外部鍵参照を更新する

このページでは、鍵のローテーションを行わずに、Cloud EKM 鍵の外部鍵参照を更新する方法について説明します。新しい鍵参照は、現在の鍵参照と同じ鍵マテリアルを提示する必要があります。外部鍵管理パートナー システムで鍵マテリアルがローテーションされている場合は、代わりに鍵をローテーションする必要があります。

外部鍵管理パートナー システムが既存の鍵の鍵パスまたは鍵 URI を変更した場合は、このページの手順を使用します。たとえば、鍵参照は、外部鍵管理パートナーのホスト名の変更や、鍵参照構造の変更によって変更できます。

必要なロール

外部鍵参照を更新するために必要な権限を取得するには、鍵に対する Cloud KMS 管理者roles/cloudkms.admin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

この事前定義ロールには、外部鍵参照を更新するために必要な cloudkms.cryptoKeyVersions.update 権限が含まれています。

カスタムロールや他の事前定義ロールを使用して、この権限を取得することもできます。

ローテーションせずに鍵バージョンの URI を更新する

インターネットで使用する Cloud EKM 鍵の鍵参照を更新するには、次の手順を行います。

Console

  1. Google Cloud コンソールで [鍵管理] ページに移動します。

    Key Management に移動

  2. キーリングを選択し、鍵とバージョンを選択します。

  3. [その他] をクリックしてから、[鍵の URI を表示] をクリックします。

  4. [鍵の URI を更新] をクリックします。

  5. 新しい鍵の URI を入力し、[保存] をクリックします。

gcloud CLI

鍵バージョンの URI を更新するには、gcloud kms versions update コマンドを使用します。

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

以下を置き換えます。

  • KEY_VERSION: 鍵のバージョン番号
  • KEY_NAME: 鍵の名前
  • KEY_RING: 鍵を含むキーリングの名前。
  • LOCATION: キーリングの Cloud KMS のロケーション
  • NEW_KEY_URI: 既存の外部鍵マテリアルの新しい URI。

ローテーションせずに鍵バージョンの鍵のパスを更新する

VPC ネットワークで使用する Cloud EKM 鍵の鍵参照を更新するには、次の操作を行います。

Console

  1. Google Cloud コンソールで [鍵管理] ページに移動します。

    Key Management に移動

  2. キーリングを選択し、鍵とバージョンを選択します。

  3. その他アイコン をクリックし、[キーパスを表示] をクリックします。

  4. [鍵のパスを更新] をクリックします。

  5. 新しい鍵のパスを入力し、[保存] をクリックします。

gcloud CLI

鍵バージョンの鍵パスを更新するには、gcloud kms versions update コマンドを使用します。

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

以下を置き換えます。

  • KEY_VERSION: 鍵のバージョン番号
  • KEY_NAME: 鍵の名前
  • KEY_RING: 鍵を含むキーリングの名前。
  • LOCATION: キーリングの Cloud KMS のロケーション
  • NEW_KEY_PATH: 既存の外部鍵マテリアルの新しいパス。