Seperti yang diumumkan baru-baru ini, Cloud Key Management Service (Cloud KMS) mengubah nilai default untuk jangka waktu kunci tetap berada dalam status DESTROY_SCHEDULED
sebelum dihancurkan dari 1 hari menjadi 30 hari. Halaman ini memberikan informasi tambahan
tentang perubahan ini dan cara Anda dapat menindaklanjutinya berdasarkan kebutuhan.
Ringkasan
Saat Anda mengirimkan permintaan pemusnahan untuk versi kunci, state menjadi DESTROY_SCHEDULED
. Selama periode
penghapusan sementara tersebut, Anda dapat membatalkan permintaan pemusnahan dengan
memulihkan versi kunci. Setelah durasi pemusnahan terjadwal yang dikonfigurasi milik kunci berlalu, status versi kunci menjadi DESTROYED
, dan materi kunci tidak dapat dipulihkan oleh pelanggan.
Cloud KMS mengubah nilai default untuk jangka waktu kunci tetap berada dalam status DESTROY_SCHEDULED
sebelum dihancurkan dari 1 hari hingga 30 hari.
Perubahan ini menanggapi masukan dari berbagai sumber yang menunjukkan kebutuhan akan durasi yang lebih lama. Nilai default baru akan membantu Anda mengetahui dan memulihkan kunci yang salah dihancurkan sebelum terlambat, sehingga mengurangi risiko keseluruhan penghapusan kunci yang tidak disengaja atau berbahaya.
Linimasa
Tanggal | Apa saja yang berubah? |
---|---|
Anda dapat menggunakan prosedur pilihan tidak ikut untuk mempertahankan durasi terjadwal default semua kunci yang ada (yang dibuat sebelum 1 Feb 2024). | |
Semua kunci baru yang dibuat tanpa durasi terjadwal pemusnahan kustom akan menggunakan durasi default 30 hari yang baru. | |
Jika Anda tidak melakukan tindakan hingga tanggal ini, kunci yang sudah ada tanpa nilai durasi terjadwal pemusnahan kustom yang ditentukan akan diperbarui untuk menggunakan nilai default 30 hari yang baru. |
Tindakan yang diperlukan
Pilih tindakan dari daftar berikut yang paling sesuai dengan kebutuhan Anda:
Untuk menerima jadwal hancurkan default baru selama 30 hari untuk kunci yang ada yang menggunakan nilai default sebelumnya, yaitu 1 hari, Anda tidak perlu melakukan tindakan apa pun. Kunci yang ada dengan durasi terjadwal pemusnahan 1 hari akan otomatis diperbarui menjadi 30 hari. Migrasi ini dijadwalkan untuk dimulai pada 1 Mei 2024; migrasi diperkirakan akan selesai dalam waktu dua minggu setelah tanggal tersebut.
Untuk menyetujui durasi terjadwal pemusnahan default baru selama 30 hari untuk kunci baru, Anda tidak perlu melakukan tindakan apa pun. Kunci baru tanpa durasi terjadwal pemusnahan kustom yang ditentukan akan dibuat menggunakan nilai default 30 hari. Anda dapat menutup banner di Konsol Google Cloud.
Untuk mempertahankan durasi terjadwal pemusnahan sebelumnya sebesar 1 hari untuk kunci yang ada (dibuat sebelum 1 Februari 2024), pilih untuk tidak memperbarui durasi terjadwal pemusnahan default. Untuk petunjuk mendetail, lihat Memilih untuk tidak memperbarui kunci yang sudah ada di halaman ini.
Untuk mempertahankan durasi pemusnahan yang dijadwalkan sebelumnya, yaitu 1 hari untuk kunci baru, tentukan 1 hari sebagai waktu pembuatan terjadwal pemusnahan selama pembuatan kunci. Tetapkan durasi terjadwal pemusnahan untuk semua kunci yang dibuat pada atau setelah 1 Februari 2024. Untuk petunjuk mendetail, lihat Menetapkan durasi status 'dijadwalkan untuk penghancuran'.
Memilih untuk tidak memperbarui kunci yang sudah ada
Untuk mempertahankan versi default lama untuk kunci yang sudah ada, Anda dapat mengecualikan project Anda melalui Google Cloud Console atau gcloud CLI paling lambat 1 Mei 2024.
- Beri diri Anda izin IAM
cloudkms.locations.optOutKeyDeletionMsa
baru. Perlu diketahui bahwa izin ini juga merupakan bagian dari peran IAMcloudkms.admin
yang ada. Pilih tidak ikut, menggunakan salah satu metode berikut:
Gunakan banner di halaman Key Management di Konsol Google Cloud.
Jalankan perintah
kms key-deletion-opt-out
untuk mengecualikan project tertentu:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
Ganti
PROJECT_ID
dengan ID project.Gunakan skrip bash untuk menjalankan perintah
kms key-deletion-opt-out
pada semua project di organisasi Anda:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done
Ganti
ORGANIZATION_ID
dengan ID organisasi Anda.
Urungkan memilih untuk tidak memperbarui kunci yang ada
Jika tidak sengaja memilih tidak ikut, Anda hanya dapat memilih untuk menggunakannya kembali menggunakan gcloud CLI, dengan menambahkan flag --undo
di akhir perintah. Misalnya, untuk satu project, gunakan perintah berikut untuk mengurungkan
pilihan tidak ikut:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Yang baru
- Pelajari lebih lanjut cara Mengontrol penghancuran kunci menggunakan kebijakan organisasi.