Questo argomento mostra come importare una chiave di crittografia in Cloud HSM o Cloud Key Management Service come nuova versione della chiave.
Per ulteriori dettagli sull'importazione delle chiavi, incluse limitazioni e limitazioni, consulta l'articolo sull'importazione delle chiavi.
Puoi completare i passaggi di questo argomento in 5-10 minuti, escluse le Passaggi Prima di iniziare. Il wrapping della chiave aggiunge manualmente e la complessità dell'attività.
Prima di iniziare
Ti consigliamo di creare un nuovo progetto per testare questa funzionalità, per facilitare eseguire la pulizia dopo i test e per assicurarti di disporre di Autorizzazioni IAM (Identity and Access Management) per importare una chiave.
Prima di poter importare una chiave, devi preparare il progetto, il sistema locale, e la chiave stessa.
Preparazione del progetto
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
L'utente che esegue l'importazione deve avere i seguenti valori IAM: autorizzazioni per creare keyring, chiavi e job di importazione. Se l'utente non è proprietario del progetto, puoi assegnare entrambi i due servizi seguenti ruoli all'utente:
roles/editor
roles/cloudkms.importer
Per ulteriori informazioni sui ruoli IAM disponibili autorizzazioni per Cloud KMS, consulta Autorizzazioni e ruoli.
Preparazione del sistema locale
Prepara il sistema locale scegliendo una delle seguenti opzioni. Automatica il wrapping delle chiavi è consigliato per la maggior parte degli utenti.
- Se vuoi consentire a Google Cloud CLI di eseguire automaticamente il wrapping delle chiavi prima di trasmetterle a Google Cloud, devi installare la libreria di crittografia Pyca sul tuo sistema locale. La libreria Pyca viene utilizzata dal job di importazione esegue il wrapping e protegge la chiave in locale prima di inviarla a Google Cloud.
- Se vuoi eseguire il wrapping delle chiavi manualmente, devi configurare OpenSSL per il wrapping manuale delle chiavi.
Preparazione della chiave
Verifica che l'algoritmo e la lunghezza della chiave siano supportati. Gli algoritmi consentiti per una chiave dipendono dal fatto che la chiave sia utilizzata per la crittografia simmetrica, la crittografia asimmetrica o la firma asimmetrica, nonché dal fatto che la chiave sia archiviata in un software o in un HSM. Sei tu a specificare la chiave dell'algoritmo come parte della richiesta di importazione.
Separatamente, devi anche verificare come viene codificata la chiave, e, se necessario, apportarvi modifiche.
Non è possibile modificare quanto segue per una versione della chiave dopo la creazione oppure importati:
Il livello di protezione indica se la chiave persiste nel software, in un HSM o in un sistema di gestione delle chiavi esterno. Il materiale delle chiavi non può essere trasferito da uno di questi ambienti di archiviazione a un altro. Tutte le versioni di hanno lo stesso livello di protezione.
Lo scopo indica se le versioni della chiave vengono utilizzate per scopi simmetrici crittografia, crittografia asimmetrica o firma asimmetrica. Lo scopo del limita i possibili algoritmi utilizzabili per creare versioni chiave. Tutte le versioni di una chiave hanno lo stesso scopo.
Se non hai una chiave da importare, ma vuoi convalidare la procedura per di importazione delle chiavi, puoi creare una chiave simmetrica nel sistema locale, utilizzando seguente comando:
openssl rand 32 > ${HOME}/test.bin
Utilizza questa chiave solo per i test. Una chiave creata in questo modo potrebbe non essere appropriata per uso in produzione.
Se devi eseguire manualmente il wrapping della chiave, prima di continuare con le procedure in questo argomento.
Crea la chiave e il keyring di destinazione
Una chiave Cloud KMS è un oggetto container che contiene zero o più versioni delle chiavi. Ogni versione della chiave contiene una chiave di crittografia.
Quando importi una chiave in Cloud KMS o Cloud HSM, la chiave importata diventa una nuova versione della chiave in una chiave Cloud KMS o Cloud HSM esistente. Nel resto di questo argomento, questa chiave è chiamata chiave target. La chiave di destinazione deve esistere prima di poter importare il materiale della chiave li annotino.
