No Cloud KMS, o material da chave criptográfica que você usa para criptografar, descriptografar, assinar e verificar dados é armazenado em uma versão de chave. A chave tem zero ou mais versões. Ao fazer a rotação de uma chave, você cria uma nova versão de chave.
Neste tópico, você aprende a programar uma versão de chave para destruição permanente. Depois que uma chave é destruída, os dados criptografados com ela não podem ser acessados.
Quando você envia uma solicitação para destruir uma versão de chave, a destruição ocorre após 24 horas, a menos que você cancele a solicitação de destruição restaurando a versão da chave. Também é possível gerenciar o acesso à chave usando o gerenciamento de identidade e acesso (IAM). As operações do IAM são consistentes em segundos. Para mais informações, consulte Como usar o IAM.
Também é possível desativar temporariamente uma versão de chave.
No restante deste tópico, a programação de uma chave para destruição é chamada de destruição da chave, mesmo que a destruição não seja imediata.
Destruir uma versão de chave
É possível destruir uma versão de chave ativada ou desativada.
IU da Web
Acesse a página Chaves criptográficas no Console do Cloud.
Clique no nome do keyring que contém a chave com a versão que será programada para destruição.
Clique na chave cuja versão você quer programar para destruição.
Marque a caixa ao lado da versão da chave que você quer programar para destruição.
Clique em Destruir no cabeçalho.
No prompt de confirmação, insira o nome da chave e clique em Programar destruição.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys versions destroy key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave a ser destruída. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Quando você envia a solicitação de destruição, o estado da versão da chave se torna Programado para destruição. Após 24 horas, o estado da versão de chave se torna destrutivo.
Para receber um alerta quando uma versão de chave estiver programada para destruição, consulte Como usar o Cloud Monitoring com o Cloud KMS.
Versões de chave destruídas não são recursos faturados.
Restaurar uma versão de chave
Durante o período em que o status de uma versão de chave é Programado para destruição, é possível restaurar a versão da chave ao enviar uma solicitação de restauração.
IU da Web
Acesse a página Chaves criptográficas no Console do Cloud.
Clique no nome do keyring que contém a chave com a versão você quer restaurar.
Clique na chave cuja versão você quer restaurar.
Marque a caixa ao lado da versão da chave que você quer restaurar.
Clique em Restaurar no cabeçalho.
No prompt de confirmação, clique em Restaurar.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave a ser restaurada. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Depois que a solicitação de restauração for concluída, o estado da versão de chave será Desativado. Você precisa ativar a chave antes que ela possa ser usada.
Permissões do IAM obrigatórias
Para destruir uma versão de chave, o autor da chamada precisa da permissão cloudkms.cryptoKeyVersions.destroy
do IAM na chave, no keyring ou no projeto, na pasta
ou na organização.
Para restaurar uma versão de chave, o autor da chamada precisa da
permissão cloudkms.cryptoKeyVersions.restore
.
Ambas as permissões são concedidas ao papel de administrador do Cloud KMS (roles/cloudkms.admin
).