正如最近宣布的那样,Cloud Key Management Service (Cloud KMS) 将更改默认设置
键保持 DESTROY_SCHEDULED 状态的时间的值
销毁时长从 1 天减少到 30 天。本页提供了更多信息
以及您可以如何根据您的需求采取行动。
概览
当您提交密钥版本的销毁请求时,其
state 会变为 DESTROY_SCHEDULED。在此期间
软删除期限内,可以通过以下方式取消销毁请求:
恢复密钥版本。在密钥
配置的已安排销毁时长
密钥版本的状态将变为 DESTROYED,而
客户无法恢复密钥材料。
Cloud KMS 将更改密钥时长的默认值
在被销毁前 1 天至 24 天内,DESTROY_SCHEDULED
30 天。
此次更改是为了回应各种来源的反馈,指出 持续时间越长越好新的默认值有助于您 并及时恢复被错误销毁的密钥,从而降低 意外或恶意删除密钥的总体风险。
时间轴
| 日期 | 有何变化? |
|---|---|
| 您可以利用“拒绝联系”程序 所有现有 密钥(在 2024 年 2 月 1 日之前创建)保持不变。 | |
| 创建的所有新密钥均未进行自定义销毁 排定的时长,使用新的 30 天默认值 时长。 | |
| 如果您在该日期之前未采取任何措施, 未安排自定义销毁的现有密钥 指定时长值将更新为使用 新的 30 天默认值 |
所需操作
从以下列表中选择最符合您需求的操作:
为了接受现有的 30 天新默认安排销毁时长 使用之前的默认值 1 天的密钥,则无需将 任何操作计划销毁时长为 1 天的现有密钥将 会自动更新为 30 天。此迁移计划于以下日期开始: 2024 年 5 月 1 日;迁移工作预计在 2024 年 6 月中旬之前完成。
要接受新的默认安排销毁时长(30 天), 则无需执行任何操作。没有自定义销毁的新密钥 将使用默认值 30 天。您可以在 Google Cloud 控制台中关闭横幅。
要将现有集群之前安排的销毁时长保留 1 天, 密钥(在 2024 年 2 月 1 日之前创建),可选择不更新默认值 安排销毁时长。有关详细说明,请参阅 在此页面上选择不更新现有密钥。
如需将新密钥之前安排的销毁时长保留为 1 天,请执行以下操作: 将创建密钥的计划创建时间指定为 1 天。 为在此日期或之后创建的所有密钥设置安排销毁时长 2024 年 2 月 1 日 有关详细说明,请参阅为 破坏”状态。
选择不更新现有密钥
如需保留现有密钥的旧默认值,您可以选择退出项目 。
- 为自己授予新的
cloudkms.locations.optOutKeyDeletionMsaIAM 权限。请注意,此权限也是cloudkms.adminIAM 角色。 使用以下任一方法选择停用:
使用 Key Management(密钥管理)页面上的横幅 Google Cloud 控制台。
运行
kms key-deletion-opt-out命令以停用个别 项目:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID将
PROJECT_ID替换为相应项目的 ID。使用 bash 脚本在所有平台上运行
kms key-deletion-opt-out命令 组织中的项目:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done将
ORGANIZATION_ID替换为您的组织的 ID。
撤消选择不更新现有密钥
如果您不小心选择停用,则只能使用
gcloud CLI,在命令末尾添加 --undo 标志。对于
例如,对于单个项目,请使用以下命令撤消
选择停用:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
最新资讯
- 详细了解控制密钥销毁的方法 使用组织政策