本页面介绍如何安排 Cloud Key Management Service 密钥版本进行永久性销毁。在 Cloud KMS 中,用于加密、解密、签署和验证数据的加密密钥材料会存储在密钥版本中。一个密钥有零个或多个密钥版本。轮替密钥时,系统会创建新的密钥版本。
销毁密钥版本意味着密钥材料会被永久删除。 销毁密钥版本时,系统不会删除密钥名称和密钥版本号等其他详细信息。密钥销毁后,使用密钥版本加密的数据无法解密。
由于密钥销毁是不可逆转的,因此 Cloud KMS 不允许您立即销毁密钥版本。而是安排密钥版本进行销毁。密钥版本会在可配置的时间内保持“已安排销毁”state。在安排的销毁时间段内,您可以恢复密钥版本以取消其销毁。
默认情况下安排销毁时长为 24 小时。您可以在创建密钥期间为密钥设置自定义安排销毁时长。通过在组织政策中设置每个密钥的安排销毁时长下限限制条件,您的组织可以强制实施最短安排销毁时长。
您还可以使用 Identity and Access Management (IAM) 管理对密钥的访问权限。IAM 操作会在数秒内达成一致。如需了解详情,请参阅使用 IAM。
您也可以暂时停用密钥版本。为了确保可以安全销毁密钥,我们建议先停用密钥版本,然后再安排销毁它们。您可能需要先停用某个密钥版本,然后才能安排将其销毁,具体取决于您的组织政策。如需详细了解如何使用组织政策控制密钥版本销毁,请参阅控制密钥版本销毁。
在本主题的其余部分中,安排销毁密钥的过程称为销毁密钥,即使销毁并不是立即销毁。
准备工作
了解风险
销毁密钥版本是一项永久性操作。销毁仍然需要的密钥版本存在以下风险:
服务中断:如果您销毁启动容器或实例所需的密钥,您的服务或应用可能会变得不可用。
数据永久丢失:如果您销毁曾用于加密数据的密钥,相应数据将不可用。使用已销毁密钥加密的数据被视为“已销毁”。在某些情况下,销毁密钥可能会导致加密资源被永久删除。
监管或合规性问题:如果您在保留期限结束之前销毁访问某个保留期限的数据所需的密钥,则您可能违反了监管或合规性要求。
所需的角色
如需获取销毁和恢复密钥版本所需的权限,请让管理员授予您针对该密钥的 Cloud KMS Admin (roles/cloudkms.admin
) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
检查密钥版本是否正在使用中
在销毁密钥版本之前,请完成以下步骤以查看密钥版本是否正在使用中:
查看密钥的密钥使用情况跟踪详情。 如有任何资源受您要销毁的密钥版本的保护,请使用其他密钥版本重新加密这些资源。
为可能正在使用该密钥版本的服务或应用开启日志。
为包含该密钥的 Cloud KMS 项目开启日志。
停用密钥版本。停用密钥版本会阻止用户使用密钥版本。停用密钥版本后,任何尝试使用该密钥版本的操作都将失败。
监控日志,直到您确定没有应用或服务仍然依赖于您已停用的密钥版本。如果错误指示访问密钥版本失败,请将应用或资源配置为使用其他密钥版本。
在销毁密钥版本之前,您需要花多长时间监控日志取决于密钥的类型、使用模式及其敏感度级别。例如,在销毁每个季度运行的进程中使用的密钥版本之前,请使该密钥版本保持停用状态,直到该进程成功完成。
根据所有适用的合规性要求检查密钥的使用情况。 例如,密钥版本和使用它加密的数据可能会有数据保留期限。
这些步骤可帮助您确定是否仍需要密钥;但是,它们无法保证不再需要密钥版本。您的组织应实施相关程序和准则,以确保密钥版本销毁不会造成负面影响。
销毁密钥版本
您可以销毁已启用或已停用的密钥版本。
控制台
在 Google Cloud 控制台中,前往密钥管理页面。
选中要安排销毁的密钥版本旁边的复选框。
点击标头中的销毁。
在确认提示中输入密钥名称,然后点击安排销毁。
gcloud
如需在命令行上使用 Cloud KMS,请先安装或升级到最新版本的 Google Cloud CLI。
gcloud kms keys versions destroy KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
替换以下内容:
KEY_VERSION
:您要销毁的密钥版本的版本号。KEY_NAME
:您要销毁其密钥版本的密钥的名称。KEY_RING
:包含密钥的密钥环的名称。LOCATION
:密钥环的 Cloud KMS 位置。
如需了解所有标志和可能值,请使用 --help
标志运行命令。
C#
要运行此代码,请先设置 C# 开发环境并安装 Cloud KMS C# SDK。
Go
要运行此代码,请先设置 Go 开发环境并安装 Cloud KMS Go SDK。
Java
要运行此代码,请先设置 Java 开发环境并安装 Cloud KMS Java SDK。
Node.js
要运行此代码,请先设置 Node.js 开发环境并安装 Cloud KMS Node.js SDK。
PHP
要运行此代码,请先了解如何在 Google Cloud 上使用 PHP 并安装 Cloud KMS PHP SDK。
Python
要运行此代码,请先设置 Python 开发环境并安装 Cloud KMS Python SDK。
