Conforme anunciado recentemente, o Cloud Key Management Service (Cloud KMS) está alterando o valor padrão de acordo com o tempo que uma chave permanece no estado DESTROY_SCHEDULED antes de ser destruída de 1 para 30 dias. Esta página fornece mais informações sobre a mudança e como você pode agir de acordo com suas necessidades.
Visão geral
Quando você envia uma solicitação de destruição de uma versão de chave, o
state dela se torna DESTROY_SCHEDULED. Durante esse período de
exclusão reversível, é possível cancelar a solicitação de destruição
restaurando a versão da chave. Depois que a duração programada para destruição configurada da chave tiver passado, o estado da versão se tornará DESTROYED, e o material da chave não poderá ser recuperado pelos clientes.
O Cloud KMS está alterando o valor padrão de quanto tempo uma chave permanece no estado DESTROY_SCHEDULED antes de ser destruída de 1 para 30 dias.
Essa mudança aborda o feedback de várias fontes que indicaram a necessidade de uma duração mais longa. O novo valor padrão ajudará você a perceber e restaurar chaves destruídas por engano antes que seja tarde demais, reduzindo o risco geral de exclusão acidental ou maliciosa de chaves.
Cronograma
| Data | O que está mudando? |
|---|---|
| Use o procedimento de desativação para manter inalterada a duração programada padrão de todas as chaves atuais (criadas antes de 1o de fevereiro de 2024). | |
| Todas as novas chaves criadas sem duração programada de destruição personalizada usam a nova duração padrão de 30 dias. | |
| Se você não fizer nada até essa data, as chaves atuais em que nenhum valor de duração programado de destruição personalizada estiver especificado serão atualizadas para usar o novo padrão de 30 dias. |
Ações necessárias
Escolha as ações da lista a seguir que melhor atendem às suas necessidades:
Para aceitar a nova duração programada de destruição padrão de 30 dias para chaves atuais que usam o valor padrão anterior de um dia, não é necessário realizar nenhuma ação. As chaves atuais com duração programada de destruição de 1 dia serão atualizadas automaticamente para 30 dias. Essa migração está programada para começar em 1o de maio de 2024 e espera-se que ela seja concluída em até duas semanas após essa data.
Para aceitar a nova duração programada de destruição padrão de 30 dias para novas chaves, não é necessário fazer nada. Novas chaves sem duração programada de destruição personalizada especificada serão criadas usando o valor padrão de 30 dias. É possível dispensar o banner no console do Google Cloud.
Para manter a duração programada de destruição anterior de 1 dia para as chaves atuais (criadas antes de 1o de fevereiro de 2024), desative a atualização da duração programada de destruição padrão. Para instruções detalhadas, consulte Desativar a atualização das chaves atuais nesta página.
Para manter a duração programada de destruição anterior de um dia para chaves novas, especifique esse valor como a criação programada de destruição durante a criação da chave. Defina a duração programada da destruição para todas as chaves criadas a partir de 1o de fevereiro de 2024. Para instruções detalhadas, consulte Definir a duração do estado "programado para destruição".
Desativar a atualização das chaves atuais
Para manter o padrão antigo para suas chaves atuais, desative seu projeto no console do Google Cloud ou CLI gcloud até 1o de maio de 2024.
- Conceda a si mesmo a nova permissão do IAM
cloudkms.locations.optOutKeyDeletionMsa. Observe que essa permissão também faz parte do papelcloudkms.adminatual do IAM. Faça a desativação usando um destes métodos:
Use o banner na página Gerenciamento de chaves no console do Google Cloud.
Execute o comando
kms key-deletion-opt-outpara desativar projetos individuais:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_IDSubstitua
PROJECT_IDpelo código do projeto.Use um script bash para executar o comando
kms key-deletion-opt-outem todos os projetos da organização:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) doneSubstitua
ORGANIZATION_IDpelo ID da organização.
Desfazer a desativação da atualização das chaves atuais
Se você desativar por engano, só poderá reativar usando
a CLI gcloud, adicionando a sinalização --undo ao final do comando. Por
exemplo, para um único projeto, use o seguinte comando para desfazer a
desativação:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Novidades
- Conheça outras maneiras de controlar a destruição das chaves usando políticas da organização.