No Cloud KMS, o material da chave criptográfica que você usa para criptografar, descriptografar, assinar e verificar dados é armazenado em uma versão de chave. A chave tem zero ou mais versões. Ao fazer a rotação de uma chave, você cria uma nova versão de chave.
Este tópico mostra como desativar uma versão da chave. Durante a desativação da chave, os dados criptografados com ela não podem ser acessados. Para acessar os dados, reative a versão da chave.
A desativação de uma versão de chave é consistente em um intervalo de vários segundos até três horas. A ativação de uma versão de chave é quase instantânea. Também é possível gerenciar o acesso a uma versão de chave usando o Gerenciamento de identidade e acesso (IAM, na sigla em inglês). As operações do IAM são consistentes em segundos. Para mais informações, consulte Como usar o IAM.
Também é possível destruir permanentemente uma versão de chave. Dependendo das políticas da organização, talvez seja necessário desativar uma versão de chave antes de destruí-la. Para saber mais, consulte Destruição da versão da chave de controle.
Desativar uma versão de chave
É possível desativar uma versão de chave no state ativado. Antes de desativar uma versão de chave, recomendamos que você verifique se a chave ainda está em uso. É possível visualizar os detalhes de rastreamento de uso da chave para verificar se ela está protegendo os recursos da CMEK. Se algum recurso estiver protegido pela versão da chave que você quer desativar, criptografe-o novamente com outra versão antes da desativação.
Console
Acesse a página Gerenciamento de chaves no console do Google Cloud.
Clique no nome do keyring que contém a chave cuja versão será desativada.
Clique na chave cuja versão você quer desativar.
Marque a caixa ao lado das versões de chave que você quer desativar.
Clique em Desativar no cabeçalho.
No prompt de confirmação, clique em Desativar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave para desativar. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Depois de enviar a solicitação, o estado da versão da chave vai mudar para "desativado".
Versões de chave desativadas são recursos faturados.
Desativar ou destruir uma chave externa
Para desativar temporariamente a associação entre uma chave do Cloud EKM e uma chave externa, desative a chave do Cloud EKM ou a versão da chave. É recomendável desativar todas as versões de chave. A desativação de uma chave entra em vigor em três horas.
Ao desativar uma chave, você também precisa revogar o acesso à chave. As operações do IAM são consistentes em segundos. Considere também revogar o acesso da conta de serviço do Google Cloud no sistema de parceiros de gerenciamento de chaves externo.
Para remover permanentemente a associação entre uma chave do Cloud EKM e uma chave externa, programe a versão da chave do Cloud EKM para destruição. Após o período programado para destruição, a chave será destruída. A destruição da versão de chave é permanente. Depois que a versão da chave for destruída, não será mais possível criptografar dados nem descriptografar dados criptografados com a versão da chave do Cloud EKM. Não é possível recriar uma versão de chave do Cloud EKM que foi destruída, mesmo que você use o mesmo URI ou caminho de chave externa. Ao destruir o material da chave externa, recomendamos primeiro destruir a chave ou a versão no Google Cloud e, somente após a destruição da chave do Cloud EKM, o material no gerenciador externo.
Desativar uma chave ou versão da chave no Cloud KMS não modifica a chave no sistema do parceiro de gerenciamento de chaves externas.
Destruir uma versão de chave gerenciada manualmente no Cloud KMS não modifica a chave no sistema de gerenciamento de chaves externas do parceiro. Destruir uma versão de chave externa coordenada no Cloud KMS destrói o material da chave interna e envia uma solicitação ao sistema do parceiro de gerenciamento de chaves externo para destruir esse material.
Ativar uma versão de chave
É possível ativar uma versão de chave no state desativado.
Console
Acesse a página Gerenciamento de chaves no console do Google Cloud.
Clique no nome do keyring que contém a chave cuja versão será ativada.
Clique na chave cuja versão você quer ativar.
Marque a caixa ao lado das versões de chave que você quer ativar.
Clique em Ativar no cabeçalho.
No prompt de confirmação, clique em Ativar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Substitua key-version pela versão da chave a ser ativada. Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help
.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Depois de enviar a solicitação, o estado da versão da chave vai mudar para "ativado".
Permissões do IAM obrigatórias
Para ativar ou desativar uma versão de chave, o autor da chamada precisa da
permissão cloudkms.cryptoKeyVersions.update
do IAM na chave,
no keyring ou no projeto, na pasta ou na organização.
Essa permissão é concedida ao papel de Administrador do Cloud KMS
(roles/cloudkms.admin
).