En esta página, se muestra cómo actualizar la referencia de clave externa de un Cloud EKM sin rotarla. La referencia de clave nueva debe deben apuntar al mismo material de clave que la referencia de clave actual. Si el material de clave se rota en el sistema de administración de claves externas, debes rotar la clave.
Sigue las instrucciones de esta página si tu sistema de administración de claves externas cambió la la ruta de acceso o el URI de la clave de una clave existente. Por ejemplo, la referencia clave puede como resultado de un cambio en el nombre de host del socio de administración de claves externo en su estructura de referencia clave.
Roles obligatorios
Para obtener el permiso que necesitas para actualizar una referencia de clave externa,
solicita a tu administrador que te otorgue el
Rol de IAM de administrador de Cloud KMS (roles/cloudkms.admin) en tu clave.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene las
cloudkms.cryptoKeyVersions.update
permiso,
que se requiere para
actualizar una referencia de clave externa
Es posible que también puedas obtener este permiso con roles personalizados otros roles predefinidos.
Actualiza el URI para una versión de clave sin rotación
Para actualizar la referencia de una clave de Cloud EKM que usas a lo largo del completa los siguientes pasos:
Console
En la consola de Google Cloud, ve a Administración de claves.
Selecciona el llavero de claves y, luego, la clave y la versión.
Haz clic en more_vert. Más y, luego, haz clic en Ver URI de la clave.
Haz clic en Actualizar URI de la clave.
Ingresa el URI de la clave nueva y, luego, haz clic en Guardar.
gcloud CLI
Para actualizar el URI de la versión de clave, usa gcloud kms versions update.
:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Reemplaza lo siguiente:
KEY_VERSION: Es el número de versión de la clave.KEY_NAME: el nombre de la clave.KEY_RING: Es el nombre del llavero de claves que contiene la clave.LOCATION: Es la ubicación de Cloud KMS del llavero de claves.NEW_KEY_URI: Es el URI nuevo del material de claves externo existente.
Actualiza la ruta de acceso de la clave para una versión de clave sin rotación
Para actualizar la referencia de una clave de Cloud EKM que usas en un red de VPC, completa los siguientes pasos:
Console
En la consola de Google Cloud, ve a Administración de claves.
Selecciona el llavero de claves y, luego, la clave y la versión.
Haz clic en Más more_vert. y, luego, en Ver ruta de la clave.
Haz clic en Actualizar ruta de clave.
Ingresa la ruta de acceso de la clave nueva y, luego, haz clic en Guardar.
gcloud CLI
Para actualizar la ruta de acceso a la versión de clave, usa el comando gcloud kms versions
update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Reemplaza lo siguiente:
KEY_VERSION: Es el número de versión de la clave.KEY_NAME: el nombre de la clave.KEY_RING: Es el nombre del llavero de claves que contiene la clave.LOCATION: Es la ubicación de Cloud KMS del llavero de claves.NEW_KEY_PATH: Es la ruta de acceso nueva del controlador externo existente. el material de claves.