Questa pagina mostra come ruotare automaticamente o manualmente una chiave. Per scoprire di più sulla rotazione delle chiavi in generale, consulta Rotazione della chiave.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per la rotazione delle chiavi, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla chiave:
-
Amministratore Cloud KMS (
roles/cloudkms.admin
) -
Ricripta i dati:
Autore crittografia/decriptazione CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per ruotare le chiavi. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per ruotare le chiavi sono necessarie le seguenti autorizzazioni:
-
Cambia la versione della chiave primaria:
cloudkms.cryptoKeys.update
-
Modifica o disabilita la rotazione automatica:
cloudkms.cryptoKeys.update
-
Crea nuova versione della chiave:
cloudkms.cryptoKeyVersions.create
-
Disabilita le versioni precedenti della chiave:
cloudkms.cryptoKeyVersions.update
-
Ricripta i dati:
-
cloudkms.cryptoKeyVersions.useToDecrypt
-
cloudkms.cryptoKeyVersions.useToEncrypt
-
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Un singolo utente con un ruolo personalizzato contenente tutte queste autorizzazioni può ruotare le chiavi e criptare nuovamente i dati autonomamente. Gli utenti con il ruolo Amministratore Cloud KMS e il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS possono collaborare per ruotare le chiavi e ricriptare i dati. Segui il principio del privilegio minimo quando assegni i ruoli. Per maggiori dettagli, consulta Autorizzazioni e ruoli.
Quando ruoti una chiave, i dati criptati con versioni precedenti della chiave non vengono criptati automaticamente. Per scoprire di più, consulta Decriptare e ricriptare l'istanza. La rotazione di una chiave non comporta la disattivazione o l'destroy automatica delle versioni esistenti della chiave.
Configura la rotazione automatica
Per configurare la rotazione automatica quando crei una nuova chiave:
Console
Quando utilizzi la console Google Cloud per creare una chiave, Cloud KMS imposta automaticamente il periodo di rotazione e la data/ora di rotazione successiva. Puoi scegliere di usare i valori predefiniti o specificare valori diversi.
Per specificare un periodo di rotazione e un'ora di inizio diversi, durante la creazione della chiave, ma prima di fare clic sul pulsante Crea:
Per Periodo di rotazione della chiave, seleziona un'opzione.
In A partire dal giorno, seleziona la data in cui vuoi che venga effettuata la prima rotazione automatica. Puoi lasciare il valore predefinito di A partire da per avviare la prima rotazione automatica di un periodo di rotazione della chiave a partire dalla creazione della chiave.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in corrispondenza del quale completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per creare una chiave, utilizza il metodo CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
PURPOSE
: lo scopo della chiave.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in corrispondenza del quale completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Per configurare la rotazione automatica su una chiave esistente:
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave per cui vuoi aggiungere una pianificazione della rotazione.
Fai clic sulla chiave a cui vuoi aggiungere una pianificazione di rotazione.
Nell'intestazione, fai clic su Modifica periodo di rotazione.
Nel prompt, scegli nuovi valori per i campi Periodo di rotazione e Inizio.
Nel messaggio, fai clic su Salva.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in corrispondenza del quale completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per aggiornare una chiave, utilizza il metodo CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Sostituisci quanto segue:
ROTATION_PERIOD
: l'intervallo di rotazione della chiave, ad esempio30d
per ruotare la chiave ogni 30 giorni. Il periodo di rotazione deve essere di almeno 1 giorno e al massimo 100 anni. Per ulteriori informazioni, consulta CryptoKey.rotationPeriod.NEXT_ROTATION_TIME
: il timestamp in corrispondenza del quale completare la prima rotazione, ad esempio"2023-01-01T01:02:03"
. Puoi omettere--next-rotation-time
per pianificare la prima rotazione per 7 giorni dall'esecuzione del comando. Per ulteriori informazioni, consulta CryptoKey.nextRotationTime.
Ruotare manualmente una chiave
Innanzitutto, crea una nuova versione della chiave:
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring che contiene la chiave per cui creerai una nuova versione della chiave.
Fai clic sulla chiave per cui creerai una nuova versione della chiave.
Nell'intestazione, fai clic su Ruota.
Nel messaggio di richiesta, fai clic su Ruota per confermare.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.
Le versioni delle chiavi sono numerate in sequenza.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per ruotare manualmente una chiave, crea prima una nuova versione della chiave chiamando il metodo CryptoKeyVersions.create.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Questo comando crea una nuova versione della chiave, ma non la imposta come versione primaria.
Per impostare la nuova versione della chiave come primaria, consulta Impostare una versione esistente come versione della chiave principale.
Se necessario, cripta nuovamente i dati criptati con la versione precedente della chiave.
