正如最近宣布的那样,Cloud Key Management Service (Cloud KMS) 会将密钥在销毁之前保持 DESTROY_SCHEDULED 状态的时间的默认值从 1 天更改为 30 天。本页将提供有关此变更的更多信息,以及如何根据您的需求处理此变更。
概览
当您提交密钥版本的销毁请求时,其state将变为 DESTROY_SCHEDULED。在该软删除期间,您可以通过恢复密钥版本来取消销毁请求。在密钥的配置的计划销毁时长过后,密钥版本的状态将变为 DESTROYED,并且客户无法恢复密钥材料。
Cloud KMS 将密钥在销毁之前保持 DESTROY_SCHEDULED 状态的时间长度从 1 天更改为 30 天。
这项变更解决了来自各种来源的反馈,这些反馈表明需要更长的持续时间。新的默认值将帮助您发现错误销毁的密钥并及时恢复,从而降低意外或恶意删除密钥的总体风险。
时间轴
| 日期 | 有何变化? |
|---|---|
| 您可以使用停用程序,使所有现有密钥(于 2024 年 2 月 1 日之前创建)的默认计划时长保持不变。 | |
| 所有没有自定义安排销毁时长的新密钥都会使用新的默认时长 30 天。 | |
| 如果您在此日期之前未采取任何措施,那么未指定自定义安排销毁时长值的现有密钥将更新为使用新的默认值(30 天)。 |
所需操作
从以下列表中选择最符合您需求的操作:
对于使用先前默认值 1 天的现有密钥,如需接受新的默认安排销毁时长 30 天,您无需执行任何操作。安排销毁时长为 1 天的现有密钥会自动更新为 30 天。此次迁移计划于 2024 年 5 月 1 日开始,预计在 2024 年 6 月中旬之前完成。
如需为新密钥接受 30 天的默认安排销毁时长,您无需执行任何操作。系统会使用默认值(30 天)创建未指定自定义安排销毁时长的新密钥。您可以在 Google Cloud 控制台中关闭横幅。
如需保留现有密钥之前 1 天的安排销毁时长(创建于 2024 年 2 月 1 日之前),请选择不更新默认的安排销毁时长。如需了解详细说明,请参阅本页面中的选择不更新现有密钥。
如需将新密钥之前安排的销毁时长保留为 1 天,请在密钥创建期间将安排销毁的创建时间指定为 1 天。为 2024 年 2 月 1 日当天或之后创建的所有密钥设置安排销毁时长。如需了解详细说明,请参阅设置“已安排销毁”状态的时长。
选择不更新现有密钥
如需保留现有密钥的旧默认值,您可以在 2024 年 5 月 1 日之前通过 Google Cloud 控制台或 gcloud CLI 为您的项目选择退出。
- 为自己授予新的
cloudkms.locations.optOutKeyDeletionMsaIAM 权限。请注意,此权限也是现有cloudkms.adminIAM 角色的一部分。 使用以下任一方法选择停用:
使用 Google Cloud 控制台中密钥管理页面上的横幅。
运行
kms key-deletion-opt-out命令可选择停用个别项目:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID将
PROJECT_ID替换为相应项目的 ID。使用 bash 脚本在组织中的所有项目上运行
kms key-deletion-opt-out命令:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done将
ORGANIZATION_ID替换为您的组织的 ID。
撤消选择不更新现有密钥
如果您不小心选择停用,只能使用 gcloud CLI 在命令末尾添加 --undo 标志来重新启用。例如,对于单个项目,请使用以下命令撤消停用操作:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
最新资讯
- 了解更多使用组织政策控制密钥销毁的方法。