Ruby
要运行此代码,请先设置 Ruby 开发环境并安装 Cloud KMS Ruby SDK。
API
这些示例使用 curl 作为 HTTP 客户端来演示如何使用 API。如需详细了解访问权限控制,请参阅访问 Cloud KMS API。
通过调用 CryptoKeyVersions.destroy 方法销毁密钥版本。
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \ --request "POST" \ --header "authorization: Bearer TOKEN"
如果您无法销毁密钥版本,您的组织可能要求在销毁之前停用密钥版本。在销毁密钥版本之前,请尝试将其停用。
在您提交销毁请求时,密钥版本的状态会变为已安排销毁。密钥配置的销毁时长过后,密钥版本的状态变为销毁,这意味着从活跃系统中的密钥材料逻辑删除已经开始,并且客户无法恢复密钥材料。密钥材料可以在 Google 系统中最长保留 45 天(自预定销毁时间起算)。
如需在密钥版本安排销毁后接收提醒,请参阅将 Cloud Monitoring 与 Cloud KMS 搭配使用。
已销毁的密钥版本不是计费资源。
销毁外部密钥
如需永久移除 Cloud EKM 密钥与外部密钥之间的关联,您可以销毁密钥版本。已安排销毁时间段过后,密钥将被销毁。 密钥版本销毁后,您无法再加密数据或解密使用 Cloud EKM 密钥版本加密的数据。
销毁 Cloud KMS 中手动管理的密钥版本不会修改外部密钥管理器中的密钥。我们建议先在 Google Cloud 中销毁相应密钥或密钥版本。销毁 Cloud EKM 密钥版本后,您可以在外部密钥管理器中销毁密钥材料。
销毁 Cloud KMS 中的协调外部密钥版本会先销毁 Google Cloud 中的密钥版本,然后向 EKM 发送销毁请求以销毁外部密钥材料。
恢复密钥版本
在密钥版本的状态被安排销毁期间,您可以通过提交恢复请求来恢复密钥版本。
控制台
转到 Google Cloud 控制台中的密钥管理页面。
点击您将恢复其密钥版本的密钥所在密钥环的名称。
点击您要恢复其密钥版本的密钥。
选中要恢复的密钥版本旁边的复选框。
点击标头中的恢复。
在确认提示中,点击恢复。
gcloud
如需在命令行上使用 Cloud KMS,请先安装或升级到最新版本的 Google Cloud CLI。
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
将 key-version 替换为要恢复的密钥的版本。将 key 替换为密钥的名称。将 key-ring 替换为密钥所在的密钥环的名称。将 location 替换为密钥环的 Cloud KMS 位置。
如需了解所有标志和可能值,请使用 --help
标志运行命令。
C#
要运行此代码,请先设置 C# 开发环境并安装 Cloud KMS C# SDK。
Go
要运行此代码,请先设置 Go 开发环境并安装 Cloud KMS Go SDK。
Java
要运行此代码,请先设置 Java 开发环境并安装 Cloud KMS Java SDK。
Node.js
要运行此代码,请先设置 Node.js 开发环境并安装 Cloud KMS Node.js SDK。
PHP
要运行此代码,请先了解如何在 Google Cloud 上使用 PHP 并安装 Cloud KMS PHP SDK。
Python
要运行此代码,请先设置 Python 开发环境并安装 Cloud KMS Python SDK。
Ruby
要运行此代码,请先设置 Ruby 开发环境并安装 Cloud KMS Ruby SDK。
API
这些示例使用 curl 作为 HTTP 客户端来演示如何使用 API。如需详细了解访问权限控制,请参阅访问 Cloud KMS API。
通过调用 CryptoKeyVersions.restore 方法恢复密钥版本。
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \ --request "POST" \ --header "authorization: Bearer token"
恢复请求完成后,密钥版本的状态将变为已停用。您必须先启用密钥,然后才能使用该密钥。
必需的 IAM 权限
如需销毁某个密钥版本,调用方需要拥有密钥、密钥环或项目、文件夹或组织的 cloudkms.cryptoKeyVersions.destroy
IAM 权限。
要恢复密钥版本,调用者需要 cloudkms.cryptoKeyVersions.restore
权限。
这两种权限都授予了 Cloud KMS Admin 角色 (roles/cloudkms.admin
)。
删除时间轴
Cloud KMS 承诺在预定销毁时间后的 45 天内从所有 Google 基础架构中删除客户密钥材料。这包括从活跃系统和数据中心备份中移除数据。其他客户数据按照标准 Google Cloud 删除时间表(180 天)进行处理。