Imposta una versione esistente come versione della chiave primaria
Per impostare una versione diversa della chiave come versione primaria di una chiave, aggiorna la chiave con le informazioni sulla nuova versione primaria. Una versione della chiave deve essere abilitata prima di poterla configurare come versione primaria.
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring contenente la chiave di cui vuoi aggiornare la versione primaria.
Fai clic sulla chiave di cui vuoi aggiornare la versione primaria.
Nella riga corrispondente alla versione della chiave che vuoi impostare come principale, fai clic su Mostra altro
.Fai clic su Imposta come versione principale nel menu.
Nella finestra di conferma, fai clic su Imposta come principale.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary-version KEY_VERSION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.- KEY_VERSION: il numero della nuova versione della chiave primaria.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Cambia la versione della chiave primaria chiamando il metodo CryptoKey.updatePrimaryVersion.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME:updatePrimaryVersion" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"cryptoKeyVersionId": "KEY_VERSION"}'
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene il keyring.LOCATION
: la località Cloud KMS del keyring.KEY_RING
: il nome del keyring che contiene la chiave.KEY_NAME
: il nome della chiave.- KEY_VERSION: il numero della nuova versione della chiave primaria.
Quando modifichi la versione della chiave primaria, la modifica in genere diventa coerente entro 1 minuto. Tuttavia, in casi eccezionali la propagazione di questa modifica può richiedere fino a 3 ore. Durante questo periodo, per criptare i dati potrebbe essere utilizzata la versione primaria precedente. Per ulteriori informazioni, consulta Coerenza delle risorse di Cloud KMS.
Disattiva la rotazione automatica
Per disattivare la rotazione automatica di una chiave, cancella la pianificazione della rotazione della chiave:
Console
Vai alla pagina Gestione delle chiavi nella console Google Cloud.
Fai clic sul nome del keyring contenente la chiave per cui vuoi rimuovere la pianificazione della rotazione.
Fai clic sulla chiave da cui vuoi rimuovere la pianificazione della rotazione.
Nell'intestazione, fai clic su Modifica periodo di rotazione.
Nel messaggio, fai clic sul campo Periodo di rotazione e seleziona Mai (rotazione manuale).
Nel messaggio, fai clic su Salva.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --remove-rotation-schedule
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
C#
Per eseguire questo codice, prima configura un ambiente di sviluppo C# e installa l'SDK C# di Cloud KMS.
Go
Per eseguire questo codice, prima configura un ambiente di sviluppo Go e installa l'SDK Cloud KMS Go.
Java
Per eseguire questo codice, prima configura un ambiente di sviluppo Java e installa l'SDK Java di Cloud KMS.
Node.js
Per eseguire questo codice, prima configura un ambiente di sviluppo Node.js e installa l'SDK Node.js di Cloud KMS.
PHP
Per eseguire questo codice, scopri innanzitutto come utilizzare PHP su Google Cloud e installare l'SDK PHP di Cloud KMS.
Ruby
Per eseguire questo codice, devi prima configurare un ambiente di sviluppo Ruby e poi installare l'SDK Ruby di Cloud KMS.
Python
Per eseguire questo codice, prima configura un ambiente di sviluppo Python e installa l'SDK Python di Cloud KMS.
API
In questi esempi viene utilizzato curl come client HTTP per dimostrare l'utilizzo dell'API. Per maggiori informazioni sul controllo dell'accesso, consulta Accesso all'API Cloud KMS.
Per aggiornare una chiave, utilizza il metodo CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": null, "nextRotationTime": null}'
Per maggiori dettagli su rotationPeriod
e nextRotationTime
, consulta
keyRings.cryptoKeys
.
Ruotare una chiave esterna
Ruotare una chiave esterna coordinata
Puoi configurare la rotazione automatica per le chiavi esterne coordinate simmetriche. Puoi anche creare manualmente una nuova versione della chiave per le chiavi esterne simmetriche o asimmetriche.
La rotazione o la creazione di una nuova versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con la nuova versione. I dati protetti con una versione della chiave precedente non vengono criptati nuovamente. Di conseguenza, il gestore di chiavi esterno deve continuare a rendere disponibile per l'utilizzo il materiale della chiave della versione precedente della chiave.
Per creare una nuova versione della chiave per una chiave esterna coordinata, completa i seguenti passaggi:
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Seleziona il keyring, quindi seleziona la chiave.
Fai clic su Crea versione. Un messaggio indica che la nuova versione della chiave verrà generata sia in Cloud KMS che nel tuo EKM. Se vedi un campo Percorso chiave o URI chiave, la chiave selezionata non è una chiave esterna coordinata.
Per confermare di voler creare una nuova versione della chiave, fai clic su Crea versione.
