Mettre à jour la référence de clé externe

Cette page explique comment mettre à jour la référence de clé externe d'une clé Cloud EKM sans la rotation. La nouvelle référence de clé doit pointer vers le même matériel de clé que la référence actuelle. Si le matériel de clé a été alterné dans le système partenaire de gestion des clés externes, vous devez effectuer une rotation de la clé.

Suivez les instructions de cette page si votre système partenaire de gestion des clés externes a modifié le chemin d'accès ou l'URI d'une clé existante. Par exemple, la référence de clé peut changer à la suite d'une modification du nom d'hôte du partenaire externe de gestion des clés ou d'une modification de leur structure de référence de clé.

Rôles requis

Pour obtenir l'autorisation nécessaire pour mettre à jour une référence de clé externe, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur votre clé. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient l'autorisation cloudkms.cryptoKeyVersions.update, nécessaire pour mettre à jour une référence de clé externe.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Mettre à jour l'URI d'une version de clé sans rotation

Pour mettre à jour la référence d'une clé Cloud EKM que vous utilisez sur Internet, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Sélectionnez le trousseau de clés, puis sélectionnez la clé et la version.

  3. Cliquez sur Plus, puis sur Afficher l'URI de la clé.

  4. Cliquez sur Mettre à jour l'URI de clé.

  5. Saisissez le nouvel URI de la clé, puis cliquez sur Enregistrer.

gcloud CLI

Pour mettre à jour l'URI de la version de clé, utilisez la commande gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Remplacez les éléments suivants :

  • KEY_VERSION: numéro de version de la clé.
  • KEY_NAME : nom de la clé.
  • KEY_RING: nom du trousseau de clés contenant la clé.
  • LOCATION: emplacement Cloud KMS du trousseau de clés ;
  • NEW_KEY_URI: nouvel URI du matériel de clé externe existant

Mettre à jour le chemin d'accès à une version de clé sans rotation

Pour mettre à jour la référence d'une clé Cloud EKM que vous utilisez sur un réseau VPC, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Sélectionnez le trousseau de clés, puis sélectionnez la clé et la version.

  3. Cliquez sur Plus , puis sur Afficher le chemin d'accès de la clé.

  4. Cliquez sur Mettre à jour le chemin d'accès de la clé.

  5. Saisissez le nouveau chemin d'accès de la clé, puis cliquez sur Enregistrer.

gcloud CLI

Pour mettre à jour le chemin d'accès de la version de clé, exécutez la commande gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Remplacez les éléments suivants :

  • KEY_VERSION: numéro de version de la clé.
  • KEY_NAME : nom de la clé.
  • KEY_RING: nom du trousseau de clés contenant la clé.
  • LOCATION: emplacement Cloud KMS du trousseau de clés ;
  • NEW_KEY_PATH: nouveau chemin d'accès au matériel de clé externe existant