In Cloud KMS, il materiale della chiave di crittografia che utilizzi per criptare, decriptare, firmare e verificare i dati è archiviato in una versione della chiave. Una chiave ha zero o più versioni. Quando ruoti una chiave, ne crei una nuova versione.
Questo argomento mostra come disabilitare una versione della chiave. Durante il periodo di disattivazione di una chiave, non è possibile accedere ai dati criptati con la chiave. Per accedere ai dati, puoi riattivare la versione della chiave.
La disattivazione di una versione della chiave è coerente con un intervallo che va da alcuni secondi a tre ore. L'abilitazione di una versione della chiave è quasi istantanea. Puoi anche gestire l'accesso a una versione della chiave utilizzando Identity and Access Management (IAM). Le operazioni IAM sono coerenti in pochi secondi. Per ulteriori informazioni, consulta Utilizzare IAM.
Puoi anche eliminare definitivamente una versione della chiave. A seconda dei criteri dell'organizzazione, potrebbe essere necessario disabilitare una versione della chiave prima di poterla eliminare. Per maggiori informazioni, consulta Controllare l'eliminazione della versione della chiave.
Disabilitazione della versione di una chiave
Puoi disabilitare una versione della chiave nello state Attivato. Prima di disabilitare una versione della chiave, ti consigliamo di verificare se la chiave sia ancora in uso. Puoi visualizzare i dettagli del monitoraggio dell'utilizzo delle chiavi per la chiave per vedere se sta proteggendo le risorse CMEK. Se le risorse sono protette dalla versione della chiave che vuoi disabilitare, criptale nuovamente con un'altra versione della chiave prima di disabilitare la chiave.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave di cui disabiliterai la versione.
Fai clic sulla chiave di cui vuoi disabilitare la versione.
Seleziona la casella accanto alle versioni della chiave da disabilitare.
Fai clic su Disattiva nell'intestazione.
Nella finestra di conferma visualizzata, fai clic su Disattiva.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da disabilitare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
Dopo aver inviato la richiesta, lo stato della versione della chiave diventa disabilitata.
Le versioni della chiave disabilitate sono risorse fatturate.
Disabilitazione o eliminazione di una chiave esterna
Per disabilitare temporaneamente l'associazione tra una chiave Cloud EKM e una chiave esterna, puoi disabilitare la chiave o la versione della chiave Cloud EKM. Ti consigliamo di disabilitare tutte le versioni della chiave. La disabilitazione di una chiave ha effetto entro tre ore.
Quando disabiliti una chiave, devi anche revocare l'accesso alla chiave. Le operazioni IAM sono coerenti in pochi secondi. Valuta anche la possibilità di revocare l'accesso dell'account di servizio Google Cloud al sistema esterno di gestione delle chiavi del partner.
Per rimuovere definitivamente l'associazione tra una chiave Cloud EKM e una chiave esterna, puoi pianificare l'eliminazione della versione della chiave Cloud EKM. Dopo il periodo pianificato per l'eliminazione, la chiave viene eliminata. L'eliminazione di una versione della chiave è definitiva. Dopo aver eliminato la versione della chiave, non potrai più criptare i dati o decriptare quelli criptati con la versione della chiave Cloud EKM. Non puoi ricreare una versione della chiave Cloud EKM che è stata eliminata, anche se utilizzi lo stesso URI della chiave esterna o lo stesso percorso della chiave. Quando elimini il materiale della chiave esterna, ti consigliamo prima di eliminare la chiave o la versione della chiave in Google Cloud e poi, solo dopo aver eliminato la chiave Cloud EKM, eliminando il materiale della chiave nel gestore di chiavi esterno.
La disabilitazione di una chiave o di una versione della chiave in Cloud KMS non modifica la chiave nel sistema esterno di gestione delle chiavi del partner.
L'eliminazione di una versione della chiave gestita manualmente in Cloud KMS non modifica la chiave nel sistema esterno di gestione delle chiavi del partner. L'eliminazione di una versione della chiave esterna coordinata in Cloud KMS determina l'eliminazione del materiale della chiave interna e invia una richiesta al sistema esterno di gestione delle chiavi del partner per eliminare il materiale della chiave esterna.
Abilitazione della versione di una chiave
Puoi abilitare una versione della chiave nello state Disabilitato.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave di cui abiliterai la versione della chiave.
Fai clic sulla chiave di cui vuoi abilitare la versione della chiave.
Seleziona la casella accanto alle versioni della chiave che vuoi abilitare.
Fai clic su Attiva nell'intestazione.
Nella finestra di conferma, fai clic su Attiva.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da abilitare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del keyring in cui si trova la chiave. Sostituisci location con la località Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
Dopo aver inviato la richiesta, lo stato della versione della chiave diventa Abilitata.
Autorizzazioni IAM richieste
Per abilitare o disabilitare una versione della chiave, il chiamante deve disporre dell'autorizzazione IAM cloudkms.cryptoKeyVersions.update
per la chiave, il keyring, il progetto, la cartella o l'organizzazione.
Questa autorizzazione viene concessa al ruolo Amministratore Cloud KMS
(roles/cloudkms.admin
).