La versión de clave tiene un estado:
Generación pendiente (
PENDING_GENERATION
): (Solo aplica a las claves asimétricas) Esta versión de clave aún se está generando. Todavía no se puede usar, habilitar, inhabilitar ni destruir. Cloud Key Management Service cambiará automáticamente el estado a habilitado en cuanto esté lista la versión.Importación pendiente (
PENDING_IMPORT
): (Solo aplica a las claves importadas). Esta versión de clave aún se está importando. Todavía no se puede usar, habilitar, inhabilitar ni destruir. Cloud Key Management Service cambiará automáticamente el estado a habilitado en cuanto esté lista la versión.Habilitado (
ENABLED
): La versión de clave está lista para usarse.Inhabilitado (
DISABLED
): Esta versión de clave no se puede usar, pero el material de clave aún está disponible y la versión se puede volver a habilitar.Programado para su destrucción(
DESTROY_SCHEDULED
): Esta versión de clave está programada para su destrucción próximamente. Mientras una versión de clave esté en este estado, no se puede usar para operaciones criptográficas, y las solicitudes para usar la clave fallan. La versión de clave se puede restablecer en el estado inhabilitado durante el período de destrucción programado. Este estado corresponde a la etapa 2: eliminación de forma no definitiva en la canalización de eliminación de datos.Destruido (
DESTROYED
): esta versión de clave está destruida y el material de clave ya no se almacena en Cloud KMS. Si la versión de clave se usó para la encriptación asimétrica o simétrica, no se puede recuperar ningún texto cifrado encriptado con esta versión. Si la versión de clave se usó para la firma digital, no se pueden crear firmas nuevas. Además, en el caso de todas las versiones de clave asimétricas, la clave pública ya no está disponible para su descarga. Una vez que una versión de clave ingresa en este estado, la acción es irreversible. Este estado corresponde a la etapa 3: Eliminación lógica de los sistemas activos en la canalización de eliminación de datos, lo que significa que el material de la clave se borra de todos los sistemas activos de Cloud KMS. El material clave tarda 45 días a partir del tiempo de destrucción en borrarse de todos los sistemas activos y de copia de seguridad de Google. Consulta el cronograma de eliminación de Cloud KMS para obtener más información.Importación con errores (
IMPORT_FAILED
): Esta versión de clave no se pudo importar. Consulta Solución de problemas de importaciones con errores para obtener información adicional sobre las condiciones que causan fallas de importación.
Cambia los estados de una versión de clave
A continuación, se describe cómo una versión de claves cambia de estados:
Cuando se crea una versión de clave de una clave asimétrica, inicia con un estado de generación pendiente. Cuando Cloud KMS termina de generar la versión de la clave, el estado se cambia automáticamente a habilitado.
Cuando se crea una versión de clave para una clave simétrica, inicia con un estado de habilitado.
Una versión de clave puede pasar de habilitado a inhabilitado, y de inhabilitado a habilitado con
UpdateCryptoKeyVersion
y las interfaces para este método. Por ejemplo, consulta Habilita e inhabilita versiones de clave.Una versión de clave que se habilita o inhabilita puede pasar al estado programado para su destrucción con
DestroyCryptoKeyVersion
y las interfaces para este método. Por ejemplo, consulta Programa una versión de clave para su destrucción.Una versión de clave que está programada para su destrucción puede regresar al estado inhabilitado con
RestoreCryptoKeyVersion
y las interfaces para este método. Por ejemplo, consulta Restablece una versión de clave.
En el siguiente diagrama se muestran los estados permitidos para una versión de clave.
Ten en cuenta que solo las versiones de clave para claves asimétricas inician en el estado generación pendiente. Las versiones de clave para claves simétricas inician en el estado habilitado.
Impacto del estado de la versión de clave en las operaciones criptográficas
El impacto del estado de la versión de clave en las operaciones criptográficas depende de si la clave se usa para alguna de las siguientes opciones:
- Encriptación simétrica
- Encriptación asimétrica o firma digital
Encriptación simétrica
Cada clave de encriptación simétrica cuenta con una versión primaria designada que se usa en ese momento para encriptar datos. A fin de que una clave esté disponible para encriptar datos, esta necesita tener una versión de clave primaria que esté habilitada.
Cuando se usa una clave para encriptar texto sin formato, su versión de clave primaria se usa a fin de encriptar esos datos. La información en cuanto a cuál versión se usó para encriptar datos se almacena en el cifrado de los datos. Solo una versión de la clave puede ser la primaria en un momento dado.
Si la versión de clave primaria está inhabilitada, esa versión de clave no se puede usar para encriptar datos. Ten en cuenta que una versión clave primaria habilitada puede inhabilitarse, programarse para su destrucción o destruirse, y una versión que no está habilitada puede convertirse en la versión primaria.
Cualquiera que sea la versión de clave primaria, esta no tiene ningún impacto en la capacidad para desencriptar datos. Una versión de clave se puede usar para desencriptar datos mientras esté habilitada.
Encriptación asimétrica o firma digital
Cada vez que se usa una clave simétrica para la encriptación o la firma digital, se debe especificar una versión de clave. A fin de que una versión de clave esté disponible para la encriptación asimétrica o la firma digital, esta debe estar habilitada. Puedes recuperar la clave pública de una versión de clave solo si esta última está habilitada.
Duración variable del estado programada para su destrucción
De forma predeterminada, las claves en Cloud KMS pasan 30 días en estado Programado para su destrucción (Borrar de forma no definitiva) antes de que el material de la clave se borre de forma lógica del sistema. Esta duración se puede configurar con las siguientes advertencias:
- La duración solo se puede configurar durante la creación de la clave.
- Una vez especificada, la duración de la clave no se puede cambiar.
- La duración se aplica a todas las versiones de la clave creadas en el futuro.
- La duración mínima es de 24 horas para todas las claves, excepto para las claves de solo importación, que tienen una duración mínima de 0.
- La duración máxima es de 120 días.
El valor se configura con el campo destroy_scheduled_duration
de la CryptoKey en CreateCryptoKeyRequest
.
Te recomendamos que uses la duración predeterminada de 30 días para todas las claves, a menos que tengas requisitos normativos o de aplicación específicos que requieran un valor diferente.