正如最近宣布的那样,Cloud Key Management Service (Cloud KMS) 将密钥在销毁之前保持 DESTROY_SCHEDULED 状态的时长默认值从 1 天更改为 30 天。本页将提供有关此次变更的更多信息,以及如何根据您的需求采取应对措施。
概览
在您提交某个密钥版本的销毁请求时,其state将变为 DESTROY_SCHEDULED。在此软删除期间,您可以通过恢复密钥版本来取消销毁请求。密钥配置的安排销毁时长过后,密钥版本的状态将变为 DESTROYED,并且客户无法恢复密钥材料。
Cloud KMS 将密钥在销毁前保持 DESTROY_SCHEDULED 状态的时长默认值从 1 天更改为 30 天。
这项变更解决了各种来源的反馈,这些反馈表明需要更长的持续时间。新的默认值有助于您发现错误销毁的密钥并及时恢复,从而降低意外删除或恶意删除密钥的总体风险。
时间表
| 日期 | 有何变化? |
|---|---|
| 您可以使用停用程序,让所有现有密钥(创建于 2024 年 2 月 1 日之前)的默认安排时长保持不变。 | |
| 创建时没有自定义安排销毁时长的所有新密钥都将使用新的 30 天默认时长。 | |
| 如果您在此日期之前未采取任何措施,则未指定自定义销毁计划时长值的现有密钥将更新为使用新的 30 天默认值。 |
所需操作
从以下列表中选择最符合您需求的操作:
若要为使用先前的默认值 1 天的现有密钥接受新的默认销毁安排时长(30 天),您无需执行任何操作。安排销毁时长为 1 天的现有密钥将自动更新为 30 天。此次迁移计划于 2024 年 5 月 1 日开始,预计在此日期后的两周内完成。
若要接受新密钥的默认销毁安排时长(30 天),您无需执行任何操作。系统将使用默认值(30 天)创建未指定自定义销毁安排时长的新密钥。您可以在 Google Cloud 控制台中关闭横幅。
如需为现有密钥保留之前安排的 1 天销毁时长(2024 年 2 月 1 日之前创建),请选择不更新默认的销毁安排时长。如需了解详细说明,请参阅本页面中的选择不更新现有密钥。
如需为新密钥保留之前安排的销毁时长(1 天),请在创建密钥期间将安排的销毁时间指定为 1 天。 为 2024 年 2 月 1 日或之后创建的所有密钥设置安排销毁时长。如需了解详细说明,请参阅设置“已安排销毁”状态的持续时间。
选择不更新现有密钥
如需保留现有密钥的旧默认设置,您可以在 2024 年 5 月 1 日之前通过 Google Cloud 控制台或 gcloud CLI 为您的项目停用该功能。
- 为您自己授予新的
cloudkms.locations.optOutKeyDeletionMsaIAM 权限。请注意,此权限也是现有cloudkms.adminIAM 角色的一部分。 您可以使用以下任一方法停用该功能:
使用 Google Cloud 控制台中密钥管理页面上的横幅。
运行
kms key-deletion-opt-out命令以停用各个项目:gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID将
PROJECT_ID替换为相应项目的 ID。使用 bash 脚本对组织中的所有项目运行
kms key-deletion-opt-out命令:#!/bin/bash for project_id in $( gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --query="name://cloudresourcemanager.googleapis.com/projects" \ --read-mask=project \ | awk '{ print $2 }' | sed '/^$/d' ); do $(gcloud alpha kms key-deletion-opt-out --project=$project_id) done将
ORGANIZATION_ID替换为您的组织的 ID。
撤消选择不更新现有密钥
如果您不小心选择停用,只能使用 gcloud CLI 并在命令末尾添加 --undo 标志来重新启用。例如,对于单个项目,可使用以下命令撤消停用操作:
gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo
最新资讯
- 详细了解如何使用组织政策控制密钥销毁。