se la versione della chiave è disabilitata, qualsiasi tentativo di utilizzare la versione della chiave non andrà a buon fine.
Monitora i log fino a quando non hai la certezza che nessuna applicazione o nessun servizio utilizzi ancora la versione della chiave disabilitata. Se un errore indica che l'accesso alla versione della chiave non è riuscito, configura l'applicazione o la risorsa in modo che utilizzi un'altra versione della chiave.
Il tempo che dedichi a monitorare i log prima di eliminare una versione della chiave dipende dal tipo di chiave, dal relativo pattern di utilizzo e dal suo livello di sensibilità. Ad esempio, prima di eliminare una versione della chiave utilizzata in un processo eseguito trimestralmente, mantieni disabilitata la versione della chiave fino al completamento del processo.
Verifica l'utilizzo della chiave in base a eventuali requisiti di conformità applicabili. Ad esempio, la versione della chiave e i dati criptati potrebbero essere soggetti a periodi di conservazione dei dati.
Questi passaggi ti aiutano a capire se una chiave potrebbe essere ancora necessaria, ma non possono garantire che una versione della chiave non sia più necessaria. La tua organizzazione deve implementare procedure e linee guida per garantire che l'eliminazione della versione della chiave non provochi effetti negativi.
Distruzione della versione di una chiave
Puoi eliminare una versione della chiave abilitata o disabilitata.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Seleziona la casella accanto alla versione della chiave per cui vuoi pianificare l'eliminazione.
Fai clic su Elimina nell'intestazione.
Nella richiesta di conferma, inserisci il nome della chiave e fai clic su Pianifica distruzione.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions destroy KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Sostituisci quanto segue:
KEY_VERSION
: il numero di versione della versione della chiave che vuoi eliminare.KEY_NAME
: il nome della chiave per cui vuoi eliminare una versione della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Elimina una versione della chiave chiamando il metodo CryptoKeyVersions.destroy.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Se non riesci a eliminare una versione della chiave, la tua organizzazione potrebbe richiedere che le versioni della chiave vengano disabilitate prima dell'eliminazione. Prova a disabilitare la versione della chiave prima di eliminarla.
Quando invii la richiesta di eliminazione, lo stato della versione della chiave viene pianificato per l'eliminazione. Una volta trascorsa la durata pianificata per l'eliminazione della chiave, lo stato della versione della chiave viene eliminato, ovvero l'eliminazione logica del materiale della chiave dai sistemi attivi è iniziata e il materiale della chiave non può essere recuperato dal cliente. Il materiale delle chiavi può rimanere nei sistemi Google per un massimo di 45 giorni dal momento dell'eliminazione pianificato.
Per ricevere un avviso quando viene pianificata l'eliminazione di una versione della chiave, consulta Utilizzo di Cloud Monitoring con Cloud KMS.
Le versioni della chiave eliminate non sono fatturate.
Eliminazione delle chiavi esterne
Per rimuovere definitivamente l'associazione tra una chiave Cloud EKM e una chiave esterna, puoi eliminare la versione della chiave. Una volta trascorso il periodo pianificata per l'eliminazione, la chiave viene eliminata. Dopo aver eliminato la versione della chiave, non potrai più criptare i dati o decriptare quelli criptati con la versione della chiave Cloud EKM.
L'eliminazione di una versione della chiave gestita manualmente in Cloud KMS non modifica la chiave nel gestore di chiavi esterno. Ti consigliamo prima di eliminare la chiave o la versione della chiave in Google Cloud. Dopo aver eliminato la versione della chiave Cloud EKM, puoi eliminare il materiale della chiave nel gestore di chiavi esterno.
L'eliminazione di una versione della chiave esterna coordinata in Cloud KMS elimina prima la versione della chiave in Google Cloud, quindi invia una richiesta di eliminazione all'EKM per eliminare il materiale della chiave esterna.
Ripristina la versione di una chiave
Durante il periodo in cui è pianificata l'eliminazione dello stato di una versione della chiave, puoi ripristinare la versione della chiave inviando una richiesta di ripristino.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave di cui ripristinerai la versione della chiave.
Fai clic sulla chiave di cui vuoi ripristinare la versione della chiave.
Seleziona la casella accanto alla versione della chiave da ripristinare.
Fai clic su Ripristina nell'intestazione.
Nella finestra di conferma, fai clic su Ripristina.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da ripristinare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Ripristina una versione della chiave chiamando il metodo CryptoKeyVersions.restore.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \ --request "POST" \ --header "authorization: Bearer token"
Al termine della richiesta di ripristino, lo stato della versione della chiave viene disabilitato. Devi attivare la chiave prima di poterla utilizzare.
Autorizzazioni IAM richieste
Per eliminare una versione della chiave, il chiamante deve disporre dell'autorizzazione IAM cloudkms.cryptoKeyVersions.destroy
per la chiave, il keyring oppure il progetto, la cartella o l'organizzazione.
Per ripristinare la versione di una chiave, il chiamante deve avere l'autorizzazione cloudkms.cryptoKeyVersions.restore
.
Entrambe queste autorizzazioni sono concesse al ruolo Amministratore Cloud KMS
(roles/cloudkms.admin
).
Cronologia di eliminazione
Cloud KMS si impegna a eliminare il materiale delle chiavi dei clienti da tutta l'infrastruttura di Google entro 45 giorni dai tempi di eliminazione pianificati. Ciò include la rimozione dei dati sia dai sistemi attivi sia dai backup dei data center. Gli altri dati dei clienti sono soggetti alle tempistiche di eliminazione standard di Google Cloud di 180 giorni.