No Cloud KMS, o material da chave criptográfica que você usa para criptografar, descriptografar, assinar e verificar dados é armazenado em uma versão de chave. A chave tem zero ou mais versões. Ao fazer a rotação de uma chave, você cria uma nova versão de chave.
Este tópico mostra como desativar uma versão da chave. Durante a desativação da chave, os dados criptografados com ela não podem ser acessados. Para acessar os dados, reative a versão da chave.
A desativação de uma versão de chave é consistente em um intervalo de vários segundos até três horas. A ativação de uma versão de chave é quase instantânea. Também é possível gerenciar o acesso a uma versão de chave usando o Gerenciamento de identidade e acesso (IAM, na sigla em inglês). As operações do IAM são consistentes em segundos. Para mais informações, consulte Como usar o IAM.
Também é possível destruir permanentemente uma versão de chave. Dependendo das políticas da sua organização, talvez seja necessário desativar uma versão de chave antes de destruí-la. Para mais informações, consulte Destruição da versão da chave de controle.
Desativar uma versão de chave
É possível desativar uma versão de chave no estado ativado. Antes de desativar uma versão de chave, recomendamos verificar se ela ainda está em uso. É possível ver os detalhes do rastreamento de uso da chave para saber se ela está protegendo os recursos do CMEK. Se algum recurso estiver protegido pela versão de chave que você quer desativar, criptografe-o novamente com outra versão de chave antes de desativar a chave.
Console
Acesse a página Gerenciamento de chaves no console do Google Cloud.
Clique no nome do keyring que contém a chave com a versão que será desativada.
Clique na chave cuja versão você quer desativar.
Marque a caixa ao lado das versões de chave que você quer desativar.
Clique em Desativar no cabeçalho.
No prompt de confirmação, clique em Desativar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave para desativar. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Depois que você envia a solicitação, o estado da versão da chave muda para "Desativado".
Versões de chave desativadas são recursos faturados.
Desativar ou destruir uma chave externa
Para desativar temporariamente a associação entre uma chave do Cloud EKM e uma chave externa, desative a chave do Cloud EKM ou a versão da chave. Recomendamos desativar todas as versões de chave. A desativação de uma chave entra em vigor em três horas.
Ao desativar uma chave, você também precisa revogar o acesso à chave. As operações do IAM são consistentes em segundos. Considere também revogar o acesso da conta de serviço do Google Cloud no sistema de parceiros de gerenciamento de chaves externo.
Para remover permanentemente a associação entre uma chave do Cloud EKM e uma chave externa, programe a versão da chave do Cloud EKM para destruição. Após o período programado para destruição, a chave é destruída. A destruição de uma versão de chave é permanente. Depois que a versão da chave for destruída, não será mais possível criptografar nem descriptografar dados criptografados com a versão da chave do Cloud EKM. Não é possível recriar uma versão de chave do Cloud EKM que foi destruída, mesmo que você use o mesmo URI ou caminho de chave externa. Ao destruir o material de chave externa, recomendamos que você destrua primeiro a chave ou a versão da chave no Google Cloud e, somente depois que a chave do Cloud EKM for destruída, destrua o material de chave no gerenciador de chaves externas.
Desativar uma chave ou versão de chave no Cloud KMS não modifica a chave no sistema do parceiro de gerenciamento de chaves externo.
A destruição de uma versão de chave gerenciada manualmente no Cloud KMS não modifica a chave no sistema do parceiro de gerenciamento de chaves externo. A destruição de uma versão de chave externa coordenada no Cloud KMS destrói o material da chave interna e envia uma solicitação ao sistema do parceiro de gerenciamento de chaves externo para destruir o material da chave externa.
Ativar uma versão de chave
É possível ativar uma versão de chave no estado desativado.
Console
Acesse a página Gerenciamento de chaves no console do Google Cloud.
Clique no nome do keyring que contém a chave com a versão que será ativada.
Clique na chave cuja versão você quer ativar.
Marque a caixa ao lado das versões de chave que você quer ativar.
Clique em Ativar no cabeçalho.
No prompt de confirmação, clique em Ativar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave a ser ativada. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Depois que você envia a solicitação, o estado da versão da chave muda para "Ativado".
Permissões do IAM obrigatórias
Para ativar ou desativar uma versão de chave, o autor da chamada precisa da
permissão cloudkms.cryptoKeyVersions.update
do IAM na chave,
no keyring ou no projeto, na pasta ou na organização.
Essa permissão é concedida ao papel de Administrador do Cloud KMS
(roles/cloudkms.admin
).