鍵の破棄のデフォルト時間 MSA

最近発表された Cloud Key Management Service（Cloud KMS）では、鍵を破棄する前の DESTROY_SCHEDULED 状態を維持する期間のデフォルト値を 1 日から 30 日に変更します。このページでは、変更に関する追加情報と、変更に基づいて対処する方法について説明します。

概要

鍵バージョンの破棄リクエストを送信すると、その状態は DESTROY_SCHEDULED になります。削除（復元可能）期間中は、鍵バージョンを復元することで破棄リクエストをキャンセルできます。鍵の構成された破棄がスケジュール済みの期間が経過すると、鍵バージョンの状態は DESTROYED となり、鍵マテリアルをお客様が復元することはできません。

Cloud KMS では、鍵を破棄する前の DESTROY_SCHEDULED 状態を維持する期間のデフォルト値を 1 日から 30 日に変更します。

この変更により、より長い期間が必要であることが示すさまざまなソースからのフィードバックに対応します。新しいデフォルト値を使用すると、誤って破棄された鍵を通知し、手遅れになる前に復元できるため、偶発的または悪意のある鍵の削除による全体的なリスクを低減できます。

タイムライン

日付	変更内容
2023 年 11 月 1 日	オプトアウト手順を使用して、既存のすべての鍵（2024 年 2 月 1 日より前に作成された鍵）のデフォルトのスケジュール期間をそのまま維持できます。
2024 年 2 月 1 日	カスタムの破棄期間のスケジュールを指定せずに作成されたすべての新しい鍵では、新しいデフォルト期間の 30 日を使用します。
2024 年 5 月 1 日	この日付までに何も対応しなければ、カスタムの破棄期間のスケジュールの値が指定されていない既存の鍵は、新しい 30 日間のデフォルトを使用するように更新されます。

必要な操作

次のリストから、ニーズに最適なアクションを選択してください。

• 以前のデフォルト値の 1 日を使用する既存の鍵に対して、新しい破棄期間のスケジュールのデフォルト値（30 日）を受け入れるために、お客様が対応すべきことはありません。破棄スケジュール期間が 1 日である既存の鍵は、30 日に自動的に更新されます。この移行は 2024 年 5 月 1 日に開始される予定です。移行は、その日付から 2 週間以内に完了すると予想されています。

• 新しいデフォルトの破棄スケジュール期間（30 日）を受け入れるために、お客様が対応すべきことはありません。カスタムの破棄スケジュール期間が指定されていない新しい鍵は、デフォルト値の 30 日を使用して作成されます。Google Cloud コンソールでバナーを閉じることができます。

• 既存の鍵（2024 年 2 月 1 日より前に作成された鍵）に対して以前の破棄スケジュール期間（1 日）を保持するには、デフォルトの破棄スケジュール期間の更新からオプトアウトします。詳しい手順については、このページの既存の鍵の更新をオプトアウトするをご覧ください。

• 新しい鍵に対して以前の破棄スケジュール期間（1 日）を保持するには、鍵の作成時に破棄スケジュール作成として 1 日を指定します。2024 年 2 月 1 日以降に作成されたすべての鍵に対して破棄期間のスケジュールを設定します。詳細な手順については、破棄がスケジュールされている状態の期間を設定するをご覧ください。

既存の鍵の更新をオプトアウトする

既存の鍵を古いデフォルトのままにするには、2024 年 5 月 1 日までに Google Cloud コンソールまたは gcloud CLI を使用してプロジェクトをオプトアウトできます。

1. 自分自身に新しい cloudkms.locations.optOutKeyDeletionMsa IAM 権限を付与します。この権限は、既存の cloudkms.admin IAM ロールの一部でもあります。

2. 次のいずれかの方法でオプトアウトします。

   • Google Cloud コンソールの [鍵管理] ページのバナーを使用します。

   • kms key-deletion-opt-out コマンドを実行して、個々のプロジェクトをオプトアウトします。

     gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
     

     PROJECT_ID は、プロジェクトの ID に置き換えます。

   • bash スクリプトを使用して、組織内のすべてのプロジェクトで kms key-deletion-opt-out コマンドを実行します。

     #!/bin/bash
      for project_id in $(
          gcloud asset search-all-resources \
              --scope=organizations/ORGANIZATION_ID \
              --query="name://cloudresourcemanager.googleapis.com/projects" \
              --read-mask=project \
              | awk '{ print $2 }' | sed '/^$/d'
      ); do
          $(gcloud alpha kms key-deletion-opt-out --project=$project_id)
      done
     

     ORGANIZATION_ID は組織の ID に置き換えます。

既存の鍵の更新のオプトアウトを元に戻す

誤ってオプトアウトした場合は、gcloud CLI を使用して、コマンドの最後に --undo フラグを追加することによってのみオプトアウトを元に戻すことができます。たとえば、単一のプロジェクトの場合は、次のコマンドを使用してオプトアウトを元に戻します。

gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo

最新情報

• 組織のポリシーを使用して鍵の破棄を制御する方法を確認する。