Dans Cloud KMS, le matériel de clé cryptographique que vous utilisez pour chiffrer, déchiffrer, signer et valider les données est stocké dans une version de clé. Une clé comporte zéro ou plusieurs versions de clé. Lorsque vous effectuez une rotation de clé, vous créez une nouvelle version de clé.
Cette rubrique explique comment désactiver une version de clé. Tant qu'une clé est désactivée, les données qui ont été chiffrées avec la clé ne sont pas accessibles. Pour accéder aux données, vous pouvez réactiver la version de clé.
La désactivation d'une version de clé est cohérente dans une plage de quelques secondes à trois heures. L'activation d'une version de clé est presque instantanée. Vous pouvez également gérer l'accès à une version de clé à l'aide d'Identity and Access Management (IAM). Les opérations IAM sont cohérentes en quelques secondes. Pour en savoir plus, consultez la page Utiliser IAM.
Vous pouvez également détruire définitivement une version de clé. Selon les règles d'administration de votre organisation, vous devrez peut-être désactiver une version de clé avant de pouvoir la détruire. Pour en savoir plus, consultez la section Contrôler la version de clé destruction.
Désactiver une version de clé
Vous pouvez désactiver une version de clé dont l'état est activé. Avant de désactiver une version de clé, nous vous recommandons de vérifier si la clé est toujours utilisée. Vous pouvez afficher les détails de suivi de l'utilisation de la clé pour la clé afin de consulter s'il protège des ressources CMEK. Si des ressources sont protégées par le version de clé à désactiver, rechiffrez-les avec une autre version de clé avant de désactiver la clé.
Console
Accédez à la page Gestion des clés dans la console Google Cloud.
Cliquez sur le nom du trousseau de clés contenant la clé dont vous souhaitez désactiver la version.
Cliquez sur la clé dont vous souhaitez désactiver la version.
Cochez l'option située à côté des versions de clé que vous souhaitez désactiver.
Cliquez sur Désactiver dans l'en-tête.
Dans l'invite de confirmation, cliquez sur Désactiver.
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par Installez la dernière version de Google Cloud CLI.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Remplacez key-version par la version de la clé à désactiver. Remplacez key par le nom de la clé. Remplacez key-ring par le nom du trousseau de clés où se trouve la clé. Remplacez location par l'emplacement Cloud KMS du trousseau de clés.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help
.
C#
Pour exécuter ce code, commencez par configurer un environnement de développement C#, puis installez le SDK Cloud KMS pour C#.
Go
Pour exécuter ce code, commencez par configurer un environnement de développement Go, puis installez le SDK Cloud KMS pour Go.
Java
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Cloud KMS pour Java.
Node.js
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Cloud KMS pour Node.js.
PHP
Pour exécuter ce code, commencez par en apprendre plus sur l'utilisation de PHP sur Google Cloud, puis installez le SDK Cloud KMS pour PHP.
Python
Pour exécuter ce code, commencez par configurer un environnement de développement Python, puis installez le SDK Cloud KMS pour Python.
Ruby
Pour exécuter ce code, commencez par configurer un environnement de développement Ruby, puis installez le SDK Cloud KMS pour Ruby.
Une fois la demande envoyée, la version de clé passe à l'état "Désactivée".
Les versions de clé désactivées sont des ressources facturées.
Désactiver ou détruire une clé externe
Pour désactiver temporairement l'association entre une clé Cloud EKM et une clé externe, vous pouvez désactiver la clé ou la version de clé Cloud EKM. Il est recommandé de désactiver toutes les versions de la clé. La désactivation d'une clé prend effet dans les trois heures.
Lorsque vous désactivez une clé, vous devez également révoquer l'accès à la clé. Les opérations IAM sont cohérentes en quelques secondes. Pensez également à révoquer l'accès au compte de service Google Cloud dans le système partenaire de gestion des clés externe.
Pour supprimer définitivement l'association entre une clé Cloud EKM et une clé externe, vous pouvez programmer la destruction de la version de la clé Cloud EKM. Après la période de destruction programmée, la clé est détruite. La destruction d'une version de clé est définitive. Une fois la version de clé détruite, vous ne pouvez plus chiffrer ou déchiffrer des données chiffrées avec la clé Cloud EKM ; version. Vous ne pouvez pas recréer une version de clé Cloud EKM qui a été détruit, même si vous utilisez le même URI de clé externe ou le même chemin d'accès à la clé. Quand ? détruisant le matériel de clé externe, nous vous recommandons de commencer par détruire la clé ou la clé dans Google Cloud, puis, une fois que la clé Cloud EKM a été détruit, en détruisant le matériel de clé dans le gestionnaire de clés externe.
La désactivation d'une clé ou d'une version de clé dans Cloud KMS ne modifie pas dans le système partenaire de gestion des clés externes.
La destruction d'une version de clé gérée manuellement dans Cloud KMS ne modifie pas la clé dans le système partenaire de gestion des clés externes. Destruction d'une clé externe coordonnée dans Cloud KMS détruit le matériel de clé interne et envoie une au système partenaire de gestion des clés externes afin de détruire le matériel de clé externe.
Activer une version de clé
Vous pouvez activer une version de clé dont l'état est désactivé.
Console
Accédez à la page Gestion des clés dans la console Google Cloud.
Cliquez sur le nom du trousseau de clés contenant la clé dont vous souhaitez activer la version.
Cliquez sur la clé dont vous souhaitez activer la version.
Cochez l'option située à côté des versions de clé que vous souhaitez activer.
Cliquez sur Activer dans l'en-tête.
Dans l'invite de confirmation, cliquez sur Activer.
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par Installez la dernière version de Google Cloud CLI.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Remplacez key-version par la version de la clé à activer. Remplacez key par le nom de la clé. Remplacez key-ring par le nom du trousseau de clés où se trouve la clé. Remplacez location par l'emplacement Cloud KMS du trousseau de clés.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help
.
C#
Pour exécuter ce code, commencez par configurer un environnement de développement C#, puis installez le SDK Cloud KMS pour C#.
Go
Pour exécuter ce code, commencez par configurer un environnement de développement Go, puis installez le SDK Cloud KMS pour Go.
Java
Pour exécuter ce code, commencez par configurer un environnement de développement Java et installez le SDK Cloud KMS pour Java.
Node.js
Pour exécuter ce code, commencez par configurer un environnement de développement Node.js, puis installez le SDK Cloud KMS pour Node.js.
PHP
Pour exécuter ce code, commencez par en apprendre plus sur l'utilisation de PHP sur Google Cloud, puis installez le SDK Cloud KMS pour PHP.
Python
Pour exécuter ce code, commencez par configurer un environnement de développement Python, puis installez le SDK Cloud KMS pour Python.
Ruby
Pour exécuter ce code, commencez par configurer un environnement de développement Ruby, puis installez le SDK Cloud KMS pour Ruby.
Une fois la requête envoyée, l'état de la version de clé passe à "Activée".
Autorisations IAM requises
Pour activer ou désactiver une version de clé, l'appelant doit disposer de l'autorisation IAM cloudkms.cryptoKeyVersions.update
sur la clé, le trousseau de clés, ou sur le projet, le dossier ou l'organisation.
Cette autorisation est accordée au rôle d'administrateur de Cloud KMS (roles/cloudkms.admin
).