Contrat-cadre sur le délai par défaut pour la destruction des clés

Comme annoncé récemment, Cloud Key Management Service (Cloud KMS) modifie la valeur par défaut pour la durée pendant laquelle une clé reste à l'état DESTROY_SCHEDULED avant d'être détruite, qui passe de 1 à 30 jours. Cette page fournit des informations supplémentaires sur cette modification et sur la manière dont vous pouvez agir en fonction de vos besoins.

Présentation

Lorsque vous envoyez une demande de destruction pour une version de clé, son state passe à DESTROY_SCHEDULED. Au cours de cette période de suppression réversible, vous pouvez annuler la demande de destruction en restaurant la version de clé. Une fois la durée de destruction programmée définie pour la clé, l'état de la version de clé passe à DESTROYED, et les clients ne peuvent plus récupérer le matériel de la clé.

Cloud KMS modifie la valeur par défaut correspondant à la durée pendant laquelle une clé reste à l'état DESTROY_SCHEDULED avant d'être détruite (de 1 à 30 jours).

Cette modification tient compte des commentaires de diverses sources qui indiquaient le besoin d'une durée plus longue. La nouvelle valeur par défaut vous aidera à détecter et restaurer les clés détruites par erreur avant qu'il ne soit trop tard, ce qui réduit le risque global de suppression accidentelle ou malveillante de clés.

Chronologie

Date	Qu'est-ce qui change ?
1er nov. 2023	Vous pouvez suivre la procédure de désactivation pour conserver la durée planifiée par défaut de toutes les clés existantes (créées avant le 1er février 2024).
1er févr. 2024	Toutes les clés créées sans durée planifiée de destruction personnalisée utilisent la nouvelle durée par défaut de 30 jours.
1er mai 2024	Sans action de votre part d'ici cette date, les clés existantes pour lesquelles aucune valeur de durée de destruction planifiée personnalisée n'est spécifiée seront mises à jour pour utiliser la nouvelle valeur par défaut de 30 jours.

Actions requises

Choisissez les actions qui répondent le mieux à vos besoins dans la liste suivante:

• Pour accepter la nouvelle durée de destruction planifiée par défaut de 30 jours pour les clés existantes qui utilisent l'ancienne valeur par défaut (1 jour), aucune action n'est requise de votre part. Les clés existantes dont la durée de destruction planifiée est d'un jour seront automatiquement mises à jour et passeront à 30 jours. Le début de cette migration est prévu pour le 1er mai 2024. Elle devrait être terminée dans les deux semaines suivant cette date.

• Si vous souhaitez accepter la nouvelle durée de destruction planifiée par défaut de 30 jours pour les nouvelles clés, aucune action n'est requise de votre part. Les clés pour lesquelles aucune durée de destruction planifiée personnalisée n'est spécifiée seront créées en utilisant la valeur par défaut de 30 jours. Vous pouvez ignorer la bannière dans la console Google Cloud.

• Pour conserver la durée de destruction planifiée d'un jour précédente pour les clés existantes (créées avant le 1er février 2024), désactivez la mise à jour de la durée de destruction planifiée par défaut. Pour obtenir des instructions détaillées, consultez la section Désactiver la mise à jour des clés existantes sur cette page.

• Pour conserver la durée de destruction planifiée précédente d'un jour pour les nouvelles clés, spécifiez un jour pour la création planifiée de destruction lors de la création de la clé. Définissez la durée de destruction planifiée de toutes les clés créées à partir du 1er février 2024. Pour obtenir des instructions détaillées, consultez Définir la durée de l'état "Destruction programmée".

Désactiver la mise à jour des clés existantes

Si vous souhaitez conserver l'ancienne valeur par défaut pour vos clés existantes, vous pouvez désactiver votre projet via la console Google Cloud ou la gcloud CLI d'ici le 1er mai 2024.

1. Accordez-vous la nouvelle autorisation IAM cloudkms.locations.optOutKeyDeletionMsa. Notez que cette autorisation fait également partie du rôle IAM cloudkms.admin existant.

2. Désactivez-les en utilisant l'une des méthodes suivantes:

   • Utilisez la bannière de la page Gestion des clés de la console Google Cloud.

   • Exécutez la commande kms key-deletion-opt-out pour désactiver des projets individuels:

     gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
     

     Remplacez PROJECT_ID par l'ID du projet.

   • Utilisez un script bash pour exécuter la commande kms key-deletion-opt-out sur tous les projets de votre organisation:

     #!/bin/bash
      for project_id in $(
          gcloud asset search-all-resources \
              --scope=organizations/ORGANIZATION_ID \
              --query="name://cloudresourcemanager.googleapis.com/projects" \
              --read-mask=project \
              | awk '{ print $2 }' | sed '/^$/d'
      ); do
          $(gcloud alpha kms key-deletion-opt-out --project=$project_id)
      done
     

     Remplacez ORGANIZATION_ID par l'ID de votre organisation.

Annuler la désactivation de la mise à jour des clés existantes

Si vous désactivez cette fonctionnalité par erreur, vous ne pouvez la réactiver qu'à l'aide de gcloud CLI, en ajoutant l'option --undo à la fin de votre commande. Par exemple, pour un seul projet, exécutez la commande suivante pour annuler la désactivation:

gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo

Nouveautés

• Découvrez d'autres façons de contrôler la destruction des clés à l'aide des règles d'administration.