En Cloud KMS, el material de clave criptográfica que usas para encriptar, desencriptar, firmar y verificar los datos se almacena en una versión de clave. Una clave tiene cero o más versiones de clave. Cuando rotas una clave, creas una versión de clave nueva.
En este tema, se muestra cómo inhabilitar una versión de clave. Durante el tiempo que se inhabilita una clave, no se puede acceder a los datos encriptados con la clave. Para acceder a los datos, puedes volver a habilitar la versión de clave.
Inhabilitar una versión de clave es coherente dentro un rango de varios segundos a tres horas. Habilitar una versión de clave es casi instantáneo. También puedes administrar el acceso a una versión de clave mediante la administración de identidades y accesos (IAM). Las operaciones de IAM son coherentes en segundos. Para obtener más información, consulta Usa IAM.
También puedes destruir de manera permanente una versión de clave. Según las políticas de la organización, es posible que debas inhabilitar una versión de clave antes de destruirla. Para obtener más información, consulta Destrucción de la versión de clave de control.
Inhabilitar una versión de clave
Puedes inhabilitar una versión de clave en el state habilitado. Antes de inhabilitar una versión de clave, te recomendamos que verifiques si la clave aún está en uso. Puedes ver los detalles del seguimiento del uso de claves de la clave para ver si protege recursos CMEK. Si algún recurso está protegido por la versión de clave que quieres inhabilitar, vuelve a encriptarlo con otra antes de inhabilitar la clave.
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión se inhabilitará.
Haz clic en la clave cuya versión de clave deseas inhabilitar.
Marca la casilla junto a las versiones de clave que deseas inhabilitar.
Haz clic en Inhabilitar en el encabezado.
En el mensaje de confirmación, haz clic en Inhabilitar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas inhabilitar. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Después de enviar la solicitud, el estado de la versión de clave cambia a Inhabilitada.
Las versiones de clave inhabilitadas son recursos facturados.
Inhabilita o destruye una clave externa
Para inhabilitar de forma temporal la asociación entre una clave de Cloud EKM y una clave externa, puedes inhabilitar la clave o la versión de clave de Cloud EKM. Se recomienda inhabilitar todas las versiones de claves. La inhabilitación de una clave entra en vigor en un plazo de tres horas.
Cuando inhabilitas una clave, también debes revocar el acceso a la clave. Las operaciones de IAM son coherentes en segundos. También considera revocar el acceso de la cuenta de servicio de Google Cloud en el sistema de administración de claves externas.
A fin de quitar la asociación de forma permanente entre una clave de Cloud EKM y una clave externa, puedes programar la destrucción de la versión de clave de Cloud EKM. Después del período de destrucción programado, la clave se destruye. La destrucción de una versión de clave es permanente. Después de que se destruye la versión de clave, ya no puedes encriptar datos ni desencriptar datos encriptados con la versión de clave de Cloud EKM. No puedes volver a crear una versión de clave de Cloud EKM que se destruyó, incluso si usas el mismo URI de clave externa o ruta de acceso de la clave. Cuando destruyas el material de la clave externa, te recomendamos que primero destruyas la clave o versión de clave en Google Cloud y, luego, solo después de destruir la clave de Cloud EKM, destruir el material de la clave en el administrador de claves externo.
Inhabilitar una clave o versión de clave en Cloud KMS no modifica la clave en el sistema de administración de claves externas.
La destrucción de una versión de la clave administrada de forma manual en Cloud KMS no modifica la clave en el sistema de administración de claves externas. La destrucción de una versión de una clave externa coordinada en Cloud KMS destruye el material de la clave interna y envía una solicitud al sistema del socio de administración de claves externo para destruir el material de la clave externa.
Habilitar una versión de clave
Puedes habilitar una versión de clave en el state inhabilitado.
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión de clave se habilitará.
Haz clic en la clave cuya versión de clave deseas habilitar.
Marca la casilla junto a las versiones de clave que deseas habilitar.
Haz clic en Habilitar en el encabezado.
En el mensaje de confirmación, haz clic en Habilitar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas habilitar. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Después de enviar la solicitud, el estado de la versión de clave cambia a habilitada.
Permisos de IAM obligatorios
Para habilitar o inhabilitar una versión de clave, el emisor necesita el permiso cloudkms.cryptoKeyVersions.update
de IAM en la clave, el llavero de claves o el proyecto, la carpeta o la organización.
Este permiso se otorga a la función de administrador de Cloud KMS (roles/cloudkms.admin
).