En esta página, se muestra cómo rotar una clave de forma automática o manual. Para obtener más información sobre la rotación de claves en general, consulta Rotación de claves.
Funciones obligatorias
Si quieres obtener los permisos que necesitas para rotar las claves, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu clave:
-
Administrador de Cloud KMS (
roles/cloudkms.admin
) -
Volver a encriptar datos:
Encriptador o desencriptador de CryptoKey de Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter
)
Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.
Estos roles predefinidos contienen los permisos necesarios para rotar las claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para rotar las claves:
-
Cambia la versión de la clave primaria:
cloudkms.cryptoKeys.update
-
Cambia o inhabilita la rotación automática:
cloudkms.cryptoKeys.update
-
Crear versión de clave nueva:
cloudkms.cryptoKeyVersions.create
-
Inhabilita las versiones de claves anteriores:
cloudkms.cryptoKeyVersions.update
-
Vuelve a encriptar los datos:
-
cloudkms.cryptoKeyVersions.useToDecrypt
-
cloudkms.cryptoKeyVersions.useToEncrypt
-
Es posible que también puedas obtener estos permisos con funciones personalizadas o con otras funciones predefinidas.
Un solo usuario con una función personalizada que contenga todos estos permisos puede rotar las claves y volver a encriptar datos por su cuenta. Los usuarios con la función de administrador de Cloud KMS y de encriptador o desencriptador de CryptoKey de Cloud KMS pueden trabajar juntos para rotar las claves y volver a encriptar los datos. Sigue el principio de privilegio mínimo cuando asignes funciones. Para obtener más detalles, consulta Permisos y roles.
Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de manera automática. Para obtener más información, consulta desencriptar y volver a encriptar. La rotación de una clave no inhabilita ni destroy de forma automática ninguna versión de clave existente.
Cómo configurar la rotación automática
Para configurar la rotación automática cuando creas una clave nueva, haz lo siguiente:
Console
Cuando usas la consola de Google Cloud para crear una clave, Cloud KMS establece automáticamente el período de rotación y la próxima fecha de rotación. Puedes usar los valores predeterminados o especificar valores diferentes.
Para especificar un período de rotación y una hora de inicio diferentes, haz lo siguiente cuando creas la clave, pero antes de hacer clic en el botón Crear:
En Período de rotación de claves, selecciona una opción.
En A partir del, selecciona la fecha en la que deseas que ocurra la primera rotación automática. Puedes dejar A partir del en su valor predeterminado para iniciar la primera rotación automática, un período de rotación de claves desde el momento en que se crea la clave.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.ROTATION_PERIOD
: Es el intervalo para rotar la clave, por ejemplo,30d
para rotar la clave cada 30 días. El período de rotación debe ser de 1 día como mínimo y 100 años como máximo. Para obtener más información, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: Es la marca de tiempo en la que se completa la primera rotación, por ejemplo,"2023-01-01T01:02:03"
. Puedes omitir--next-rotation-time
para programar la primera rotación durante 7 días desde que ejecutas el comando. Para obtener más información, consulta CryptoKey.nextRotationTime.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para crear una clave, usa el método CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Reemplaza lo siguiente:
PURPOSE
: Es el propósito de la clave.ROTATION_PERIOD
: Es el intervalo para rotar la clave, por ejemplo,30d
para rotar la clave cada 30 días. El período de rotación debe ser de 1 día como mínimo y 100 años como máximo. Para obtener más información, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: Es la marca de tiempo en la que se completa la primera rotación, por ejemplo,"2023-01-01T01:02:03"
. Puedes omitir--next-rotation-time
para programar la primera rotación durante 7 días desde que ejecutas el comando. Para obtener más información, consulta CryptoKey.nextRotationTime.
Para configurar la rotación automática en una clave existente, haz lo siguiente:
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave para la que deseas agregar un programa de rotación.
Haz clic en la clave a la que deseas agregar un programa de rotación.
En el encabezado, haz clic en Editar período de rotación.
En el mensaje, elige valores nuevos para los campos Período de rotación y A partir de.
