Cette page explique comment mettre à jour la référence de clé externe d'une clé Cloud EKM sans la faire pivoter. La nouvelle référence de clé doit pointer vers le même matériel de clé que la référence de clé actuelle. Si le matériel de clé a fait l'objet d'une rotation dans le système partenaire externe de gestion des clés, vous devez effectuer une rotation .
Suivez les instructions de cette page si votre système partenaire de gestion des clés externes a modifié le chemin d'accès ou l'URI d'une clé existante. Par exemple, la référence de clé peut changer en raison d'une modification du nom d'hôte du partenaire de gestion des clés externes ou de sa structure de référence de clé.
Rôles requis
Pour obtenir l'autorisation dont vous avez besoin pour mettre à jour une référence de clé externe, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur votre clé.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient
cloudkms.cryptoKeyVersions.update
les autorisations,
qui est nécessaire pour
mettre à jour une référence de clé externe.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Mettre à jour l'URI d'une version de clé sans rotation
Pour mettre à jour la référence d'une clé Cloud EKM utilisée via le Internet, procédez comme suit:
Console
Dans la console Google Cloud, accédez à Gestion des clés.
Sélectionnez le trousseau de clés, puis la clé et la version.
Cliquez sur more_vert. Plus, puis cliquez sur Afficher l'URI de la clé.
Cliquez sur Mettre à jour l'URI de clé.
Saisissez le nouvel URI de clé, puis cliquez sur Enregistrer.
CLI gcloud
Pour mettre à jour l'URI de la version de clé, utilisez gcloud kms versions update.
commande:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Remplacez les éléments suivants :
KEY_VERSION: numéro de version de la cléKEY_NAME: nom de la clé.KEY_RING: nom du trousseau de clés contenant la clé.LOCATION: emplacement Cloud KMS du trousseau de clés.NEW_KEY_URI: nouvel URI de l'instance externe existante le matériel de clé.
Mettre à jour le chemin d'accès d'une version de clé sans rotation
Pour mettre à jour la référence de clé d'une clé Cloud EKM que vous utilisez sur un réseau VPC, procédez comme suit :
Console
Dans la console Google Cloud, accédez à Gestion des clés.
Sélectionnez le trousseau de clés, puis la clé et la version.
Cliquez sur Plus more_vert. puis sur Afficher le chemin d'accès de la clé.
Cliquez sur Mettre à jour le chemin d'accès de la clé.
Saisissez le nouveau chemin d'accès de la clé, puis cliquez sur Enregistrer.
CLI gcloud
Pour mettre à jour le chemin d'accès à la version de clé, exécutez la commande gcloud kms versions
update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Remplacez les éléments suivants :
KEY_VERSION: numéro de version de la cléKEY_NAME: nom de la clé.KEY_RING: nom du trousseau de clés contenant la clé.LOCATION: emplacement Cloud KMS du trousseau de clés.NEW_KEY_PATH: nouveau chemin d'accès au matériel de clé externe existant.