Comme annoncé récemment, Cloud Key Management Service (Cloud KMS) modifie la valeur par défaut pour la durée pendant laquelle une clé reste à l'état DESTROY_SCHEDULED
avant d'être détruite, qui passe de 1 à 30 jours. Cette page fournit des informations supplémentaires sur cette modification et sur la manière dont vous pouvez agir en fonction de vos besoins.
Présentation
Lorsque vous envoyez une demande de destruction pour une version de clé, son state passe à DESTROY_SCHEDULED
. Au cours de cette période de suppression réversible, vous pouvez annuler la demande de destruction en restaurant la version de clé. Une fois la durée de destruction programmée définie pour la clé, l'état de la version de clé passe à DESTROYED
, et les clients ne peuvent plus récupérer le matériel de la clé.
Cloud KMS modifie la valeur par défaut correspondant à la durée pendant laquelle une clé reste à l'état DESTROY_SCHEDULED
avant d'être détruite (de 1 à 30 jours).
Cette modification tient compte des commentaires de diverses sources qui indiquaient le besoin d'une durée plus longue. La nouvelle valeur par défaut vous aidera à détecter et restaurer les clés détruites par erreur avant qu'il ne soit trop tard, ce qui réduit le risque global de suppression accidentelle ou malveillante de clés.
Chronologie
Date | Qu'est-ce qui change ? |
---|---|
Vous pouvez suivre la procédure de désactivation pour conserver la durée planifiée par défaut de toutes les clés existantes (créées avant le 1er février 2024). | |
Toutes les clés créées sans durée planifiée de destruction personnalisée utilisent la nouvelle durée par défaut de 30 jours. | |
Sans action de votre part d'ici cette date, les clés existantes pour lesquelles aucune valeur de durée de destruction planifiée personnalisée n'est spécifiée seront mises à jour pour utiliser la nouvelle valeur par défaut de 30 jours. |
Actions requises
Choisissez les actions qui répondent le mieux à vos besoins dans la liste suivante:
Pour accepter la nouvelle durée de destruction planifiée par défaut de 30 jours pour les clés existantes qui utilisent l'ancienne valeur par défaut (1 jour), aucune action n'est requise de votre part. Les clés existantes dont la durée de destruction planifiée est d'un jour seront automatiquement mises à jour et passeront à 30 jours. Le début de cette migration est prévu pour le 1er mai 2024. Elle devrait être terminée dans les deux semaines suivant cette date.
Si vous souhaitez accepter la nouvelle durée de destruction planifiée par défaut de 30 jours pour les nouvelles clés, aucune action n'est requise de votre part. Les clés pour lesquelles aucune durée de destruction planifiée personnalisée n'est spécifiée seront créées en utilisant la valeur par défaut de 30 jours. Vous pouvez ignorer la bannière dans la console Google Cloud.
Pour conserver la durée de destruction planifiée d'un jour précédente pour les clés existantes (créées avant le 1er février 2024), désactivez la mise à jour de la durée de destruction planifiée par défaut. Pour obtenir des instructions détaillées, consultez la section Désactiver la mise à jour des clés existantes sur cette page.
Pour conserver la durée de destruction planifiée précédente d'un jour pour les nouvelles clés, spécifiez un jour pour la création planifiée de destruction lors de la création de la clé. Définissez la durée de destruction planifiée de toutes les clés créées à partir du 1er février 2024. Pour obtenir des instructions détaillées, consultez Définir la durée de l'état "Destruction programmée".
Désactiver la mise à jour des clés existantes
Si vous souhaitez conserver l'ancienne valeur par défaut pour vos clés existantes, vous pouvez désactiver votre projet via la console Google Cloud ou la gcloud CLI d'ici le 1er mai 2024.
- Accordez-vous la nouvelle autorisation IAM
cloudkms.locations.optOutKeyDeletionMsa
. Notez que cette autorisation fait également partie du rôle IAMcloudkms.admin
existant. Désactivez-les en utilisant l'une des méthodes suivantes:
Utilisez la bannière de la page Gestion des clés de la console Google Cloud.
Exécutez la commande
kms key-deletion-opt-out
pour désactiver des projets individuels:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
Remplacez
PROJECT_ID
par l'ID du projet.Utilisez un script bash pour exécuter la commande
kms key-deletion-opt-out
sur tous les projets de votre organisation:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done
Remplacez
ORGANIZATION_ID
par l'ID de votre organisation.
Annuler la désactivation de la mise à jour des clés existantes
Si vous désactivez cette fonctionnalité par erreur, vous ne pouvez la réactiver qu'à l'aide de gcloud CLI, en ajoutant l'option --undo
à la fin de votre commande. Par exemple, pour un seul projet, exécutez la commande suivante pour annuler la désactivation:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
Nouveautés
- Découvrez d'autres façons de contrôler la destruction des clés à l'aide des règles d'administration.