Auf dieser Seite erfahren Sie, wie Sie die externe Schlüsselreferenz für eine Cloud EKM-Schlüssel, ohne den Schlüssel zu rotieren. Der neue Schlüsselverweis muss verweisen auf dasselbe Schlüsselmaterial wie die aktuelle Schlüsselreferenz. Wenn das Schlüsselmaterial im externen Schlüsselverwaltungs-Partnersystem rotiert wurden, müssen Sie die .
Folgen Sie der Anleitung auf dieser Seite, wenn Ihr Partnersystem für die externe Schlüsselverwaltung den Schlüsselpfad oder Schlüssel-URI für einen vorhandenen Schlüssel. Der Schlüsselverweis kann beispielsweise infolge einer Änderung des Hostnamens des Partners für die externe Schlüsselverwaltung oder eines ihre Schlüsselreferenzstruktur zu ändern.
Erforderliche Rollen
Um die Berechtigung zum Aktualisieren einer externen Schlüsselreferenz zu erhalten,
bitten Sie Ihren Administrator, Ihnen
Die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für Ihren Schlüssel.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung cloudkms.cryptoKeyVersions.update, die zum Aktualisieren einer externen Schlüsselreferenz erforderlich ist.
Möglicherweise erhalten Sie auch diese Berechtigung mit benutzerdefinierten Rollen oder weitere vordefinierte Rollen.
URI für eine Schlüsselversion ohne Rotation aktualisieren
So aktualisieren Sie die Schlüsselreferenz für einen Cloud EKM-Schlüssel, den Sie über das Internet verwenden:
Console
Wechseln Sie in der Google Cloud Console zur Key Management (Schlüsselverwaltung).
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf more_vert. Klicken Sie auf das Dreipunkt-Menü und dann auf Schlüssel-URI ansehen.
Klicken Sie auf Schlüssel-URI aktualisieren.
Geben Sie den neuen Schlüssel-URI ein und klicken Sie dann auf Speichern.
gcloud-CLI
Verwenden Sie zum Aktualisieren des URI für die Schlüsselversion den Befehl gcloud kms versions update:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
Ersetzen Sie Folgendes:
KEY_VERSION: die Schlüsselversionsnummer.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION: der Cloud KMS-Standort des Schlüsselbunds.NEW_KEY_URI: der neue URI für den vorhandenen externen Schlüsselmaterial.
Schlüsselpfad für eine Schlüsselversion ohne Rotation aktualisieren
So aktualisieren Sie die Schlüsselreferenz für einen Cloud EKM-Schlüssel, den Sie über einen VPC-Netzwerk führen Sie die folgenden Schritte aus:
Console
Wechseln Sie in der Google Cloud Console zur Key Management (Schlüsselverwaltung).
Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.
Klicken Sie auf Mehr more_vert. und dann auf Schlüsselpfad anzeigen.
Klicken Sie auf Schlüsselpfad aktualisieren.
Geben Sie den neuen Schlüsselpfad ein und klicken Sie auf Speichern.
gcloud-CLI
Verwenden Sie den Befehl gcloud kms versions
update, um den Schlüsselpfad der Schlüsselversion zu aktualisieren:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
Ersetzen Sie Folgendes:
KEY_VERSION: die Schlüsselversionsnummer.KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION: der Cloud KMS-Standort des Schlüsselbunds.NEW_KEY_PATH: der neue Pfad für das vorhandene externe Verzeichnis Schlüsselmaterial.