Actualizar referencia de clave externa

En esta página se explica cómo actualizar la referencia de clave externa de una clave de Cloud EKM sin rotarla. La nueva referencia de clave debe apuntar al mismo material de clave que la referencia de clave actual. Si el material de la clave se ha rotado en el sistema del partner de gestión de claves externo, debes rotar la clave.

Sigue las instrucciones de esta página si el sistema de tu partner de gestión de claves externo ha cambiado la referencia de una clave. Por ejemplo, la referencia de la clave puede cambiar si se modifica el nombre de host del partner de gestión de claves externo o si cambia la estructura de la referencia de la clave.

Roles obligatorios

Para obtener el permiso que necesitas para actualizar una referencia de clave externa, pide a tu administrador que te asigne el rol de gestión de identidades y accesos Administrador de Cloud KMS (roles/cloudkms.admin) en tu clave. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso cloudkms.cryptoKeyVersions.update, que es necesario para actualizar una referencia de clave externa.

También puedes obtener este permiso con roles personalizados u otros roles predefinidos.

Actualizar el URI de una versión de clave sin rotación

Para actualizar la referencia de una clave de Cloud EKM que uses a través de Internet, sigue estos pasos:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Actualizar la ruta de la clave de una versión de clave sin rotación

Para actualizar la referencia de clave de una clave de EKM de Cloud que uses en una red VPC, sigue estos pasos:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH