En Cloud KMS, el material de clave criptográfica que usas para encriptar, desencriptar, firmar y verificar los datos se almacena en una versión de clave. Una clave tiene cero o más versiones de clave. Cuando rotas una clave, creas una versión de clave nueva.
En este tema, se muestra cómo inhabilitar una versión de clave. Durante el tiempo que se inhabilita una clave, no se puede acceder a los datos encriptados con la clave. Para acceder a los datos, puedes volver a habilitar la versión de clave.
Inhabilitar una versión de clave es coherente dentro un rango de varios segundos a tres horas. Habilitar una versión de clave es casi instantáneo. También puedes administrar el acceso a una versión de clave mediante la administración de identidades y accesos (IAM). Las operaciones de IAM son coherentes en segundos. Para obtener más información, consulta Usa IAM.
También puedes destruir de manera permanente una versión de clave.
Inhabilitar una versión de clave
Puedes inhabilitar una versión de clave en el estado habilitado.
Console
Ve a la página Administración de claves en Google Cloud Console.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión se inhabilitará.
Haz clic en la clave cuya versión de clave deseas inhabilitar.
Marca la casilla junto a las versiones de clave que deseas inhabilitar.
Haz clic en Inhabilitar en el encabezado.
En el mensaje de confirmación, haz clic en Inhabilitar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas inhabilitar. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Después de enviar la solicitud, el estado de la versión de clave cambia a Inhabilitada.
Las versiones de clave inhabilitadas son recursos facturados.
Habilitar una versión de clave
Puedes habilitar una versión de clave en el estado Inhabilitada.
Console
Ve a la página Administración de claves en Google Cloud Console.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión de clave se habilitará.
Haz clic en la clave cuya versión de clave deseas habilitar.
Marca la casilla junto a las versiones de clave que deseas habilitar.
Haz clic en Habilitar en el encabezado.
En el mensaje de confirmación, haz clic en Habilitar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas habilitar. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Después de enviar la solicitud, el estado de la versión de clave cambia a Habilitada.
Permisos de IAM obligatorios
Para habilitar o inhabilitar una versión de clave, el emisor necesita el permiso cloudkms.cryptoKeyVersions.update
de IAM en la clave, el llavero de claves o el proyecto, la carpeta o la organización.
Este permiso se otorga a la función de administrador de Cloud KMS (roles/cloudkms.admin
).