MSA waktu default penghancuran kunci

Seperti yang diumumkan baru-baru ini, Cloud Key Management Service (Cloud KMS) mengubah nilai default untuk jangka waktu kunci tetap berada dalam status DESTROY_SCHEDULED sebelum dihancurkan dari 1 hari menjadi 30 hari. Halaman ini memberikan informasi tambahan tentang perubahan ini dan cara Anda dapat menindaklanjutinya berdasarkan kebutuhan.

Ringkasan

Saat Anda mengirimkan permintaan pemusnahan untuk versi kunci, state menjadi DESTROY_SCHEDULED. Selama periode penghapusan sementara tersebut, Anda dapat membatalkan permintaan pemusnahan dengan memulihkan versi kunci. Setelah durasi pemusnahan terjadwal yang dikonfigurasi milik kunci berlalu, status versi kunci menjadi DESTROYED, dan materi kunci tidak dapat dipulihkan oleh pelanggan.

Cloud KMS mengubah nilai default untuk jangka waktu kunci tetap berada dalam status DESTROY_SCHEDULED sebelum dihancurkan dari 1 hari hingga 30 hari.

Perubahan ini menanggapi masukan dari berbagai sumber yang menunjukkan kebutuhan akan durasi yang lebih lama. Nilai default baru akan membantu Anda mengetahui dan memulihkan kunci yang salah dihancurkan sebelum terlambat, sehingga mengurangi risiko keseluruhan penghapusan kunci yang tidak disengaja atau berbahaya.

Linimasa

Tanggal	Apa saja yang berubah?
1 November 2023	Anda dapat menggunakan prosedur pilihan tidak ikut untuk mempertahankan durasi terjadwal default semua kunci yang ada (yang dibuat sebelum 1 Feb 2024).
1 Feb 2024	Semua kunci baru yang dibuat tanpa durasi terjadwal pemusnahan kustom akan menggunakan durasi default 30 hari yang baru.
1 Mei 2024	Jika Anda tidak melakukan tindakan hingga tanggal ini, kunci yang sudah ada tanpa nilai durasi terjadwal pemusnahan kustom yang ditentukan akan diperbarui untuk menggunakan nilai default 30 hari yang baru.

Tindakan yang diperlukan

Pilih tindakan dari daftar berikut yang paling sesuai dengan kebutuhan Anda:

• Untuk menerima jadwal hancurkan default baru selama 30 hari untuk kunci yang ada yang menggunakan nilai default sebelumnya, yaitu 1 hari, Anda tidak perlu melakukan tindakan apa pun. Kunci yang ada dengan durasi terjadwal pemusnahan 1 hari akan otomatis diperbarui menjadi 30 hari. Migrasi ini dijadwalkan untuk dimulai pada 1 Mei 2024; migrasi diperkirakan akan selesai dalam waktu dua minggu setelah tanggal tersebut.

• Untuk menyetujui durasi terjadwal pemusnahan default baru selama 30 hari untuk kunci baru, Anda tidak perlu melakukan tindakan apa pun. Kunci baru tanpa durasi terjadwal pemusnahan kustom yang ditentukan akan dibuat menggunakan nilai default 30 hari. Anda dapat menutup banner di Konsol Google Cloud.

• Untuk mempertahankan durasi terjadwal pemusnahan sebelumnya sebesar 1 hari untuk kunci yang ada (dibuat sebelum 1 Februari 2024), pilih untuk tidak memperbarui durasi terjadwal pemusnahan default. Untuk petunjuk mendetail, lihat Memilih untuk tidak memperbarui kunci yang sudah ada di halaman ini.

• Untuk mempertahankan durasi pemusnahan yang dijadwalkan sebelumnya, yaitu 1 hari untuk kunci baru, tentukan 1 hari sebagai waktu pembuatan terjadwal pemusnahan selama pembuatan kunci. Tetapkan durasi terjadwal pemusnahan untuk semua kunci yang dibuat pada atau setelah 1 Februari 2024. Untuk petunjuk mendetail, lihat Menetapkan durasi status 'dijadwalkan untuk penghancuran'.

Memilih untuk tidak memperbarui kunci yang sudah ada

Untuk mempertahankan versi default lama untuk kunci yang sudah ada, Anda dapat mengecualikan project Anda melalui Google Cloud Console atau gcloud CLI paling lambat 1 Mei 2024.

1. Beri diri Anda izin IAM cloudkms.locations.optOutKeyDeletionMsa baru. Perlu diketahui bahwa izin ini juga merupakan bagian dari peran IAM cloudkms.admin yang ada.

2. Pilih tidak ikut, menggunakan salah satu metode berikut:

   • Gunakan banner di halaman Key Management di Konsol Google Cloud.

   • Jalankan perintah kms key-deletion-opt-out untuk mengecualikan project tertentu:

     gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
     

     Ganti PROJECT_ID dengan ID project.

   • Gunakan skrip bash untuk menjalankan perintah kms key-deletion-opt-out pada semua project di organisasi Anda:

     #!/bin/bash
      for project_id in $(
          gcloud asset search-all-resources \
              --scope=organizations/ORGANIZATION_ID \
              --query="name://cloudresourcemanager.googleapis.com/projects" \
              --read-mask=project \
              | awk '{ print $2 }' | sed '/^$/d'
      ); do
          $(gcloud alpha kms key-deletion-opt-out --project=$project_id)
      done
     

     Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Urungkan memilih untuk tidak memperbarui kunci yang ada

Jika tidak sengaja memilih tidak ikut, Anda hanya dapat memilih untuk menggunakannya kembali menggunakan gcloud CLI, dengan menambahkan flag --undo di akhir perintah. Misalnya, untuk satu project, gunakan perintah berikut untuk mengurungkan pilihan tidak ikut:

gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo

Yang baru

• Pelajari lebih lanjut cara Mengontrol penghancuran kunci menggunakan kebijakan organisasi.