En la ventana, haz clic en Guardar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.ROTATION_PERIOD
: Es el intervalo para rotar la clave, por ejemplo,30d
para rotar la clave cada 30 días. El período de rotación debe ser de 1 día como mínimo y 100 años como máximo. Para obtener más información, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: Es la marca de tiempo en la que se completa la primera rotación, por ejemplo,"2023-01-01T01:02:03"
. Puedes omitir--next-rotation-time
para programar la primera rotación durante 7 días desde que ejecutas el comando. Para obtener más información, consulta CryptoKey.nextRotationTime.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para actualizar una clave, usa el método CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Reemplaza lo siguiente:
ROTATION_PERIOD
: Es el intervalo para rotar la clave, por ejemplo,30d
para rotar la clave cada 30 días. El período de rotación debe ser de 1 día como mínimo y 100 años como máximo. Para obtener más información, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: Es la marca de tiempo en la que se completa la primera rotación, por ejemplo,"2023-01-01T01:02:03"
. Puedes omitir--next-rotation-time
para programar la primera rotación durante 7 días desde que ejecutas el comando. Para obtener más información, consulta CryptoKey.nextRotationTime.
Rota una clave de forma manual
Primero, crea una versión de clave nueva:
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave para la que crearás una versión de clave nueva.
Haz clic en la clave para la que crearás una versión de clave nueva.
En el encabezado, haz clic en Rotar.
En el mensaje, haz clic en Rotar para confirmar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.
A las versiones de claves se les asigna un número de manera secuencial.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para rotar una clave de forma manual, primero crea una versión nueva mediante una llamada al método CryptoKeyVersions.create.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Este comando crea una versión de clave nueva, pero no la configura como la versión principal.
Para establecer tu versión de clave nueva como la primaria, consulta Configura una versión existente como la versión de clave primaria.
Si es necesario, vuelve a encriptar los datos que se encriptaron con la versión de clave anterior.
Configura una versión existente como la versión de clave primaria
A fin de establecer una versión de clave diferente como la versión principal de una clave, actualízala con la nueva información de la versión principal. Se debe habilitar una versión de clave antes de configurarla como la versión principal.
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión principal deseas actualizar.
Haz clic en la clave cuya versión principal deseas actualizar.
En la fila correspondiente a la versión de clave que deseas convertir en principal, haz clic en Ver más
.Haz clic en Crear versión principal en el menú.
En el mensaje de confirmación, haz clic en Convertir en principal.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary-version KEY_VERSION
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.- KEY_VERSION: Es el número de la versión de la clave primaria nueva.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para cambiar la versión de la clave primaria, llama al método CryptoKey.updatePrimaryVersion.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME:updatePrimaryVersion" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"cryptoKeyVersionId": "KEY_VERSION"}'
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto que contiene el llavero de claves.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.KEY_NAME
: el nombre de la clave.- KEY_VERSION: Es el número de la versión de la clave primaria nueva.
Cuando cambias la versión de la clave primaria, el cambio suele ser coherente en 1 minuto. Sin embargo, en casos excepcionales, este cambio puede tardar hasta 3 horas en propagarse. Durante este tiempo, es posible que la versión principal anterior se use para encriptar datos. Para obtener más información, consulta Coherencia de recursos de Cloud KMS.
Inhabilita la rotación automática
Para inhabilitar la rotación automática de una clave, borra el programa de rotación de la clave:
Console
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave para la que deseas quitar la programación de rotación.
Haz clic en la clave de la que deseas quitar el programa de rotación.
En el encabezado, haz clic en Editar período de rotación.
En el mensaje, haz clic en el campo Período de rotación y selecciona Nunca (rotación manual).
En la ventana, haz clic en Guardar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --remove-rotation-schedule
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Para actualizar una clave, usa el método CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": null, "nextRotationTime": null}'
Para obtener detalles adicionales sobre rotationPeriod
y nextRotationTime
, consulta keyRings.cryptoKeys
.
Rota una clave externa
Rota una clave externa coordinada
Puedes configurar la rotación automática para claves externas coordinadas simétricas. También puedes crear manualmente una nueva versión de la clave para claves externas coordinadas simétricas o asimétricas.
La rotación o creación de una versión de clave nueva hace que todos los datos recién creados protegidos con esa clave se encripten con la nueva versión de clave. Los datos protegidos con una versión de clave anterior no se vuelven a encriptar. Como resultado, el administrador de claves externo debe seguir haciendo que el material de claves de la versión de clave anterior esté disponible para su uso.
Para crear una versión de clave nueva de una clave externa coordinada, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Selecciona el llavero de claves y, luego, la clave.
Haz clic en Crear versión. Un mensaje indica que tu versión de clave nueva se generará tanto en Cloud KMS como en tu EKM. Si ves un campo Ruta de acceso de la clave o URI de la clave, significa que la clave seleccionada no es una clave externa coordinada.
