このページでは、鍵のローテーションを行わずに、Cloud EKM 鍵の外部鍵参照を更新する方法について説明します。新しい鍵参照は、現在の鍵参照と同じ鍵マテリアルを提示する必要があります。外部鍵管理パートナー システムで鍵マテリアルがローテーションされている場合は、代わりに鍵をローテーションする必要があります。
外部鍵管理パートナー システムが既存の鍵の鍵パスまたは鍵 URI を変更した場合は、このページの手順を使用します。たとえば、鍵参照は、外部鍵管理パートナーのホスト名の変更や、鍵参照構造の変更によって変更できます。
必要なロール
外部鍵参照を更新するために必要な権限を取得するには、鍵に対する Cloud KMS 管理者(roles/cloudkms.admin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
この事前定義ロールには、外部鍵参照を更新するために必要な cloudkms.cryptoKeyVersions.update 権限が含まれています。
カスタムロールや他の事前定義ロールを使用して、この権限を取得することもできます。
ローテーションせずに鍵バージョンの URI を更新する
インターネットで使用する Cloud EKM 鍵の鍵参照を更新するには、次の手順を行います。
Console
Google Cloud コンソールで [鍵管理] ページに移動します。
キーリングを選択し、鍵とバージョンを選択します。
more_vert [その他] をクリックしてから、[鍵の URI を表示] をクリックします。
[鍵の URI を更新] をクリックします。
新しい鍵の URI を入力し、[保存] をクリックします。
gcloud CLI
鍵バージョンの URI を更新するには、gcloud kms versions update コマンドを使用します。
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
以下を置き換えます。
KEY_VERSION: 鍵のバージョン番号KEY_NAME: 鍵の名前KEY_RING: 鍵を含むキーリングの名前。LOCATION: キーリングの Cloud KMS のロケーションNEW_KEY_URI: 既存の外部鍵マテリアルの新しい URI。
ローテーションせずに鍵バージョンの鍵のパスを更新する
VPC ネットワークで使用する Cloud EKM 鍵の鍵参照を更新するには、次の操作を行います。
Console
Google Cloud コンソールで [鍵管理] ページに移動します。
キーリングを選択し、鍵とバージョンを選択します。
その他アイコン more_vert をクリックし、[キーパスを表示] をクリックします。
[鍵のパスを更新] をクリックします。
新しい鍵のパスを入力し、[保存] をクリックします。
gcloud CLI
鍵バージョンの鍵パスを更新するには、gcloud kms versions
update コマンドを使用します。
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
以下を置き換えます。
KEY_VERSION: 鍵のバージョン番号KEY_NAME: 鍵の名前KEY_RING: 鍵を含むキーリングの名前。LOCATION: キーリングの Cloud KMS のロケーションNEW_KEY_PATH: 既存の外部鍵マテリアルの新しいパス。