本页介绍如何更新 Cloud EKM 密钥,而无需轮替密钥。新密钥引用必须指向与当前密钥引用相同的密钥材料。如果密钥材料 已在外部密钥管理合作伙伴系统中轮替,您必须轮替 key。
如果您的外部密钥管理合作伙伴系统更改了 现有密钥的键路径或密钥 URI。例如,键引用可以 由于外部密钥管理合作伙伴的主机名更改或 关键引用结构发生变化。
所需的角色
为了获得更新外部密钥引用所需的权限,
请让管理员授予您
针对密钥的 Cloud KMS Admin (roles/cloudkms.admin
) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含更新外部键引用所需的 cloudkms.cryptoKeyVersions.update
权限。
更新未轮替的密钥版本的 URI
如需更新您通过 请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往密钥管理页面。
选择密钥环,然后选择密钥和版本。
点击 more_vert 更多,然后点击查看密钥 URI。
点击更新密钥 URI。
输入新密钥 URI,然后点击保存。
gcloud CLI
如需更新密钥版本的 URI,请使用 gcloud kms versions update
命令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
替换以下内容:
KEY_VERSION
:密钥版本号。KEY_NAME
:密钥的名称。KEY_RING
:包含密钥的密钥环的名称。LOCATION
:密钥环的 Cloud KMS 位置。NEW_KEY_URI
:现有外部密钥材料的新 URI。
更新密钥版本的密钥路径(不轮替)
如需更新您通过 VPC 网络,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往密钥管理页面。
选择密钥环,然后选择密钥和版本。
点击更多 more_vert 然后点击查看密钥路径。
点击更新密钥路径。
输入新的密钥路径,然后点击保存。
gcloud CLI
如需更新密钥版本的密钥路径,请使用 gcloud kms versions
update
命令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
替换以下内容:
KEY_VERSION
:密钥版本号。KEY_NAME
:密钥的名称。KEY_RING
:包含密钥的密钥环的名称。LOCATION
:密钥环的 Cloud KMS 位置。NEW_KEY_PATH
:现有外部密钥材料的新路径。