Este tópico mostra como fazer a rotação de uma chave de maneira automática ou manual. Para mais informações sobre a rotação de chaves em geral, consulte Rotação de chaves.
A rotação de chaves requer o papel de Administrador do Cloud KMS (roles/cloudkms.admin).
Quando você faz a rotação de uma chave, os dados que foram criptografados com versões anteriores não são recriptografados automaticamente. Para saber mais, consulte descriptografar e recriptografar. Fazer a rotação de uma chave não desativa ou destrói automaticamente nenhuma versão de chave atual.
Como configurar a rotação automática
Para configurar a rotação automática ao criar uma nova chave:
IU da Web
Quando você usa o Console do Google Cloud para criar uma chave, se você não especificar seu próprio período de rotação e o próximo tempo de rotação, o Cloud KMS definirá o período de rotação da chave e o próximo tempo de rotação automaticamente.
Para especificar um período de rotação e um horário de início diferentes, siga as etapas abaixo quando estiver criando a chave, antes de clicar no botão Criar:
Clique no menu suspenso Período de rotação e selecione um valor para o período.
no campo Iniciar em, clique na data e selecione uma para a próxima rotação.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys create key \
--keyring key-ring \
--location location \
--purpose "encryption" \
--rotation-period rotation-period \
--next-rotation-time next-rotation-time
Substitua key por um nome para a chave. Substitua key-ring
pelo nome do keyring atual em que a chave estará localizada. Substitua
location pelo local do Cloud KMS para o keyring.
Substitua rotation-period por um intervalo, como 30d, para alternar a
chave a cada 30 dias. Substitua next-rotation-time por um carimbo de data/hora
em que a primeira rotação será iniciada, como "1970-01-01T01:02:03".
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Para configurar a rotação automática em uma chave atual:
IU da Web
Acesse a página Chaves criptográficas no Console do Cloud.
Clique no nome do keyring que contém a chave à qual adicionar uma programação de rotação.
Clique na chave cuja versão você quer adicionar uma programação de rotação.
No cabeçalho, clique em Editar período de rotação.
No prompt, escolha novos valores para os campos Período de rotação e A partir de.
No prompt, clique em Salvar.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys update key-name \
--location location \
--keyring key-ring-name \
--rotation-period rotation-period \
--next-rotation-time next-rotation-time
Substitua key pelo nome da chave a ser atualizada. Substitua
key-ring pelo keyring em que a chave está localizada. Substitua
location pelo local do Cloud KMS para o keyring.
Substitua rotation-period por uma
Duração.
A duração precisa estar dentro do intervalo de 1 e 100 anos. Substitua
next-rotation-time por um
carimbo de data/hora
para iniciar a primeira rotação ou omita --next-rotation-time para programar
a primeira rotação por sete dias a partir da data em que você executar o comando.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Rotação manual de uma chave
Primeiro, crie uma nova versão da chave:
IU da Web
Acesse a página Chaves criptográficas no Console do Cloud.
Clique no nome do keyring que contém a chave para a qual você criará uma nova versão da chave.
Clique na chave para a qual você criará uma nova versão da chave.
No cabeçalho, clique em Criar versão.
No prompt, clique em Criar versão para confirmar.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys versions create \
--key key \
--keyring key-ring \
--location location
Substitua key por um nome para a chave. Substitua key-ring pelo nome do keyring atual em que a chave estará localizada. Substitua location pelo local do Cloud KMS para o keyring.
As versões de chave são numeradas sequencialmente.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Em seguida, defina essa nova versão de chave como a versão da chave primária para torná-la padrão em novas operações.
Se necessário, recriptografe os dados que foram criptografados usando a versão anterior da chave.
Como configurar uma versão atual como principal
Para definir uma versão de chave diferente como a versão principal de uma chave, atualize a chave com as informações da nova versão principal. Uma versão de chave precisa estar ativada para que você possa configurá-la como a versão principal.
IU da Web
Acesse a página Chaves criptográficas no Console do Cloud.
Clique no nome do keyring que contém a chave cuja versão principal você quer atualizar.
Clique na chave cuja versão principal você quer atualizar.
Na linha correspondente à versão da chave que você quer tornar principal, clique em Ver mais .
Clique em Tornar versão principal no menu.
No prompt de confirmação, clique em Tornar principal.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys update key \
--keyring key-ring \
--location location \
--primary-version key-version
Substitua key pelo nome da chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring. Substitua key-version pela nova versão da chave primária.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.
Quando você altera a versão da chave principal, a alteração torna-se consistente em cerca de 40 minutos, em média, mas pode levar até três horas. Durante esse período, a versão principal anterior é usada para criptografar dados. Para saber mais, consulte Consistência de recursos do Cloud KMS.
Como desativar a rotação automática
Para fazer isso, limpe a programação de rotação da chave:
IU da Web
Acesse a página Chaves criptográficas no Console do Cloud.
Clique no nome do keyring que contém a chave para a qual remover uma programação de rotação.
Clique na chave cuja versão você quer remover uma programação de rotação.
No cabeçalho, clique em Editar período de rotação.
Na solicitação, clique na lista suspensa Período de rotação e selecione Nunca (rotação manual).
No prompt, clique em Salvar.
Linha de comando
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente do SDK do Cloud.
gcloud kms keys update key \
--keyring key-ring \
--location location \
--remove-rotation-schedule
Substitua key por um nome para a chave. Substitua key-ring pelo nome do keyring em que a chave está localizada. Substitua location pelo local do Cloud KMS para o keyring.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
C#
Para executar esse código, primeiro configure um ambiente de desenvolvimento C# e instale o SDK do Cloud KMS para C#.
Go
Para executar esse código, primeiro configure um ambiente de desenvolvimento Go e instale o SDK do Cloud KMS para Go.
Java
Para executar esse código, primeiro configure um ambiente de desenvolvimento Java e instale o SDK do Cloud KMS para Java.
Node.js
Para executar esse código, primeiro configure um ambiente de desenvolvimento do Node.js e instale o SDK do Cloud KMS para Node.js.
PHP
Para executar esse código, primeiro saiba como usar o PHP no Google Cloud e instalar o SDK do Cloud KMS para PHP.
Ruby
Para executar esse código, primeiro configure um ambiente de desenvolvimento Ruby e instale o SDK do Cloud KMS para Ruby.
Python
Para executar esse código, primeiro configure um ambiente de desenvolvimento Python e instale o SDK do Cloud KMS para Python.