本页面介绍了如何在不轮替密钥的情况下更新 Cloud EKM 密钥的外部密钥引用。新密钥引用必须指向与当前密钥引用相同的密钥材料。如果密钥材料已在外部密钥管理合作伙伴系统中轮替,您必须改为轮替密钥。
如果您的外部密钥管理合作伙伴系统更改了现有密钥的密钥路径或密钥 URI,请按照本页面中的说明操作。例如,密钥引用可能会因外部密钥管理合作伙伴的主机名发生更改或其密钥引用结构发生更改而发生变化。
所需的角色
如需获取更新外部密钥引用所需的权限,请让管理员向您授予针对密钥的 Cloud KMS Admin (roles/cloudkms.admin) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
此预定义角色包含 cloudkms.cryptoKeyVersions.update 权限,更新外部密钥引用需要该权限。
更新未轮替的密钥版本的 URI
如需更新通过互联网使用的 Cloud EKM 密钥的密钥引用,请完成以下步骤:
控制台
在 Google Cloud 控制台中,转到密钥管理页面。
选择密钥环,然后选择密钥和版本。
点击 more_vert 更多,然后点击查看密钥 URI。
点击更新密钥 URI。
输入新的密钥 URI,然后点击保存。
gcloud CLI
如需更新密钥版本的 URI,请使用 gcloud kms versions update 命令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
替换以下内容:
KEY_VERSION:密钥版本号。KEY_NAME:密钥的名称。KEY_RING:包含相应密钥的密钥环的名称。LOCATION:密钥环的 Cloud KMS 位置。NEW_KEY_URI:现有外部密钥材料的新 URI。
更新未轮替的密钥版本的密钥路径
如需更新通过 VPC 网络使用的 Cloud EKM 密钥的引用,请完成以下步骤:
控制台
在 Google Cloud 控制台中,转到密钥管理页面。
选择密钥环,然后选择密钥和版本。
点击更多 more_vert,然后点击查看密钥路径。
点击更新密钥路径。
输入新的密钥路径,然后点击保存。
gcloud CLI
如需更新密钥版本的密钥路径,请使用 gcloud kms versions
update 命令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
替换以下内容:
KEY_VERSION:密钥版本号。KEY_NAME:密钥的名称。KEY_RING:包含相应密钥的密钥环的名称。LOCATION:密钥环的 Cloud KMS 位置。NEW_KEY_PATH:现有外部密钥材料的新路径。