L'importazione di una versione della chiave non influisce sulle versioni esistenti della chiave. Tuttavia, Ti consigliamo di creare una chiave vuota durante il test dell'importazione della chiave. Una chiave vuota non ha una versione, non è attivo e non può essere utilizzato.
Facoltativamente, puoi specificare che la chiave appena creata può contenere solo file , impedendo la generazione accidentale di nuove versioni di Cloud KMS.
Esiste una chiave in un keyring; in questo argomento, questo keyring è chiamato il keyring di destinazione. La posizione del keyring di destinazione determina la posizione in cui è disponibile il materiale della chiave dopo l'importazione. Le chiavi Cloud HSM non possono potrà essere creato o importato in alcune località. Una volta creata, la chiave non può essere spostata in un altro portachiavi o in un'altra posizione.
Segui questi passaggi per creare una chiave vuota in un nuovo keyring utilizzando Google Cloud CLI o la console Google Cloud.
Console
Nella console Google Cloud, vai alla Gestione delle chiavi.
Fai clic su Crea keyring.
Nel campo Nome keyring, inserisci il nome del keyring.
In Tipo di località, seleziona un tipo di località e la località.
Fai clic su Crea. Viene visualizzata la pagina Crea chiave.
Nel campo Nome chiave, inserisci il nome della chiave.
Per Livello di protezione, seleziona Software o HSM, quindi fai clic su Continua.
In Materiale della chiave, seleziona Chiave importata e poi fai clic su Continua. Questo impedisce la creazione di una versione iniziale della chiave.
Imposta lo scopo e l'algoritmo per la chiave, quindi fai clic su Continua.
(Facoltativo) Se vuoi che la chiave contenga solo le versioni della chiave importate, Seleziona Limita le versioni della chiave alla sola importazione. In questo modo, eviterai di creare accidentalmente nuove versioni della chiave in Cloud KMS.
(Facoltativo) Per le chiavi importate, la rotazione automatica è disattivata per impostazione predefinita. Per attivare la rotazione automatica, seleziona un valore nel campo Rotazione chiave periodo.
Se attivi la rotazione automatica, le nuove versioni della chiave verranno generate in Cloud KMS e la versione della chiave importata non sarà più la versione predefinita della chiave dopo una rotazione.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima Installa o esegui l'upgrade alla versione più recente di Google Cloud CLI.
Crea il keyring di destinazione. Se intendi eseguire l'importazione in un Chiave Cloud HSM, seleziona una località che supporti il per la risoluzione dei problemi di Google Cloud HSM.
gcloud kms keyrings create KEY_RING \ --location LOCATION
Puoi scoprire di più su creazione di keyring.
Crea la chiave di destinazione.
- Specifica lo scopo della chiave.
- Impedisci la creazione di una versione iniziale utilizzando il metodo
--skip-initial-version-creation
flag. - (Facoltativo) Impedisci la creazione di nuove versioni in Cloud KMS utilizzando il flag
--import-only
. - (Facoltativo) Non specificare un criterio di rotazione. Se attivi l'impostazione automatica
la rotazione, le nuove versioni della chiave verranno generate
Cloud KMS e la versione della chiave importata non sarà più
la versione predefinita della chiave dopo una rotazione. Non puoi specificare un
criterio di rotazione se hai specificato il flag
--import-only
.
gcloud kms keys create KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --purpose PURPOSE \ --skip-initial-version-creation \ --import-only
Puoi scoprire di più sulla creazione chiavi Cloud KMS o Chiavi Cloud HSM.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, per prima cosa configura un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installare l'SDK per Python di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, vedi Accesso all'API Cloud KMS.
Crea un nuovo keyring:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings?keyRingId=KEY_RING" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --header "x-goog-user-project: PROJECT_ID" \ --data "{}"
Per ulteriori informazioni, consulta la documentazione dell'API
KeyRing.create
.Crea una chiave vuota di sola importazione:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?cryptoKeyId=KEY_NAME&skipInitialVersionCreation=true&importOnly=true" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --header "x-goog-user-project: PROJECT_ID" \ --data "{"purpose":"PURPOSE", "versionTemplate":{"protectionLevel":"PROTECTION_LEVEL","algorithm":"ALGORITHM"}}"
Consulta la documentazione dell'API
CryptoKey.create
per ulteriori informazioni.
