Actualizar la referencia de la clave externa

En esta página, se muestra cómo actualizar la referencia de la clave externa para una clave de Cloud EKM sin rotarla. La referencia de clave nueva debe apuntar al mismo material de clave que la referencia de clave actual. Si se rotó el material de la clave en el sistema de administración de claves externas, debes rotar la clave.

Usa las instrucciones de esta página si tu sistema asociado de administración de claves externo cambió la ruta de acceso de la clave o el URI de la clave de una clave existente. Por ejemplo, la referencia de clave puede cambiar como resultado de un cambio en el nombre de host del socio de administración de claves externo o un cambio en su estructura de referencia de clave.

Funciones obligatorias

Si quieres obtener el permiso que necesitas para actualizar una referencia de clave externa, pídele a tu administrador que te otorgue el rol de IAM de Administrador de Cloud KMS (roles/cloudkms.admin) en tu clave. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Esta función predefinida contiene el permiso cloudkms.cryptoKeyVersions.update, que se necesita para actualizar una referencia de clave externa.

Es posible que también puedas obtener este permiso con funciones personalizadas o con otras funciones predefinidas.

Actualiza el URI de una versión de clave sin rotación

Para actualizar la referencia de una clave de Cloud EKM que usas en Internet, completa los siguientes pasos:

Consola

  1. En la consola de Google Cloud, ve a la página Administración de claves.

    Ir a Key Management

  2. Selecciona el llavero de claves y, luego, la clave y la versión.

  3. Haz clic en Más y, luego, en Ver URI de clave.

  4. Haz clic en Actualizar URI de la clave.

  5. Ingresa el URI de la clave nueva y, luego, haz clic en Guardar.

gcloud CLI

Para actualizar el URI de la versión de clave, usa el comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Reemplaza lo siguiente:

  • KEY_VERSION: Es el número de versión de la clave.
  • KEY_NAME: el nombre de la clave.
  • KEY_RING: Es el nombre del llavero de claves que contiene la clave.
  • LOCATION: Es la ubicación de Cloud KMS del llavero de claves.
  • NEW_KEY_URI: Es el URI nuevo para el material de la clave externa existente.

Actualiza la ruta de acceso de la clave para una versión de clave sin rotación

Para actualizar la referencia de la clave de una clave de Cloud EKM que usas a través de una red de VPC, completa los siguientes pasos:

Consola

  1. En la consola de Google Cloud, ve a la página Administración de claves.

    Ir a Key Management

  2. Selecciona el llavero de claves y, luego, la clave y la versión.

  3. Haz clic en Más y, luego, en Ver ruta de la clave.

  4. Haz clic en Actualizar ruta de acceso de la clave.

  5. Ingresa la ruta de acceso de la clave nueva y, luego, haz clic en Guardar.

gcloud CLI

Para actualizar la ruta de la clave de la versión de clave, usa el comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Reemplaza lo siguiente:

  • KEY_VERSION: Es el número de versión de la clave.
  • KEY_NAME: el nombre de la clave.
  • KEY_RING: Es el nombre del llavero de claves que contiene la clave.
  • LOCATION: Es la ubicación de Cloud KMS del llavero de claves.
  • NEW_KEY_PATH: Es la ruta de acceso nueva para el material de la clave externa existente.