Status versi kunci

Versi kunci memiliki state:

  • Pembuatan tertunda (PENDING_GENERATION): (Hanya berlaku untuk kunci asimetris.) Versi kunci ini masih dibuat. Atribut belum dapat digunakan, diaktifkan, dinonaktifkan, atau dihancurkan. Cloud Key Management Service akan otomatis mengubah status menjadi aktif segera setelah versi siap.

  • Impor tertunda (PENDING_IMPORT): (Hanya berlaku untuk kunci yang diimpor.) Versi kunci ini masih diimpor. Atribut belum dapat digunakan, diaktifkan, dinonaktifkan, atau dihancurkan. Cloud Key Management Service akan otomatis mengubah status menjadi aktif segera setelah versi siap.

  • Diaktifkan (ENABLED): Versi kunci siap digunakan.

  • Disabled (DISABLED): Versi kunci ini mungkin tidak digunakan, tetapi materi kunci masih tersedia, dan versi tersebut dapat ditempatkan kembali ke status diaktifkan.

  • Dijadwalkan untuk dihancurkan (DESTROY_SCHEDULED): Versi kunci ini dijadwalkan untuk dihancurkan, dan akan segera dihancurkan. Atribut ini dapat ditempatkan kembali ke status dinonaktifkan. Status ini sesuai dengan Tahap 2 - Penghapusan Sementara di pipeline penghapusan data.

  • Dihancurkan (DESTROYED): Versi kunci ini dihancurkan, dan materi kunci tersebut tidak lagi disimpan di Cloud KMS. Jika versi kunci digunakan untuk enkripsi asimetris atau simetris, teks apa pun yang dienkripsi dengan versi ini tidak dapat dipulihkan. Jika versi kunci digunakan untuk penandatanganan digital, tanda tangan baru tidak dapat dibuat. Selain itu, untuk semua versi kunci asimetris, kunci publik tidak lagi tersedia untuk didownload. Versi kunci tidak boleh meninggalkan status hancur setelah dimasukkan. Status ini sesuai dengan Tahap 3 - Penghapusan Logis dari Sistem Aktif dalam pipeline penghapusan data, yang berarti materi kunci dihapus dari semua sistem Cloud KMS yang aktif. Perlu waktu 45 hari sejak waktu pemusnahan agar materi kunci dihapus dari semua sistem aktif dan cadangan Google. Lihat linimasa penghapusan Cloud KMS untuk mengetahui informasi selengkapnya.

  • Impor gagal (IMPORT_FAILED): Versi kunci ini tidak dapat diimpor. Lihat Memecahkan masalah impor yang gagal untuk informasi tambahan tentang kondisi yang menyebabkan kegagalan impor.

Mengubah status versi kunci

Hal berikut menjelaskan cara versi kunci dapat mengubah status:

  • Saat versi kunci untuk kunci asimetris dibuat, versi tersebut dimulai dengan status pembuatan tertunda. Setelah Cloud KMS selesai membuat versi kunci, statusnya otomatis berubah menjadi aktif.

  • Saat versi kunci untuk kunci simetris dibuat, versi kunci tersebut dimulai dengan status diaktifkan.

  • Versi kunci dapat berpindah dari aktif ke nonaktif dan dari nonaktif ke aktif menggunakan UpdateCryptoKeyVersion dan antarmuka ke metode ini. Untuk contoh, baca Mengaktifkan dan menonaktifkan versi kunci.

  • Versi kunci yang diaktifkan atau dinonaktifkan dapat dipindahkan ke versi terjadwal untuk dihancurkan menggunakan DestroyCryptoKeyVersion dan antarmuka ke metode ini. Misalnya, lihat Menjadwalkan pemusnahan versi kunci.

  • Versi kunci yang dijadwalkan untuk dihapus dapat dikembalikan ke nonaktif menggunakan RestoreCryptoKeyVersion dan antarmuka ke metode ini. Misalnya, lihat Memulihkan versi kunci.

Diagram berikut menunjukkan status yang diizinkan untuk versi kunci.

Status versi kunci

Perlu diperhatikan bahwa hanya versi kunci untuk kunci asimetris yang dimulai dalam status pembuatan tertunda. Versi kunci untuk kunci simetris dimulai dalam status diaktifkan.

Dampak status versi kunci pada operasi kriptografi

Dampak status versi kunci pada operasi kriptografis bergantung pada apakah kunci tersebut digunakan untuk:

  • Enkripsi simetris
  • Enkripsi asimetris atau penandatanganan digital

Enkripsi simetris

Setiap kunci enkripsi simetris memiliki versi utama yang ditetapkan dan digunakan pada saat itu untuk mengenkripsi data. Agar kunci tersedia untuk digunakan mengenkripsi data, versi kunci utama harus diaktifkan.

Saat kunci digunakan untuk mengenkripsi teks biasa, versi kunci utamanya digunakan untuk mengenkripsi data tersebut. Informasi tentang versi yang digunakan untuk mengenkripsi data disimpan dalam teks tersandi data. Hanya satu versi kunci yang dapat menjadi kunci utama pada waktu tertentu.

Jika versi kunci utama dinonaktifkan, versi kunci tersebut tidak dapat digunakan untuk mengenkripsi data. Perhatikan bahwa versi kunci utama yang diaktifkan dapat dinonaktifkan, dijadwalkan untuk dimusnahkan atau dihancurkan, dan versi yang tidak diaktifkan dapat menjadi versi utama.

Versi kunci mana yang merupakan kunci utama tidak memengaruhi kemampuan untuk mendekripsi data. Versi kunci dapat digunakan untuk mendekripsi data selama versi tersebut diaktifkan.

Enkripsi asimetris atau penandatanganan digital

Setiap kali kunci asimetris digunakan untuk enkripsi atau penandatanganan digital, versi kunci harus ditentukan. Agar versi kunci tersedia untuk enkripsi asimetris atau penandatanganan digital, versi kunci harus diaktifkan. Anda dapat mengambil kunci publik versi kunci hanya jika versi kunci tersebut diaktifkan.

Durasi variabel dari status Dijadwalkan untuk dimusnahkan

Secara default, kunci di Cloud KMS menghabiskan 30 hari dalam status Dijadwalkan untuk penghancuran (dihapus untuk sementara) sebelum materi kunci dihapus secara logis dari sistem. Durasi ini dapat dikonfigurasi, dengan peringatan berikut:

  • Durasi hanya dapat dikonfigurasi selama pembuatan kunci.
  • Setelah ditentukan, durasi kunci tidak dapat diubah.
  • Durasi berlaku untuk semua versi kunci yang dibuat di masa mendatang.
  • Durasi minimum adalah 24 jam untuk semua kunci, kecuali untuk kunci khusus impor yang memiliki durasi minimum 0.
  • Durasi maksimum adalah 120 hari.

Nilai dikonfigurasi menggunakan kolom destroy_scheduled_duration pada CryptoKey di CreateCryptoKeyRequest.

Sebaiknya gunakan durasi default 30 hari untuk semua kunci kecuali jika Anda memiliki persyaratan peraturan atau aplikasi khusus yang memerlukan nilai berbeda.