Comme nous l'avons récemment annoncé, Cloud Key Management Service (Cloud KMS) modifie la valeur par défaut pendant la durée pendant laquelle une clé reste à l'état DESTROY_SCHEDULED avant d'être détruite, passant de 1 à 30 jours. Cette page fournit des informations supplémentaires sur cette modification et sur la façon dont vous pouvez agir en fonction de vos besoins.
Présentation
Lorsque vous envoyez une demande de destruction d'une version de clé, son state devient DESTROY_SCHEDULED. Au cours de cette période de suppression réversible, vous pouvez annuler la demande de destruction en restaurant la version de clé. Une fois que la durée configurée pour la destruction programmée de la clé est écoulée, l'état de la version de clé devient DESTROYED, et les clients ne peuvent pas récupérer le matériel de la clé.
Cloud KMS modifie la valeur par défaut pendant la durée pendant laquelle une clé reste à l'état DESTROY_SCHEDULED avant d'être détruite, passant de 1 à 30 jours.
Cette modification répond aux commentaires provenant de différentes sources qui ont indiqué la nécessité d'une durée plus longue. La nouvelle valeur par défaut vous aidera à détecter et à restaurer les clés détruites par erreur avant qu'il ne soit trop tard, réduisant ainsi le risque global de suppression accidentelle ou malveillante.
Chronologie
| Date | Qu'est-ce qui change ? |
|---|---|
| Vous pouvez suivre la procédure de désactivation pour conserver la durée planifiée par défaut de toutes les clés existantes (créées avant le 1er février 2024) inchangée. | |
| Toutes les clés créées sans durée de suppression planifiée personnalisée utilisent la nouvelle durée par défaut de 30 jours. | |
| En l'absence d'action de votre part d'ici cette date, les clés existantes pour lesquelles aucune valeur de durée de suppression planifiée personnalisée n'est spécifiée seront mises à jour pour utiliser la nouvelle valeur par défaut des 30 jours. |
Actions requises
Dans la liste suivante, sélectionnez les actions qui répondent le mieux à vos besoins:
Pour accepter la nouvelle durée de suppression planifiée par défaut de 30 jours pour les clés existantes qui utilisent la valeur par défaut précédente d'un jour, aucune action n'est requise de votre part. Les clés existantes avec une durée de suppression planifiée de 1 jour seront automatiquement mises à jour à 30 jours. Cette migration devrait commencer le 1er mai 2024 et se terminer à la mi-juin 2024.
Pour accepter la nouvelle durée de suppression planifiée par défaut de 30 jours pour les nouvelles clés, aucune action n'est requise de votre part. Les clés pour lesquelles aucune durée de suppression planifiée personnalisée n'est spécifiée seront créées avec la valeur par défaut de 30 jours. Vous pouvez l'ignorer dans la console Google Cloud.
Si vous souhaitez conserver la durée de suppression planifiée précédente d'un jour pour les clés existantes (créées avant le 1er février 2024), désactivez la mise à jour de la durée de suppression planifiée par défaut. Pour obtenir des instructions détaillées, consultez la section Désactiver la mise à jour des clés existantes sur cette page.
Si vous souhaitez conserver la durée précédente de destruction planifiée d'un jour pour les nouvelles clés, spécifiez 1 jour pour la suppression planifiée de vos créations lors de la création de la clé. Définissez la durée de suppression planifiée de toutes les clés créées à compter du 1er février 2024. Pour obtenir des instructions détaillées, consultez la section Définir la durée de l'état "Destruction programmée".
Désactiver la mise à jour des clés existantes
Pour conserver l'ancienne valeur par défaut pour vos clés existantes, vous pouvez désactiver votre projet via la console Google Cloud ou gcloud CLI d'ici le 1er mai 2024.
- Accordez-vous la nouvelle autorisation IAM
cloudkms.locations.optOutKeyDeletionMsa. Notez que cette autorisation fait également partie du rôle IAMcloudkms.adminexistant. Vous pouvez désactiver cette fonctionnalité en utilisant l'une des méthodes suivantes:
Utilisez la bannière de la page Gestion des clés de la console Google Cloud.
Exécutez la commande
kms key-deletion-opt-outpour désactiver des projets individuels:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_IDRemplacez
PROJECT_IDpar l'ID du projet.Utilisez un script bash pour exécuter la commande
kms key-deletion-opt-outsur tous les projets de votre organisation:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) doneRemplacez
ORGANIZATION_IDpar l'ID de votre organisation.
Annuler la désactivation de la mise à jour des clés existantes
Si vous désactivez la fonctionnalité par erreur, vous ne pouvez la réactiver qu'à l'aide de gcloud CLI, en ajoutant l'option --undo à la fin de votre commande. Par exemple, pour un seul projet, utilisez la commande suivante pour annuler la désactivation:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Nouveautés
- Découvrez d'autres façons de contrôler la destruction des clés à l'aide de règles d'administration.