Rota claves

Una clave puede tener un programa de rotación que determina si esta se rota automáticamente y cuándo puede hacerlo.

A fin de rotar una clave automáticamente mediante la configuración de un período de rotación (Actualiza una clave) o de forma manual (Crea una versión de clave nueva), un usuario necesita la función de IAM roles/cloudkms.admin, roles/owner o roles/editor.

Después de rotar una clave, sus versiones de clave anteriores (que ya no son las primarias) no están inhabilitadas ni destruidas, y permanecen disponibles para desencriptar datos.

Rotación automática: cómo configurar el período de rotación de una clave

Para habilitar la rotación automática de una clave, configura el programa de rotación con la siguiente sintaxis de línea de comandos de gcloud:

Línea de comandos

gcloud kms keys update KEY_NAME \
  --location LOCATION \
  --keyring KEYRING_NAME \
  --rotation-period ROTATION_PERIOD \
  --next-rotation-time NEXT_ROTATION_TIME

Windows cmd.exe

gcloud kms keys update KEY_NAME ^
  --location LOCATION ^
  --keyring KEYRING_NAME ^
  --rotation-period ROTATION_PERIOD ^
  --next-rotation-time NEXT_ROTATION_TIME

PowerShell

gcloud kms keys update KEY_NAME `
  --location LOCATION `
  --keyring KEYRING_NAME `
  --rotation-period ROTATION_PERIOD `
  --next-rotation-time NEXT_ROTATION_TIME

Sintaxis del programa de rotación

El formato para el programa de rotación depende de la biblioteca cliente que se use. Para la herramienta de línea de comandos de gcloud las próximas fecha y hora de rotación deben estar en formato ISO o formato RFC 3339, y el período de rotación debe estar en el formato INTEGER[UNIT], en el que las unidades pueden ser de segundos (s), minutos (m), horas (h) o días (d). Por ejemplo, un programa de rotación válido para usarlo con el comando de gcloud podría ser el siguiente:

--rotation-period=30d
--next-rotation-time=2016-10-12T12:34:56.1234Z

Crea una clave con un programa de rotación

Para crear una clave nueva en el llavero de claves, usa lo siguiente:

Línea de comandos

gcloud kms keys create KEY_NAME \
  --location LOCATION \
  --keyring KEYRING_NAME \
  --purpose ENCRYPTION \
  --rotation-period ROTATION_PERIOD \
  --next-rotation-time NEXT_ROTATION_TIME

Windows cmd.exe

gcloud kms keys create KEY_NAME ^
  --location LOCATION ^
  --keyring KEYRING_NAME ^
  --purpose ENCRYPTION ^
  --rotation-period ROTATION_PERIOD ^
  --next-rotation-time NEXT_ROTATION_TIME

PowerShell

gcloud kms keys create KEY_NAME `
  --location LOCATION `
  --keyring KEYRING_NAME `
  --purpose ENCRYPTION `
  --rotation-period ROTATION_PERIOD `
  --next-rotation-time NEXT_ROTATION_TIME

Cuando el comando use los siguientes parámetros: una clave KEY_NAME nueva para el llavero de claves KEYRING_NAME con el programa de rotación que definen ROTATION_PERIOD y NEXT_ROTATION_TIME.

Rotación manual: genera una versión de clave nueva

Para crear una versión de clave nueva y hacer que esta sea la primaria con gcloud, de la clave KEY_NAME del llavero de claves KEYRING_NAME, ejecuta los siguientes comandos:

Línea de comandos

gcloud kms keys versions create --location LOCATION \
  --keyring KEYRING_NAME \
  --key KEY_NAME --primary

Windows cmd.exe

gcloud kms keys versions create --location LOCATION ^
  --keyring KEYRING_NAME ^
  --key KEY_NAME --primary

PowerShell

gcloud kms keys versions create --location LOCATION `
  --keyring KEYRING_NAME `
  --key KEY_NAME --primary

Esta acción equivale a si crearas una versión de clave nueva que no es la primaria y, luego, la convirtieras en la versión primaria. Esto requeriría que supieras el número de versión VERSION_ID de la clave de versión recién creada. Esto equivale a los siguientes comandos de gcloud:

Línea de comandos

gcloud kms keys versions create \
  --location LOCATION \
  --keyring KEYRING_NAME \
  --key KEY_NAME
gcloud kms keys update KEY_NAME \
  --primary-version VERSION_ID \
  --location LOCATION \
  --keyring KEYRING_NAME

Windows cmd.exe

gcloud kms keys versions create ^
  --location LOCATION ^
  --keyring KEYRING_NAME ^
  --key KEY_NAME
gcloud kms keys update KEY_NAME ^
  --primary-version VERSION_ID ^
  --location LOCATION ^
  --keyring KEYRING_NAME

PowerShell

gcloud kms keys versions create `
  --location LOCATION `
  --keyring KEYRING_NAME `
  --key KEY_NAME
gcloud kms keys update KEY_NAME `
  --primary-version VERSION_ID `
  --location LOCATION `
  --keyring KEYRING_NAME

Inhabilita la rotación automática

Para inhabilitar la rotación automática, borra el programa de rotación de la clave con los siguientes comandos:

Línea de comandos

gcloud kms keys update KEY_NAME \
  --remove-rotation-schedule \
  --location LOCATION \
  --keyring KEYRING_NAME

Windows cmd.exe

gcloud kms keys update KEY_NAME ^
  --remove-rotation-schedule ^
  --location LOCATION ^
  --keyring KEYRING_NAME

PowerShell

gcloud kms keys update KEY_NAME `
  --remove-rotation-schedule `
  --location LOCATION `
  --keyring KEYRING_NAME

Configura una versión existente como la versión de clave primaria

Para hacer que la versión 42 (que está habilitada) sea la versión primaria de la clave dont-panic en el llavero de claves hitchhiker, ejecuta estos comandos:

Línea de comandos

gcloud kms keys update dont-panic \
  --primary-version 42 \
  --location global \
  --keyring hitchhiker

Windows cmd.exe

gcloud kms keys update dont-panic ^
  --primary-version 42 ^
  --location global ^
  --keyring hitchhiker

PowerShell

gcloud kms keys update dont-panic `
  --set-=primary-version 42 `
  --location global `
  --keyring hitchhiker

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...