La nuova versione della chiave viene visualizzata con lo stato In attesa di generazione. Per le chiavi simmetriche, le versioni delle chiavi create manualmente non vengono impostate automaticamente come versione della chiave primaria. Puoi impostare la nuova versione della chiave come principale.
Interfaccia a riga di comando gcloud
Per creare una nuova versione della chiave simmetrica e impostarla come versione della chiave primaria, utilizza il comando kms keys versions create
con il flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.
Per creare una nuova versione della chiave asimmetrica o una nuova versione della chiave simmetrica diversa da quella della chiave primaria, utilizza il comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.
Ruota un Cloud EKM gestito manualmente tramite chiave VPC
Innanzitutto, ruota il materiale della chiave esterna nel gestore di chiavi esterno. Se ciò determina un nuovo percorso della chiave, devi ruotare o creare una nuova versione della chiave Cloud EKM con il nuovo percorso della chiave. Per le chiavi di crittografia simmetriche, ruota la chiave Cloud EKM e specifica il nuovo percorso della chiave dal gestore di chiavi esterno. Per le chiavi asimmetriche, crea una nuova versione della chiave e specifica il nuovo percorso della chiave.
La rotazione o la creazione di una nuova versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con la nuova versione. I dati protetti con una versione della chiave precedente non vengono criptati nuovamente. Di conseguenza, il gestore di chiavi esterno deve continuare a rendere disponibile per l'utilizzo il materiale della chiave della versione precedente della chiave.
Se il materiale della chiave nel sistema esterno di gestione delle chiavi del partner non cambia, ma il percorso della chiave cambia, puoi aggiornare il percorso esterno della chiave senza ruotare la chiave.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Seleziona il keyring, quindi seleziona la chiave.
Fai clic su Ruota la chiave.
In Percorso chiave, inserisci il percorso della chiave per la nuova versione.
Fai clic su Ruota la chiave per confermare.
gcloud
Per utilizzare Cloud KMS nella riga di comando, devi prima installare o eseguire l'upgrade alla versione più recente di Google Cloud CLI.
Per creare una nuova versione della chiave simmetrica e impostarla come versione della chiave primaria, utilizza il comando kms keys versions create
con il flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH \ --primary
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.EXTERNAL_KEY_PATH
: il percorso della nuova versione della chiave esterna.
Per creare una nuova versione della chiave asimmetrica o una nuova versione della chiave simmetrica diversa da quella della chiave primaria, utilizza il comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.EXTERNAL_KEY_PATH
: il percorso della nuova versione della chiave esterna.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Dopo aver creato correttamente la versione della chiave, puoi utilizzarla come qualsiasi altra versione della chiave Cloud KMS.
Ruota un Cloud EKM gestito manualmente tramite chiave internet
Innanzitutto, ruota il materiale della chiave esterna nel gestore di chiavi esterno. Se questo restituisce un nuovo URI, devi ruotare o creare una nuova versione della chiave Cloud EKM con il nuovo URI. Per le chiavi di crittografia simmetriche, ruota la chiave Cloud EKM e specifica il nuovo URI della chiave dal gestore di chiavi esterno. Per le chiavi asimmetriche, crea una nuova versione della chiave e specifica il nuovo URI della chiave.
La rotazione o la creazione di una nuova versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con la nuova versione. I dati protetti con una versione della chiave precedente non vengono criptati nuovamente. Di conseguenza, il gestore di chiavi esterno deve continuare a rendere disponibile per l'utilizzo il materiale della chiave della versione precedente della chiave.
Se il materiale della chiave nel sistema esterno di gestione delle chiavi del partner non cambia, ma l'URI cambia, puoi aggiornare l'URI esterno della chiave senza ruotare la chiave.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Seleziona il keyring, quindi seleziona la chiave.
Seleziona Ruota la chiave per le chiavi simmetriche o Crea versione per le chiavi asimmetriche.
Inserisci il nuovo URI della chiave, quindi seleziona Ruota chiave per le chiavi simmetriche o Crea versione per le chiavi asimmetriche.
La nuova versione della chiave diventa la versione primaria.
Interfaccia a riga di comando gcloud
Per creare una nuova versione della chiave simmetrica e impostarla come versione della chiave primaria, utilizza il comando kms keys versions create
con il flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI \ --primary
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.EXTERNAL_KEY_URI
: l'URI della chiave della nuova versione della chiave esterna.
Per creare una nuova versione della chiave asimmetrica o una nuova versione della chiave simmetrica diversa da quella della chiave primaria, utilizza il comando kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome del keyring che contiene la chiave.LOCATION
: la località Cloud KMS del keyring.EXTERNAL_KEY_URI
: l'URI della chiave della nuova versione della chiave esterna.