Il keyring e la chiave ora esistono, ma la chiave non contiene alcun materiale della chiave e non ne ha e non è attivo. Poi, crea un job di importazione.
Crea il job di importazione
Un job di importazione definisce le caratteristiche delle chiavi che importa, incluse le proprietà che non possono essere modificate dopo l'importazione della chiave.
Il livello di protezione definisce se Le chiavi importate da questo job di importazione risiederanno nel software, in un HSM o in un di gestione delle chiavi esterno. Il livello di protezione non può essere modificato dopo il giorno alla fine viene importata.
Il metodo di importazione definisce il utilizzato per creare la chiave di wrapping che protegge le chiavi importate durante il trasporto pubblico dal sistema locale al progetto Google Cloud di destinazione. Tu puoi scegliere una chiave RSA a 3072 bit o 4096 bit. A meno che tu non abbia standard, si consiglia la chiave di wrapping a 3072 bit.
Puoi creare un job di importazione utilizzando gcloud CLI, console Google Cloud o l'API Cloud Key Management Service.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring di destinazione.
Imposta il livello di protezione su Software o HSM. Utilizza lo stesso livello di protezione impostato per la chiave di destinazione.
Fai clic su Crea job di importazione.
Nel campo Nome, inserisci il nome del job di importazione.
Nel menu a discesa Metodo di importazione, imposta il metodo di importazione su RSA a 3072 bit o RSA a 4096 bit.
Fai clic su Crea.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima Installa o esegui l'upgrade alla versione più recente di Google Cloud CLI.
Utilizza un comando come il seguente per creare un job di importazione.
gcloud kms import-jobs create IMPORT_JOB \ --location LOCATION \ --keyring KEY_RING \ --import-method IMPORT_METHOD \ --protection-level PROTECTION_LEVEL
- Usa lo stesso keyring e la stessa posizione della chiave di destinazione.
- Imposta il livello di protezione su
software
ohsm
. - Imposta il metodo di importazione su
rsa-oaep-3072-sha1-aes-256
rsa-oaep-4096-sha1-aes-256
,rsa-oaep-3072-sha256-aes-256
rsa-oaep-4096-sha256-aes-256
,rsa-oaep-3072-sha256
orsa-oaep-4096-sha256
,
Go
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Go e installare l'SDK Go Cloud KMS.
Java
Per eseguire questo codice, per prima cosa configura un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installare l'SDK per Python di Cloud KMS.
API
Questi esempi utilizzano curl come client HTTP per dimostrare l'utilizzo dell'API. Per ulteriori informazioni sul controllo dell'accesso, vedi Accesso all'API Cloud KMS.
Per creare un job di importazione, utilizza il metodo
ImportJobs.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/importJobs?import_job_id=IMPORT_JOB_ID" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"import_method": "IMPORT_METHOD", "protection_level": "PROTECTION_LEVEL"}'
Sostituisci quanto segue:
- IMPORT_METHOD: un metodo di wrapping delle chiavi supportato.
- PROTECTION_LEVEL: la protezione livello delle versioni della chiave importati da questo job di importazione.
Controllo dello stato del job di importazione
Lo stato iniziale di un job di importazione è PENDING_GENERATION
. Se lo stato è
ACTIVE
, puoi utilizzarlo per importare chiavi.
Un job di importazione scade dopo tre giorni. Se il job di importazione è scaduto, devi per crearne uno nuovo.
Puoi controllare lo stato di un job di importazione utilizzando Google Cloud CLI, il console Google Cloud o l'API Cloud Key Management Service.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene il job di importazione.
Fai clic sulla scheda Importa job nella parte superiore della pagina.
Lo stato sarà visibile in Stato accanto al nome del compito di importazione.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima Installa o esegui l'upgrade alla versione più recente di Google Cloud CLI.
