Auf dieser Seite wird beschrieben, wie Sie die externe Schlüsselreferenz für einen Cloud EKM-Schlüssel aktualisieren, ohne den Schlüssel zu rotieren. Der neue Schlüsselverweis muss auf dasselbe Schlüsselmaterial wie der aktuelle Schlüsselverweis verweisen. Wenn das Schlüsselmaterial im Partnersystem für die externe Schlüsselverwaltung rotiert wurde, müssen Sie stattdessen den Schlüssel rotieren.
Folgen Sie der Anleitung auf dieser Seite, wenn der Schlüsselpfad oder Schlüssel-URI für einen vorhandenen Schlüssel durch Ihr Partnersystem für die externe Schlüsselverwaltung geändert wurde. Der Schlüsselverweis kann sich beispielsweise infolge einer Änderung des Hostnamens des Partners für die externe Schlüsselverwaltung oder einer Änderung der Schlüsselreferenzstruktur ändern.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für Ihren Schlüssel zu gewähren, damit Sie die Berechtigung erhalten, die Sie zum Aktualisieren einer externen Schlüsselreferenz benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigung cloudkms.cryptoKeyVersions.update, die zum Aktualisieren einer externen Schlüsselreferenz erforderlich ist.
Möglicherweise können Sie diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
URI für eine Schlüsselversion ohne Rotation aktualisieren
Führen Sie die folgenden Schritte aus, um die Schlüsselreferenz für einen Cloud EKM-Schlüssel zu aktualisieren, den Sie über das Internet verwenden:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf more_vert Mehr und dann auf Schlüssel-URI ansehen.
Klicken Sie auf Schlüssel-URI aktualisieren.
Geben Sie den neuen Schlüssel-URI ein und klicken Sie dann auf Speichern.
gcloud-CLI
Verwenden Sie den Befehl gcloud kms versions update, um den URI für die Schlüsselversion zu aktualisieren:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Ersetzen Sie Folgendes:
KEY_VERSION: die Schlüsselversionsnummer.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.NEW_KEY_URI: Der neue URI für das vorhandene externe Schlüsselmaterial.
Schlüsselpfad für eine Schlüsselversion ohne Rotation aktualisieren
Führen Sie die folgenden Schritte aus, um die Schlüsselreferenz für einen Cloud EKM-Schlüssel zu aktualisieren, den Sie über ein VPC-Netzwerk verwenden:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf das Dreipunkt-Menü more_vert und dann auf Schlüsselpfad ansehen.
Klicken Sie auf Schlüsselpfad aktualisieren.
Geben Sie den neuen Schlüsselpfad ein und klicken Sie auf Speichern.
gcloud-CLI
Verwenden Sie den Befehl gcloud kms versions
update, um den Schlüsselpfad der Schlüsselversion zu aktualisieren:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Ersetzen Sie Folgendes:
KEY_VERSION: die Schlüsselversionsnummer.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.NEW_KEY_PATH: Der neue Pfad für das vorhandene externe Schlüsselmaterial.