Para confirmar que deseas crear una versión de clave nueva, haz clic en Crear versión.
La versión de clave nueva aparece con el estado Generación pendiente. En el caso de las claves simétricas, las versiones de claves creadas de forma manual no se configuran automáticamente como la versión de clave primaria. Puedes configurar tu versión de clave nueva como principal.
gcloud CLI
Para crear una nueva versión de clave simétrica y configurarla como la versión de clave primaria, usa el comando kms keys versions create
con la marca --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.
Para crear una versión de clave asimétrica nueva o una versión de clave simétrica nueva que no sea la versión de clave primaria, usa el comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.
Rota un Cloud EKM administrado de forma manual mediante una clave de VPC
Primero, rota el material de la clave externa en tu administrador de claves externo. Si eso da como resultado una ruta de acceso de clave nueva, debes rotar o crear una versión de clave de Cloud EKM nueva con la ruta de acceso de la clave nueva. En el caso de las claves de encriptación simétricas, rota la clave de Cloud EKM y especifica la ruta de la clave nueva desde el administrador de claves externo. En el caso de las claves asimétricas, crea una versión de clave nueva y especifica la ruta de acceso de la clave nueva.
La rotación o creación de una versión de clave nueva hace que todos los datos recién creados protegidos con esa clave se encripten con la nueva versión de clave. Los datos protegidos con una versión de clave anterior no se vuelven a encriptar. Como resultado, el administrador de claves externo debe seguir haciendo que el material de claves de la versión de clave anterior esté disponible para su uso.
Si el material de la clave en el sistema asociado de administración de claves externo no cambia, pero la ruta de la clave sí cambia, puedes actualizar la ruta externa de la clave sin rotarla.
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Selecciona el llavero de claves y, luego, la clave.
Haz clic en Rotar clave.
En Key path, ingresa la ruta de acceso de la clave para la versión nueva.
Haz clic en Rotar clave para confirmar.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
Para crear una nueva versión de clave simétrica y configurarla como la versión de clave primaria, usa el comando kms keys versions create
con la marca --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH \ --primary
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.EXTERNAL_KEY_PATH
: Es la ruta a la nueva versión de la clave externa.
Para crear una versión de clave asimétrica nueva o una versión de clave simétrica nueva que no sea la versión de clave primaria, usa el comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.EXTERNAL_KEY_PATH
: Es la ruta a la nueva versión de la clave externa.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
Una vez que la versión de clave se crea con éxito, puedes usarla como lo harías con cualquier otra versión de clave de Cloud KMS.
Rota un Cloud EKM administrado de forma manual mediante una clave de Internet
Primero, rota el material de la clave externa en tu administrador de claves externo. Si eso genera un URI nuevo, debes rotar o crear una versión de la clave de Cloud EKM nueva con el URI nuevo. En el caso de las claves de encriptación simétricas, rota la clave de Cloud EKM y especifica el URI de la clave nueva desde tu administrador de claves externo. En el caso de las claves asimétricas, crea una versión de clave nueva y especifica el URI de la clave nueva.
La rotación o creación de una versión de clave nueva hace que todos los datos recién creados protegidos con esa clave se encripten con la nueva versión de clave. Los datos protegidos con una versión de clave anterior no se vuelven a encriptar. Como resultado, el administrador de claves externo debe seguir haciendo que el material de claves de la versión de clave anterior esté disponible para su uso.
Si el material de claves del sistema asociado de administración de claves externo no cambia, pero el URI sí, puedes actualizar el URI externo de la clave sin rotar la clave.
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Selecciona el llavero de claves y, luego, la clave.
Selecciona Rotar clave para las claves simétricas o Crear versión para las claves asimétricas.
Ingresa el URI de la clave nueva y, luego, selecciona Rotar clave para las claves simétricas o Crear versión para las claves asimétricas.
La versión de clave nueva se convertirá en la versión principal.
gcloud CLI
Para crear una nueva versión de clave simétrica y configurarla como la versión de clave primaria, usa el comando kms keys versions create
con la marca --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI \ --primary
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.EXTERNAL_KEY_URI
: Es el URI de la clave de la versión de clave externa nueva.
Para crear una versión de clave asimétrica nueva o una versión de clave simétrica nueva que no sea la versión de clave primaria, usa el comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Reemplaza lo siguiente:
KEY_NAME
: el nombre de la clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.EXTERNAL_KEY_URI
: Es el URI de la clave de la versión de clave externa nueva.