Auf dieser Seite erfahren Sie, wie Sie die externe Schlüsselreferenz für eine Cloud EKM-Schlüssel, ohne den Schlüssel zu rotieren. Die neue Schlüsselreferenz muss auf dasselbe Schlüsselmaterial verweisen wie die aktuelle Schlüsselreferenz. Wenn das Schlüsselmaterial im Partnersystem für die externe Schlüsselverwaltung rotiert wurde, müssen Sie stattdessen den Schlüssel rotieren.
Folgen Sie der Anleitung auf dieser Seite, wenn Ihr Partnersystem für die externe Schlüsselverwaltung den Schlüsselpfad oder Schlüssel-URI für einen vorhandenen Schlüssel. Die Schlüsselreferenz kann sich beispielsweise aufgrund einer Änderung am Hostnamen des externen Schlüsselverwaltungspartners oder einer Änderung an der Struktur der Schlüsselreferenz ändern.
Erforderliche Rollen
Um die Berechtigung zum Aktualisieren einer externen Schlüsselreferenz zu erhalten,
bitten Sie Ihren Administrator, Ihnen
Die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für Ihren Schlüssel.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die
cloudkms.cryptoKeyVersions.update
Berechtigung,
was erforderlich ist, um
einen Verweis auf einen externen Schlüssel aktualisieren.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
URI für eine Schlüsselversion ohne Rotation aktualisieren
So aktualisieren Sie die Schlüsselreferenz für einen Cloud EKM-Schlüssel, den Sie über das Internet verwenden:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf more_vert und dann auf das Dreipunkt-Menü und dann auf Schlüssel-URI anzeigen.
Klicken Sie auf Schlüssel-URI aktualisieren.
Geben Sie den neuen Schlüssel-URI ein und klicken Sie dann auf Speichern.
gcloud-CLI
Verwenden Sie zum Aktualisieren des URI für die Schlüsselversion den Befehl gcloud kms versions update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Ersetzen Sie Folgendes:
KEY_VERSION: die Schlüsselversionsnummer.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION: der Cloud KMS-Standort des Schlüsselbunds.NEW_KEY_URI: der neue URI für den vorhandenen externen Schlüsselmaterial.
Schlüsselpfad für eine Schlüsselversion ohne Rotation aktualisieren
So aktualisieren Sie die Schlüsselreferenz für einen Cloud EKM-Schlüssel, den Sie über einen VPC-Netzwerk führen Sie die folgenden Schritte aus:
Console
Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf Mehr more_vert. und dann auf Schlüsselpfad anzeigen.
Klicken Sie auf Schlüsselpfad aktualisieren.
Geben Sie den neuen Schlüsselpfad ein und klicken Sie auf Speichern.
gcloud-CLI
Verwenden Sie den Befehl gcloud kms versions
update, um den Schlüsselpfad der Schlüsselversion zu aktualisieren:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Ersetzen Sie Folgendes:
KEY_VERSION: die Schlüsselversionsnummer.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION: der Cloud KMS-Standort des Schlüsselbunds.NEW_KEY_PATH: der neue Pfad für das vorhandene externe Verzeichnis Schlüsselmaterial.