Aggiorna riferimento chiave esterna

Questa pagina mostra come aggiornare il riferimento alla chiave esterna per una chiave Cloud EKM senza ruotare la chiave. Il nuovo riferimento della chiave deve indirizzare allo stesso materiale della chiave del riferimento della chiave corrente. Se il materiale della chiave è stato ruotato nel sistema esterno del partner di gestione delle chiavi, devi invece ruotare la chiave.

Utilizza le istruzioni in questa pagina se il sistema esterno di gestione delle chiavi del partner ha modificato il percorso o l'URI della chiave di una chiave esistente. Ad esempio, il riferimento alla chiave può cambiare in seguito a una modifica al nome host del partner esterno per la gestione delle chiavi o a una modifica della sua struttura di riferimento chiave.

Ruoli obbligatori

Per ottenere l'autorizzazione necessaria per aggiornare un riferimento alla chiave esterno, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) per la tua chiave. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene l'autorizzazione cloudkms.cryptoKeyVersions.update, necessaria per aggiornare un riferimento a una chiave esterna.

Potresti anche essere in grado di ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Aggiorna l'URI per una versione della chiave senza rotazione

Per aggiornare il riferimento chiave per una chiave Cloud EKM che utilizzi su internet, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

    Vai a Key Management

  2. Seleziona il keyring, quindi la chiave e la versione.

  3. Fai clic su Altro, quindi su Visualizza URI chiave.

  4. Fai clic su Aggiorna URI chiave.

  5. Inserisci il nuovo URI chiave e fai clic su Salva.

Interfaccia a riga di comando gcloud

Per aggiornare l'URI della versione della chiave, utilizza il comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Sostituisci quanto segue:

  • KEY_VERSION: il numero della versione della chiave.
  • KEY_NAME: il nome della chiave.
  • KEY_RING: il nome del keyring che contiene la chiave.
  • LOCATION: la località Cloud KMS del keyring.
  • NEW_KEY_URI: il nuovo URI per il materiale della chiave esterna esistente.

Aggiorna il percorso della chiave per una versione della chiave senza rotazione

Per aggiornare il riferimento della chiave per una chiave Cloud EKM che utilizzi su una rete VPC, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

    Vai a Key Management

  2. Seleziona il keyring, quindi la chiave e la versione.

  3. Fai clic su Altro , quindi su Visualizza percorso chiave.

  4. Fai clic su Aggiorna percorso chiave.

  5. Inserisci il nuovo percorso della chiave e fai clic su Salva.

Interfaccia a riga di comando gcloud

Per aggiornare il percorso della chiave della versione della chiave, utilizza il comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Sostituisci quanto segue:

  • KEY_VERSION: il numero della versione della chiave.
  • KEY_NAME: il nome della chiave.
  • KEY_RING: il nome del keyring che contiene la chiave.
  • LOCATION: la località Cloud KMS del keyring.
  • NEW_KEY_PATH: il nuovo percorso per il materiale della chiave esterna esistente.