Quando un job di importazione è attivo, puoi utilizzarlo per importare le chiavi. Questo può richiede qualche minuto. Utilizza questo comando per verificare che il job di importazione sia attivo. Utilizza la posizione e il keyring in cui hai creato il job di importazione.
gcloud kms import-jobs describe IMPORT_JOB \ --location LOCATION \ --keyring KEY_RING \ --format="value(state)"
L'output è simile al seguente:
state: ACTIVE
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, per prima cosa configura un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Python
Per eseguire questo codice, devi innanzitutto configurare un ambiente di sviluppo Python e installare l'SDK Python Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'uso dell'API. Per ulteriori informazioni sul controllo dell'accesso, vedi Accesso all'API Cloud KMS.
Per controllare lo stato di un job di importazione, utilizza il metodo
ImportJobs.get
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/importJobs/IMPORT_JOB_ID" \ --request "GET" \ --header "authorization: Bearer TOKEN"
Appena il job di importazione è attivo, puoi richiedi di importare una chiave.
Impedire la modifica dei job di importazione
Il job di importazione determina molte caratteristiche della chiave importata, tra cui l'algoritmo della chiave e se una chiave importata è una chiave HSM o un software chiave. Puoi configurare le autorizzazioni IAM per impedire agli utenti di creazione di job di importazione, permettendo al contempo di utilizzare job di importazione per importare chiave.
- Concedi l'autorizzazione
importjobs.create
solo agli amministratori delle chiavi. - Concedi l'autorizzazione
importjobs.useToImport
per un job di importazione specifico a l'operatore che utilizzerà quel job per importare le chiavi. - Quando crei il job di importazione, specifica il livello di protezione e l'algoritmo per le versioni della chiave importate utilizzando quest'ultima.
Fino alla scadenza del job di importazione, gli utenti con importjobs.useToImport
e
non disponi dell'autorizzazione importjobs.create
per un determinato job di importazione, possono importare
ma non possono modificare le caratteristiche del job di importazione.
Importa la chiave
Dopo aver controllato lo stato del job di importazione, puoi effettuare una richiesta di importazione.
Utilizzi diversi flag per effettuare la richiesta di importazione, a seconda che tu voglia che Google Cloud CLI inserisca automaticamente la chiave o se hai già inserito la chiave manualmente.
Indipendentemente dal fatto che il wrapping della chiave sia stato eseguito manualmente o automaticamente, devi Impostare l'algoritmo su un algoritmo supportato che corrisponde la lunghezza della chiave effettiva da importare e specifica lo scopo della chiave.
Le chiavi con scopo
ENCRYPT_DECRYPT
utilizzano l'algoritmogoogle-symmetric-encryption
e hanno una lunghezza di 32.Le chiavi con scopo
ASYMMETRIC_DECRYPT
oASYMMETRIC_SIGN
supportano una serie di algoritmi e lunghezze.Lo scopo di una chiave non può essere modificato dopo la sua creazione, ma è possibile creare versioni successive con lunghezze diverse rispetto alla versione iniziale.
Wrapping e importazione di una chiave automatici
Se vuoi utilizzare il wrapping automatico, devi utilizzare Google Cloud CLI.
Utilizza un comando come quello riportato di seguito. Imposta --target-key-file
sulla posizione della chiave scomposta da avvolgere e importare. Non impostare --wrapped-key-file
.
Facoltativamente, puoi impostare
Il flag --public-key-file
alla posizione in cui è già stata la chiave pubblica
scaricato. Quando si importa un numero elevato di chiavi, viene impedito alla chiave pubblica
non vengano scaricati durante ogni importazione. Ad esempio, potresti scrivere uno script
che ha scaricato la chiave pubblica una volta e poi ne ha indicato la posizione durante l'importazione
ogni chiave.
gcloud kms keys versions import \ --import-job IMPORT_JOB \ --location LOCATION \ --keyring KEY_RING \ --key KEY_NAME \ --algorithm ALGORITHM \ --target-key-file PATH_TO_UNWRAPPED_KEY
Il wrapping della chiave viene eseguito dalla chiave di wrapping associata al job di importazione, a Google Cloud e importata come nuova versione della chiave chiave di destinazione.
