In Cloud KMS, il materiale della chiave di crittografia utilizzato per criptare, decriptare, firmare e verificare i dati viene archiviato in una versione della chiave. Una chiave ha zero o più versioni della chiave. Quando esegui la rotazione di una chiave, crei una nuova versione della chiave.
Questo argomento mostra come pianificare l'eliminazione definitiva di una versione della chiave. Dopo l'eliminazione di una chiave, non è più possibile accedere ai dati criptati con la chiave.
Quando invii una richiesta per eliminare una versione della chiave, l'eliminazione avviene dopo 24 ore per impostazione predefinita. Puoi annullare la richiesta di eliminazione ripristinando la versione della chiave.
La chiave rimane in stato di eliminazione pianificata per 24 ore. Puoi modificare questa durata predefinita al momento della creazione della chiave.
Puoi anche gestire l'accesso alla chiave utilizzando Identity and Access Management (IAM). Le operazioni IAM sono coerenti in pochi secondi. Per ulteriori informazioni, consulta la sezione Utilizzare IAM.
Puoi anche disattivare temporaneamente una versione della chiave.
Nel resto dell'argomento, l'eliminazione di una chiave viene definita {0}eliminazione{/1}, anche se l'eliminazione non è immediata.
Distruzione della versione di una chiave
Puoi eliminare una versione della chiave attivata o disattivata.
console
Vai alla pagina Gestione delle chiavi in Google Cloud Console.
Fai clic sul nome del keyring contenente la chiave di cui intendi pianificare l'eliminazione.
Fai clic sulla chiave di cui vuoi pianificare l'eliminazione della versione.
Seleziona la casella accanto alla versione della chiave di cui vuoi pianificare l'eliminazione.
Nell'intestazione, fai clic su Elimina.
Nel prompt di conferma, inserisci il nome della chiave e fai clic su Pianifica l'eliminazione.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione dell'interfaccia a riga di comando di Google Cloud.
gcloud kms keys versions destroy key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da eliminare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località di Cloud KMS per il keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima impostare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
Quando invii la richiesta di distruzione, lo stato della versione della chiave diventa pianificata per l'eliminazione. Trascorse 24 ore, lo stato della versione della chiave diventa Eliminato, vale a dire che è iniziata l'eliminazione logica da Active Systems e il materiale della chiave non può essere recuperato dal cliente. Il materiale chiave può rimanere nei sistemi Google per un massimo di 45 giorni dalla data/ora dell'eliminazione pianificata.
Per ricevere un avviso quando è prevista l'eliminazione di una versione della chiave, consulta Utilizzo di Cloud Monitoring con Cloud KMS.
Le versioni della chiave eliminate non sono risorse fatturate.
Ripristinare una versione della chiave
Durante il periodo in cui lo stato di una versione della chiave è Pianificata per l'eliminazione, puoi ripristinare la versione della chiave inviando una richiesta di ripristino.
console
Vai alla pagina Gestione delle chiavi in Google Cloud Console.
Fai clic sul nome del keyring contenente la chiave di cui ripristinerai la versione.
Fai clic sulla chiave di cui vuoi ripristinare la versione.
Seleziona la casella accanto alla versione della chiave che vuoi ripristinare.
Nell'intestazione, fai clic su Ripristina.
Nel messaggio di conferma, fai clic su Ripristina.
gcloud
Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione dell'interfaccia a riga di comando di Google Cloud.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da ripristinare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località di Cloud KMS per il keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo C# e installare l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installare l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi prima impostare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby di Cloud KMS.
Una volta completata la richiesta di ripristino, lo stato della versione della chiave diventa Disabilitata. Devi attivare la chiave prima di poterla utilizzare.
Autorizzazioni IAM obbligatorie
Per eliminare una versione della chiave, il chiamante ha bisogno dell'autorizzazione IAM di cloudkms.cryptoKeyVersions.destroy
sulla chiave, sul keyring o sul progetto, sulla cartella o sull'organizzazione.
Per ripristinare una versione della chiave, il chiamante deve avere l'autorizzazione cloudkms.cryptoKeyVersions.restore
.
Entrambe queste autorizzazioni vengono concesse al ruolo Amministratore di Cloud KMS
(roles/cloudkms.admin
).
Cronologia di eliminazione
Cloud KMS si impegna a eliminare il materiale della chiave del cliente da tutta l'infrastruttura di Google entro 45 giorni dal momento dell'eliminazione pianificata. È inclusa la rimozione di dati da sistemi attivi e backup dei data center. Altri dati dei clienti sono soggetti allo standard di eliminazione di Google Cloud di 180 giorni.