Stati della versione della chiave

Una versione della chiave ha uno state:

  • In attesa di generazione (PENDING_GENERATION): (si applica solo alle chiavi asimmetriche). La versione della chiave è ancora in fase di generazione. Non può ancora essere utilizzato, abilitato, disabilitato o eliminato. Cloud Key Management Service cambierà automaticamente lo stato in Attivato non appena la versione sarà pronta.

  • Importazione in attesa (PENDING_IMPORT): (si applica solo alle chiavi importate.) La versione della chiave è ancora in fase di importazione. Non può ancora essere utilizzato, abilitato, disabilitato o eliminato. Cloud Key Management Service cambierà automaticamente lo stato in Attivato non appena la versione sarà pronta.

  • Abilitata (ENABLED): la versione della chiave è pronta per l'uso.

  • Disabilitata (DISABLED): questa versione della chiave potrebbe non essere utilizzata, ma il materiale della chiave è ancora disponibile e la versione può essere ripristinata allo stato Attivato.

  • Eliminazione pianificata (DESTROY_SCHEDULED): è stata pianificata l'eliminazione di questa versione della chiave e verrà eliminata a breve. Può essere ripristinato lo stato disattivato. Questo stato corrisponde alla Fase 2: eliminazione temporanea nella pipeline di eliminazione dei dati.

  • Eliminata (DESTROYED): questa versione della chiave è stata eliminata e il materiale della chiave non è più archiviato in Cloud KMS. Se la versione della chiave è stata utilizzata per la crittografia asimmetrica o simmetrica, qualsiasi testo crittografato con questa versione non è recuperabile. Se la versione della chiave è stata utilizzata per la firma digitale, non è possibile creare nuove firme. Inoltre, per tutte le versioni della chiave asimmetrica, la chiave pubblica non è più disponibile per il download. Una volta immessa, la versione della chiave non può lasciare lo stato eliminato. Questo stato corrisponde alla Fase 3: eliminazione logica dai sistemi attivi nella pipeline di eliminazione dei dati, il che significa che il materiale della chiave viene eliminato da tutti i sistemi Cloud KMS attivi. Occorrono 45 giorni dal momento dell'eliminazione prima che il materiale della chiave venga eliminato da tutti i sistemi attivi e di backup di Google. Per ulteriori informazioni, consulta Tempistiche di eliminazione di Cloud KMS.

  • Importazione non riuscita (IMPORT_FAILED): non è stato possibile importare questa versione della chiave. Per ulteriori informazioni sulle condizioni che causano errori di importazione, consulta Risoluzione dei problemi di importazione non riuscita.

Modifica degli stati di una versione della chiave

Di seguito viene descritto come la versione di una chiave può cambiare lo stato:

  • Quando viene creata una versione della chiave per una chiave asimmetrica, questo inizia con uno stato di generazione in attesa. Quando Cloud KMS termina di generare la versione della chiave, il suo stato diventa automaticamente abilitato.

  • Quando viene creata una versione della chiave per una chiave simmetrica, il valore inizia con lo stato "Abilitata".

  • La versione di una chiave può essere spostata da abilitata a disabilitata e da disabilitata ad abilitata utilizzando UpdateCryptoKeyVersion e si interfaccia a questo metodo. Ad esempio, consulta Abilitazione e disabilitazione delle versioni delle chiavi.

  • Una versione della chiave abilitata o disabilitata può essere spostata nella versione pianificata per l'eliminazione utilizzando DestroyCryptoKeyVersion e si interfaccia a questo metodo. Ad esempio, consulta Pianificare l'eliminazione di una versione della chiave.

  • Una versione della chiave di cui è pianificata l'eliminazione può essere ripristinata su disabilitata utilizzando RestoreCryptoKeyVersion e si interfaccia con questo metodo. Ad esempio, vedi Ripristinare la versione di una chiave.

Il seguente diagramma mostra gli stati consentiti per una versione della chiave.

Stati della versione della chiave

Tieni presente che solo le versioni della chiave per le chiavi asimmetriche iniziano in stato In attesa di generazione. Le versioni della chiave per le chiavi simmetriche iniziano nello stato Abilitato.

Impatto dello stato della versione della chiave sulle operazioni crittografiche

L'impatto dello stato della versione della chiave sulle operazioni crittografiche dipende dall'utilizzo o meno della chiave per:

  • Crittografia simmetrica
  • Crittografia asimmetrica o firma digitale

Crittografia simmetrica

Ogni chiave di crittografia simmetrica ha una versione principale designata che viene utilizzata in quel momento per criptare i dati. Affinché una chiave sia disponibile per l'utilizzo per criptare i dati, deve avere una versione della chiave primaria abilitata.

Quando si utilizza una chiave per criptare il testo non crittografato, la versione della chiave primaria viene utilizzata per criptare questi dati. Le informazioni sulla versione utilizzata per criptare i dati sono archiviate nel testo crittografato dei dati. Solo una versione di una chiave può essere primaria in un dato momento.

Se la versione della chiave primaria è disabilitata, quella della chiave non può essere utilizzata per criptare i dati. Tieni presente che una versione della chiave primaria abilitata può essere disabilitata, pianificata per l'eliminazione o eliminata; una versione non abilitata può essere impostata come versione primaria.

La versione della chiave primaria non influisce sulla capacità di decriptare i dati. Per decriptare i dati è possibile usare una versione della chiave, purché sia abilitata.

Crittografia asimmetrica o firma digitale

Ogni volta che viene utilizzata una chiave asimmetrica per la crittografia o la firma digitale, è necessario specificare una versione della chiave. Affinché la versione della chiave sia disponibile per la crittografia asimmetrica o la firma digitale, la versione della chiave deve essere abilitata. Puoi recuperare la chiave pubblica della versione della chiave solo se la versione della chiave è abilitata.

Durata variabile dello stato pianificata per l'eliminazione

Per impostazione predefinita, le chiavi in Cloud KMS rimangono nello stato Pianificata per l'eliminazione (eliminata temporaneamente) per 30 giorni prima che il materiale della chiave venga eliminato logicamente dal sistema. Questa durata può essere configurata, tenendo presente quanto segue:

  • La durata è configurabile solo durante la creazione della chiave.
  • Una volta specificata, la durata della chiave non può essere modificata.
  • La durata viene applicata a tutte le versioni della chiave creata in futuro.
  • La durata minima è di 24 ore per tutte le chiavi, ad eccezione delle chiavi di sola importazione che hanno una durata minima di 0.
  • La durata massima è di 120 giorni.

Il valore è configurato utilizzando il campo destroy_scheduled_duration della CryptoKey in CreateCryptoKeyRequest.

Ti consigliamo di utilizzare la durata predefinita di 30 giorni per tutte le chiavi, a meno che tu non abbia requisiti specifici dell'applicazione o normativi che richiedono un valore diverso.