更新外部密钥引用

本页介绍如何更新 Cloud EKM 密钥,而无需轮替密钥。新密钥引用必须指向与当前密钥引用相同的密钥材料。如果密钥材料 已在外部密钥管理合作伙伴系统中轮替,您必须轮替 key

如果您的外部密钥管理合作伙伴系统更改了 现有密钥的键路径或密钥 URI。例如,键引用可以 由于外部密钥管理合作伙伴的主机名更改或 关键引用结构发生变化。

所需的角色

为了获得更新外部密钥引用所需的权限, 请让管理员授予您 针对密钥的 Cloud KMS Admin (roles/cloudkms.admin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

此预定义角色包含更新外部键引用所需的 cloudkms.cryptoKeyVersions.update 权限。

您也可以使用自定义角色或其他预定义角色来获取此权限。

更新未轮替的密钥版本的 URI

如需更新您通过 请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往密钥管理页面。

    前往 Key Management

  2. 选择密钥环,然后选择密钥和版本。

  3. 点击 更多,然后点击查看密钥 URI

  4. 点击更新密钥 URI

  5. 输入新密钥 URI,然后点击保存

gcloud CLI

如需更新密钥版本的 URI,请使用 gcloud kms versions update 命令:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

替换以下内容:

  • KEY_VERSION:密钥版本号。
  • KEY_NAME:密钥的名称。
  • KEY_RING:包含密钥的密钥环的名称。
  • LOCATION:密钥环的 Cloud KMS 位置。
  • NEW_KEY_URI:现有外部密钥材料的新 URI。

更新密钥版本的密钥路径(不轮替)

如需更新您通过 VPC 网络,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往密钥管理页面。

    前往 Key Management

  2. 选择密钥环,然后选择密钥和版本。

  3. 点击更多 然后点击查看密钥路径

  4. 点击更新密钥路径

  5. 输入新的密钥路径,然后点击保存

gcloud CLI

如需更新密钥版本的密钥路径,请使用 gcloud kms versions update 命令:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

替换以下内容:

  • KEY_VERSION:密钥版本号。
  • KEY_NAME:密钥的名称。
  • KEY_RING:包含密钥的密钥环的名称。
  • LOCATION:密钥环的 Cloud KMS 位置。
  • NEW_KEY_PATH:现有外部密钥材料的新路径。