Wie kürzlich angekündigt, ändert Cloud Key Management Service (Cloud KMS) den Standardwert für die Zeit, die ein Schlüssel im Status DESTROY_SCHEDULED verbleibt, bevor er gelöscht wird, von 1 Tag in 30 Tage. Auf dieser Seite finden Sie zusätzliche Informationen zu der Änderung und dazu, wie Sie je nach Ihren Anforderungen darauf reagieren können.
Überblick
Wenn Sie eine Anfrage zum Löschen einer Schlüsselversion senden, erhält sie den state DESTROY_SCHEDULED. Während dieses Zeitraums für das vorläufige Löschen können Sie die Anfrage zum Löschen abbrechen, indem Sie die Schlüsselversion wiederherstellen. Nachdem die konfigurierte Dauer des Löschens für den Schlüssel abgelaufen ist, ändert sich der Status der Schlüsselversion DESTROYED. Das Schlüsselmaterial kann dann von Kunden nicht wiederhergestellt werden.
Cloud KMS ändert den Standardwert für die Zeit, die ein Schlüssel im Status DESTROY_SCHEDULED verbleibt, bevor er gelöscht wird, von 1 Tag auf 30 Tage.
Mit dieser Änderung gehen wir auf Feedback aus verschiedenen Quellen ein, das auf eine längere Dauer hindeutete. Mit dem neuen Standardwert können Sie versehentlich gelöschte Schlüssel erkennen und wiederherstellen, bevor sie zu spät sind. Dadurch wird das Risiko eines versehentlichen oder böswilligen Löschens von Schlüsseln verringert.
Zeitplan
| Datum | Was ändert sich? |
|---|---|
| Mit dem Deaktivierungsverfahren können Sie die standardmäßige geplante Dauer aller vorhandenen Schlüssel, die vor dem 1. Februar 2024 erstellt wurden, unverändert lassen. | |
| Für alle neuen Schlüssel, die ohne eine benutzerdefinierte geplante Dauer für das Löschen erstellt werden, wird die neue Standarddauer von 30 Tagen verwendet. | |
| Wenn Sie bis zu diesem Datum keine Maßnahmen ergreifen, werden vorhandene Schlüssel, für die kein benutzerdefinierter Wert für die geplante Dauer für das Löschen angegeben ist, auf den neuen Standardwert von 30 Tagen aktualisiert. |
Erforderliche Aktionen
Wählen Sie aus der folgenden Liste die Aktionen aus, die Ihren Anforderungen am besten entsprechen:
Sie müssen keine Maßnahmen ergreifen, um die neue geplante Dauer für das geplante Löschen von 30 Tagen für vorhandene Schlüssel zu akzeptieren, die den vorherigen Standardwert von 1 Tag verwenden. Vorhandene Schlüssel mit einer geplanten Dauer von 1 Tag für das Löschen werden automatisch auf 30 Tage aktualisiert. Diese Migration beginnt planmäßig am 1. Mai 2024 und wird voraussichtlich innerhalb von zwei Wochen nach diesem Datum abgeschlossen sein.
Sie müssen keine Maßnahmen ergreifen, um die neue geplante Dauer für das Löschen neuer Schlüssel von 30 Tagen für neue Schlüssel zu akzeptieren. Neue Schlüssel, für die keine benutzerdefinierte geplante Dauer für das Löschen angegeben ist, werden mit dem Standardwert von 30 Tagen erstellt. Sie können das Banner in der Google Cloud Console schließen.
Wenn Sie die vorherige geplante Dauer des Löschens von 1 Tag für vorhandene Schlüssel beibehalten möchten (die vor dem 1. Februar 2024 erstellt wurden), deaktivieren Sie die Aktualisierung der standardmäßigen geplanten Dauer für das Löschen. Eine ausführliche Anleitung finden Sie auf dieser Seite unter Aktualisierung vorhandener Schlüssel deaktivieren.
Wenn Sie die vorherige geplante Dauer des Löschens von 1 Tag für neue Schlüssel beibehalten möchten, geben Sie bei der Schlüsselerstellung 1 Tag als geplantes Löschen an. Legen Sie die geplante Dauer des Löschens für alle Schlüssel fest, die am oder nach dem 1. Februar 2024 erstellt wurden. Eine ausführliche Anleitung finden Sie unter Dauer des Status „Zum Löschen vorgemerkt“ festlegen.
Aktualisieren vorhandener Schlüssel deaktivieren
Wenn Sie den alten Standardwert für Ihre vorhandenen Schlüssel beibehalten möchten, können Sie Ihr Projekt bis zum 1. Mai 2024 über die Google Cloud Console oder die gcloud CLI deaktivieren.
- Erteilen Sie sich selbst die neue IAM-Berechtigung
cloudkms.locations.optOutKeyDeletionMsa. Diese Berechtigung ist auch Teil der vorhandenen IAM-Rollecloudkms.admin. Deaktivieren Sie die Funktion mit einer der folgenden Methoden:
Verwenden Sie das Banner auf der Seite Schlüsselverwaltung in der Google Cloud Console.
Führen Sie den Befehl
kms key-deletion-opt-outaus, um einzelne Projekte zu deaktivieren:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_IDErsetzen Sie
PROJECT_IDdurch die ID des Projekts.Verwenden Sie ein Bash-Skript, um den Befehl
kms key-deletion-opt-outfür alle Projekte in Ihrer Organisation auszuführen:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) doneErsetzen Sie
ORGANIZATION_IDdurch die ID Ihrer Organisation.
Deaktivierung der Aktualisierung vorhandener Schlüssel rückgängig machen
Wenn Sie die automatische Migration versehentlich deaktivieren, können Sie sie nur über die gcloud CLI wieder aktivieren. Fügen Sie dazu das Flag --undo am Ende des Befehls hinzu. Verwenden Sie beispielsweise für ein einzelnes Projekt den folgenden Befehl, um die Deaktivierung rückgängig zu machen:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Das ist neu
- Weitere Informationen zum Steuern des Löschens von Schlüsseln mithilfe von Organisationsrichtlinien