In Cloud KMS, il materiale delle chiavi di crittografia utilizzato per criptare, decriptare, firmare e verificare i dati viene archiviato in una versione della chiave. Una chiave ha zero o più versioni. Quando ruoti una chiave, ne crei una nuova versione.
Questo documento illustra come disattivare una versione della chiave. Durante il periodo di disattivazione di una chiave, non è possibile accedere ai dati criptati con la chiave. Per accedere ai dati, puoi riattivare la versione della chiave.
Salvo diversa indicazione nella dashboard di stato del servizio, la disattivazione di una versione della chiave è in genere coerente entro un minuto. L'abilitazione di una versione della chiave è quasi istantanea. Puoi anche gestire l'accesso a una versione della chiave utilizzando Identity and Access Management (IAM). Le operazioni IAM sono coerenti in pochi secondi. Per ulteriori informazioni, consulta Utilizzare IAM.
Puoi anche distruggere definitivamente una versione della chiave. A seconda dei criteri dell'organizzazione, potrebbe essere necessario disattivare una versione della chiave prima di poterla eliminare. Per saperne di più, consulta Distruzione della versione della chiave di controllo.
Disabilitazione della versione di una chiave
Puoi disattivare una versione della chiave nello stato attivo. Prima di disattivare una versione della chiave, ti consigliamo di verificare se è ancora in uso. Puoi visualizzare i dettagli del monitoraggio dell'utilizzo della chiave per verificare se la chiave protegge le risorse CMEK. Se alcune risorse sono protette dalla versione della chiave che vuoi disattivare, criptale di nuovo con un'altra versione della chiave prima di disattivare la chiave.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave di cui disattivare la versione.
Fai clic sulla chiave di cui vuoi disattivare la versione.
Seleziona la casella accanto alle versioni della chiave che vuoi disattivare.
Nell'intestazione, fai clic su Disattiva.
Nella richiesta di conferma, fai clic su Disattiva.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da disattivare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del mazzo di chiavi in cui si trova la chiave. Sostituisci location con la posizione di Cloud KMS per la raccolta di chiavi.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
Dopo aver inviato la richiesta, lo stato della versione della chiave diventa Disattivata.
Le versioni delle chiavi disattivate sono risorse fatturate.
Disattivare o distruggere una chiave esterna
Per disattivare temporaneamente l'associazione tra una chiave Cloud EKM e una chiave esterna, puoi disattivare la chiave o la versione della chiave Cloud EKM. Ti consigliamo di disattivare tutte le versioni della chiave. La disattivazione di una chiave avviene entro tre ore.
Quando disattivi una chiave, devi anche revocare l'accesso alla chiave. Le operazioni IAM sono coerenti entro pochi secondi. Valuta anche la possibilità di revocare l'accesso dell'account servizio Google Cloud nel sistema del partner di gestione delle chiavi esterno.
Per rimuovere definitivamente l'associazione tra una chiave Cloud EKM e una chiave esterna, puoi pianificare l'eliminazione della versione della chiave Cloud EKM. Al termine del periodo di eliminazione pianificata, la chiave viene eliminata. L'eliminazione di una versione della chiave è definitiva. Dopo l'eliminazione della versione della chiave, non potrai più criptare o decriptare i dati criptati con la versione della chiave Cloud EKM. Non puoi ricreare una versione della chiave EKM di Cloud che è stata distrutta, anche se utilizzi lo stesso URI o percorso della chiave esterna. Quando elimini il materiale della chiave esterno, ti consigliamo di eliminare prima la chiave o la versione della chiave in Google Cloud e poi, solo dopo aver eliminato la chiave EKM di Cloud, di eliminare il materiale della chiave nel gestore delle chiavi esterno.
La disattivazione di una chiave o di una versione della chiave in Cloud KMS non modifica la chiave nel sistema del partner esterno per la gestione delle chiavi.
L'eliminazione di una versione di una chiave gestita manualmente in Cloud KMS non modifica la chiave nel sistema del partner esterno per la gestione delle chiavi. L'eliminazione di una versione di una chiave esterna coordinata in Cloud KMS comporta l'eliminazione del materiale della chiave interna e l'invio di una richiesta al sistema del partner di gestione delle chiavi esterne per eliminare il materiale della chiave esterna.
Abilitazione della versione di una chiave
Puoi attivare una versione della chiave nello stato disattivato.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring contenente la chiave di cui attiverai la versione.
Fai clic sulla chiave di cui vuoi attivare la versione.
Seleziona la casella accanto alle versioni della chiave che vuoi attivare.
Nell'intestazione, fai clic su Attiva.
Nella richiesta di conferma, fai clic su Attiva.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Sostituisci key-version con la versione della chiave da attivare. Sostituisci key con il nome della chiave. Sostituisci key-ring con il nome del mazzo di chiavi in cui si trova la chiave. Sostituisci location con la posizione di Cloud KMS per la raccolta di chiavi.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo C# e installare l'SDK C# Cloud KMS.
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Java e installare l'SDK Java Cloud KMS.
Node.js
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installa l'SDK PHP Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Ruby e installare l'SDK Ruby Cloud KMS.
Dopo aver inviato la richiesta, lo stato della versione della chiave diventa Abilitato.
Autorizzazioni IAM richieste
Per attivare o disattivare una versione della chiave, l'utente che chiama deve disporre dell'autorizzazione IAM cloudkms.cryptoKeyVersions.update
per la chiave, il mazzo di chiavi o il progetto, la cartella o l'organizzazione.
Questa autorizzazione viene concessa al ruolo Amministratore Cloud KMS (roles/cloudkms.admin
).