Importazione di una chiave con wrapping manuale
Utilizza le istruzioni in questa sezione per importare una chiave
che hai eseguito il wrapping manualmente. Imposta
--wrapped-key-file
alla posizione della chiave che hai sottoposto a wrapping manuale.
Non impostare --target-key-file
.
Facoltativamente, puoi impostare
Il flag --public-key-file
alla posizione in cui è già stata la chiave pubblica
scaricato. Quando si importa un numero elevato di chiavi, viene impedito alla chiave pubblica
non vengano scaricati durante ogni importazione. Ad esempio, potresti scrivere uno script
che ha scaricato la chiave pubblica una volta e poi ne ha indicato la posizione durante l'importazione
ogni chiave.
Console
Apri la pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene il job di importazione. Il target viene mostrato insieme agli altri tasti presenti nel keyring.
Fai clic sul nome della chiave di destinazione e poi su Importa versione della chiave.
Seleziona il job di importazione dal menu a discesa Seleziona job di importazione.
Nel selettore Carica la chiave con wrapping, seleziona la chiave a tua disposizione. già aggregato.
Se importi una chiave asimmetrica, seleziona l'algoritmo dalla Menu a discesa Algoritmo. Dovrebbe essere visualizzata la pagina Versione chiave di importazione simile a:
Fai clic su Importa.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima Installa o esegui l'upgrade alla versione più recente di Google Cloud CLI.
Utilizza un comando come quello riportato di seguito.
gcloud kms keys versions import \ --import-job IMPORT_JOB \ --location LOCATION \ --keyring KEY_RING \ --key KEY_NAME \ --algorithm ALGORITHM \ --wrapped-key-file PATH_TO_WRAPPED_KEY
Per ulteriori informazioni, consulta l'output del comando gcloud kms keys versions import --help
.
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, per prima cosa configura un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installare l'SDK per Python di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'uso dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Utilizza il metodo cryptoKeyVersions.import
per
importare una chiave.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions:import" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"importJob": "IMPORT_JOB_ID", "algorithm": "ALGORITHM", "wrappedKey": "WRAPPED_KEY"}'
Sostituisci quanto segue:
IMPORT_JOB_ID: il nome completo della risorsa dell'importazione corrispondente lavoro.
ALGORITHM: la
algorithm
del chiave importata, che è del tipoCryptoKeyVersionAlgorithm
.WRAPPED_KEY: la chiave con wrapping manuale in formato base64.
Richiesta di importazione della chiave avviata. Puoi monitorarne lo stato.
Controlla lo stato della versione della chiave importata
Lo stato iniziale di una versione della chiave importata è PENDING_IMPORT
. Quando
lo stato è ENABLED
, la versione della chiave è stata importata correttamente. Se
l'importazione non riesce, lo stato è IMPORT_FAILED
.
Puoi controllare lo stato di una richiesta di importazione utilizzando Google Cloud CLI, la console Google Cloud o l'API Cloud Key Management Service.
Console
Apri la pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene il job di importazione.
Fai clic sulla scheda Importa job nella parte superiore della pagina.
Lo stato sarà visibile in Stato, accanto al job di importazione nome.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima Installa o esegui l'upgrade alla versione più recente di Google Cloud CLI.
Utilizza il comando versions list
per verificare lo stato. Usa lo stesso
posizione, keyring di destinazione e chiave di destinazione che hai creato in precedenza
per ogni argomento.
gcloud kms keys versions list \ --keyring KEY_RING \ --location LOCATION \ --key KEY_NAME
Go
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, per prima cosa configura un ambiente di sviluppo Java e installare l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Node.js e installare l'SDK Node.js di Cloud KMS.
Python
Per eseguire questo codice, configura prima un ambiente di sviluppo Python e installare l'SDK per Python di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'uso dell'API. Per ulteriori informazioni sul controllo dell'accesso, consulta Accedere all'API Cloud KMS.
Chiama il metodo ImportJob.get
e controlla il
state
. Se
state
è PENDING_GENERATION
, il job di importazione è ancora in fase di creazione.
Ricontrolla periodicamente lo stato fino a quando non è impostato su ACTIVE
.
