Come annunciato di recente, Cloud Key Management Service (Cloud KMS) modificherà il valore predefinito per il periodo di tempo in cui una chiave rimane in stato DESTROY_SCHEDULED
prima di essere eliminata da 1 giorno a 30 giorni. Questa pagina fornisce ulteriori informazioni sulla modifica e su come intervenire in base alle tue esigenze.
Panoramica
Quando invii una richiesta di eliminazione per una versione della chiave, il relativo state diventa DESTROY_SCHEDULED
. Durante il periodo di eliminazione temporanea, puoi annullare la richiesta di eliminazione ripristinando la versione della chiave. Una volta trascorsa la durata pianificata per la distruzione configurata della chiave, lo stato della versione della chiave diventa DESTROYED
e il materiale della chiave non può essere recuperato dai clienti.
Cloud KMS cambierà il valore predefinito per il periodo di tempo per cui una chiave rimane nello stato DESTROY_SCHEDULED
prima di essere eliminata da 1 giorno a 30 giorni.
Questa modifica risponde ai feedback provenienti da varie fonti che hanno indicato la necessità di una durata più lunga. Il nuovo valore predefinito ti consentirà di rilevare e ripristinare le chiavi eliminate per errore prima che sia troppo tardi, riducendo così il rischio complessivo di eliminazione accidentale o dannosa delle chiavi.
Tempistiche
Data | Cosa cambierà? |
---|---|
Puoi utilizzare la procedura di disattivazione per mantenere invariata la durata pianificata predefinita di tutte le chiavi esistenti (create prima del 1° febbraio 2024). | |
Tutte le nuove chiavi create senza una durata pianificata per l'eliminazione personalizzata utilizzano la nuova durata predefinita di 30 giorni. | |
Se non intraprendi alcuna azione entro questa data, le chiavi esistenti per le quali non è specificato alcun valore di durata pianificata per l'eliminazione personalizzata verranno aggiornate in modo da utilizzare il nuovo valore predefinito di 30 giorni. |
Azioni richieste
Dall'elenco seguente, scegli le azioni più adatte alle tue esigenze:
Per accettare la nuova durata pianificata di eliminazione predefinita di 30 giorni per le chiavi esistenti che utilizzano il valore predefinito precedente di 1 giorno, non è richiesta alcuna azione da parte tua. Le chiavi esistenti con una durata pianificata per l'eliminazione di 1 giorno verranno aggiornate automaticamente a 30 giorni. L'inizio di questa migrazione è pianificato per il 1° maggio 2024 e dovrebbe essere completata entro due settimane da questa data.
Per accettare la nuova durata pianificata per l'eliminazione predefinita di 30 giorni per le nuove chiavi, non è richiesta alcuna azione da parte tua. Le nuove chiavi senza una durata pianificata per l'eliminazione personalizzata verranno create utilizzando il valore predefinito di 30 giorni. Puoi ignorare il banner nella console Google Cloud.
Per mantenere la durata pianificata di eliminazione precedente di 1 giorno per le chiavi esistenti (create prima del 1° febbraio 2024), disattiva l'aggiornamento della durata pianificata per l'eliminazione predefinita. Per istruzioni dettagliate, consulta la sezione Disattivare l'aggiornamento delle chiavi esistenti in questa pagina.
Per conservare la durata pianificata di eliminazione precedente di 1 giorno per le nuove chiavi, specifica 1 giorno come creazione pianificata per l'eliminazione durante la creazione della chiave. Imposta la durata pianificata dell'eliminazione per tutte le chiavi create a partire dal 1° febbraio 2024. Per istruzioni dettagliate, vedi Impostare la durata dello stato "pianificata per l'eliminazione".
Disattiva l'aggiornamento delle chiavi esistenti
Per mantenere il valore predefinito precedente per le chiavi esistenti, puoi disattivare il tuo progetto tramite la console Google Cloud o gcloud CLI entro il 1° maggio 2024.
- Concedi a te la nuova autorizzazione IAM
cloudkms.locations.optOutKeyDeletionMsa
. Tieni presente che questa autorizzazione fa anche parte del ruolo IAMcloudkms.admin
esistente. Disattivala utilizzando uno di questi metodi:
Utilizza il banner nella pagina Gestione delle chiavi della console Google Cloud.
Esegui il comando
kms key-deletion-opt-out
per disattivare singoli progetti:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID del progetto.Utilizza uno script bash per eseguire il comando
kms key-deletion-opt-out
su tutti i progetti della tua organizzazione:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done
Sostituisci
ORGANIZATION_ID
con l'ID della tua organizzazione.
Annulla la disattivazione dell'aggiornamento delle chiavi esistenti
Se la disattivi per errore, puoi riattivarla solo utilizzando gcloud CLI, aggiungendo il flag --undo
alla fine del comando. Ad esempio, per un singolo progetto, utilizza il comando seguente per annullare l'opt out:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Novità
- Scopri di più modi per controllare l'eliminazione delle chiavi utilizzando i criteri dell'organizzazione.