Como se anunció recientemente, Cloud Key Management Service (Cloud KMS) cambiará el valor predeterminado por la cantidad de tiempo que una clave permanece en el estado DESTROY_SCHEDULED antes de que se destruya de 1 a 30 días. En esta página, se proporciona información adicional sobre el cambio y cómo puedes tomar medidas según tus necesidades.
Descripción general
Cuando envías una solicitud de destrucción de una versión de clave, su state es DESTROY_SCHEDULED. Durante ese período de eliminación no definitiva, puedes cancelar la solicitud de destrucción restableciendo la versión de clave. Una vez que pasa la duración configurada de la destrucción programada de la clave, el estado de la versión de la clave pasa a ser DESTROYED, y los clientes no pueden recuperar el material de clave.
Cloud KMS cambia el valor predeterminado por la cantidad de tiempo que una clave permanece en el estado DESTROY_SCHEDULED antes de que se destruya de 1 a 30 días.
Este cambio aborda los comentarios de varias fuentes que indicaron la necesidad de una mayor duración. El nuevo valor predeterminado te ayudará a detectar y restablecer las claves destruidas por error antes de que sea demasiado tarde, lo que reduce el riesgo general de una eliminación accidental o maliciosa de claves.
Cronograma
| Fecha | ¿Qué aspectos cambiarán? |
|---|---|
| Puedes usar el procedimiento de inhabilitación para mantener sin cambios la duración programada predeterminada de todas las claves existentes (creadas antes del 1 de febrero de 2024). | |
| Todas las claves nuevas creadas sin duración programada de destrucción personalizada usan la nueva duración predeterminada de 30 días. | |
| Si no realizas ninguna acción antes de esta fecha, las claves existentes en las que no se especifique un valor de duración de destrucción programada personalizada se actualizarán para usar el nuevo valor predeterminado de 30 días. |
Acciones necesarias
Elige las acciones de la siguiente lista que mejor se adapten a tus necesidades:
Para aceptar la nueva duración predeterminada de la destrucción programada de 30 días para las claves existentes que usan el valor predeterminado anterior de 1 día, no es necesario que realices ninguna acción. Las claves existentes con una duración de la destrucción programada de 1 día se actualizarán de forma automática a 30 días. Esta migración está programada para comenzar el 1 de mayo de 2024 y se espera que esté completa a mediados de junio de 2024.
Para aceptar la nueva duración predeterminada de la destrucción programada de 30 días para las claves nuevas, no es necesario que realices ninguna acción. Las claves nuevas sin una duración programada de destrucción personalizada especificada se crearán con el valor predeterminado de 30 días. Puedes descartar el banner en la consola de Google Cloud.
Para conservar la duración anterior de la destrucción programada de 1 día para las claves existentes (creadas antes del 1 de febrero de 2024), inhabilita la actualización predeterminada de la duración programada. Para obtener instrucciones detalladas, consulta Cómo inhabilitar la actualización de claves existentes en esta página.
Para conservar la duración anterior de la destrucción programada de 1 día para las claves nuevas, especifica 1 día como la duración programada de la destrucción durante la creación de la clave. Establece la duración programada de la destrucción para todas las claves creadas a partir del 1 de febrero de 2024. Para obtener instrucciones detalladas, consulta Configura la duración del estado "programado para destrucción".
Inhabilita la actualización de claves existentes
Para mantener la configuración predeterminada anterior para tus claves existentes, puedes inhabilitar tu proyecto a través de la consola de Google Cloud o gcloud CLI antes del 1 de mayo de 2024.
- Otórgate el nuevo permiso de IAM
cloudkms.locations.optOutKeyDeletionMsa. Ten en cuenta que este permiso también forma parte de la función de IAMcloudkms.adminexistente. Utiliza alguno de los siguientes métodos para inhabilitar la función:
Usa el banner de la página Administración de claves de la consola de Google Cloud.
Ejecuta el comando
kms key-deletion-opt-outpara inhabilitar proyectos individuales:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_IDReemplaza
PROJECT_IDpor el ID del proyecto.Usa una secuencia de comandos de Bash para ejecutar el comando
kms key-deletion-opt-outen todos los proyectos de tu organización:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) doneReemplaza
ORGANIZATION_IDpor el ID de tu organización.
Deshacer la inhabilitación de la actualización de claves existentes
Si inhabilitas la función por error, solo puedes volver a habilitarla con
gcloud CLI. Para ello, agrega la marca --undo al final del comando. Por ejemplo, para un solo proyecto, usa el siguiente comando para deshacer la inhabilitación:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Novedades
- Obtén más información sobre las formas de controlar la destrucción de claves mediante políticas de la organización.