Dopo l'importazione della versione iniziale della chiave, lo stato della chiave diventa Attivo. Per le chiavi simmetriche, devi impostare la versione della chiave importata come prima di poter usare la chiave.
Chiavi simmetriche: imposta la versione primaria
Questo passaggio è obbligatorio per l'importazione di chiavi simmetriche e non è pertinente per e asimmetriche. Una chiave asimmetrica non ha una versione primaria. Devi usa Google Cloud CLI per impostare la versione principale.
gcloud kms keys set-primary-version KEY_NAME\ --location=LOCATION\ --keyring=KEY_RING\ --version=KEY_VERSION
Reimporta una chiave eliminata in precedenza
Cloud Key Management Service supporta la reimportazione delle chiavi, che consente di ripristinare
versione della chiave importata in precedenza in stato DESTROYED
o IMPORT_FAILED
in
ENABLED
fornendo il materiale originale della chiave. Se la chiave originale non è presente
il materiale sia stato importato a causa di un errore di importazione iniziale,
può essere fornito.
Limitazioni
- È possibile reimportare solo
CryptoKeyVersions
importati in precedenza. - Il materiale della chiave reimportata deve corrispondere esattamente a quello della chiave originale se versione è stata importata correttamente in precedenza.
- Impossibile eliminare
CryptoKeyVersions
prima del rilascio di questa funzionalità reimportati. Il camporeimport_eligible
diCryptoKeyVersion
ètrue
se la versione è idonea per la reimportazione efalse
in caso contrario.
Le chiavi software e Cloud HSM possono essere reimportate, ma non è possibile reimportare le chiavi esterne essere reimportati.
Reimportazione di una chiave eliminata
Crea un elemento ImportJob
per la reimportazione seguendo la procedura descritta in
Crea il job di importazione. Puoi utilizzare un modello esistente
ImportJob
o un nuovo ImportJob
, purché il livello di protezione corrisponda a
livello di protezione originale.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave di cui reimporterai la versione.
Fai clic sulla chiave di cui vuoi reimportare la versione.
Fai clic sui tre puntini accanto alla versione della chiave che vuoi reimportare.
Seleziona Reimporta versione chiave
Seleziona il job di importazione dal menu a discesa Seleziona job di importazione.
Nel selettore Carica la chiave con wrapping, seleziona la chiave a tua disposizione. già aggregato. Questa chiave deve corrispondere al materiale della chiave originale.
Fai clic su Reimporta.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima Installa o esegui l'upgrade alla versione più recente di Google Cloud CLI.
Reimporta la versione della chiave utilizzando il materiale della chiave originale.
gcloud kms keys versions import \ --location LOCATION \ --keyring KEY_RING \ --key KEY_NAME \ --version KEY_VERSION \ --algorithm ALGORITHM \ --import-job IMPORT_JOB \ --target-key-file PATH_TO_KEY \
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'uso dell'API. Per ulteriori informazioni sul controllo dell'accesso, vedi Accesso all'API Cloud KMS.
Nel corpo della richiesta del metodo
cryptoKeyVersions.import
, imposta il campocryptoKeyVersion
sul nome della versione della chiave della versione da importare. Deve essere una chiave secondaria della chiave di crittografia.Nel corpo della richiesta, imposta il campo
algorithm
sull'algoritmo della chiave da importare. Questo valore deve corrispondere all'algoritmo della versione originale della chiave. La Campoalgorithm
è di tipoCryptoKeyVersionAlgorithm
.Nel corpo della richiesta, imposta il campo
wrappedKeyMaterial
sul materiale chiave che hai già incapsulato.Chiama il metodo
cryptoKeyVersions.import
. La La rispostacryptoKeyVersions.import
è di tipoCryptoKeyVersion
Quando una chiave viene importata correttamente, il suo stato èENABLED
e puoi utilizzarla in Cloud KMS.
Passaggi successivi
- Verifica una chiave importata. Dopo la conferma che il materiale della chiave importata sia identico a quello della chiave originale, puoi usare la chiave per firmare o proteggere i dati.
- Risolvere i problemi relativi a un'importazione di chiavi non riuscita.