이 페이지에서는 키를 순환하지 않고 Cloud EKM 키의 외부 키 참조를 업데이트하는 방법을 보여줍니다. 새 키 참조는 현재 키 참조와 동일한 키 자료를 가리켜야 합니다. 키 자료가 외부 키 관리 파트너 시스템에서 순환되었다면 대신 키를 순환해야 합니다.
외부 키 관리 파트너 시스템이 기존 키의 키 경로 또는 키 URI를 변경한 경우 이 페이지의 안내를 따르세요. 예를 들어 외부 키 관리 파트너의 호스트 이름 변경 또는 키 참조 구조 변경으로 인해 키 참조가 변경될 수 있습니다.
필요한 역할
외부 키 참조를 업데이트하는 데 필요한 권한을 얻으려면 관리자에게 키에 대한 Cloud KMS 관리자(roles/cloudkms.admin
) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이 사전 정의된 역할에는 외부 키 참조를 업데이트하는 데 필요한 cloudkms.cryptoKeyVersions.update
권한이 포함되어 있습니다.
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
순환 없는 키 버전 URI 업데이트
인터넷을 통해 사용하는 Cloud EKM 키의 키 참조를 업데이트하려면 다음 단계를 완료합니다.
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키링을 선택한 다음 키와 버전을 선택합니다.
more_vert 더보기를 클릭한 다음 키 URI 보기를 클릭합니다.
키 URI 업데이트를 클릭합니다.
새 키 URI를 입력한 다음 저장을 클릭합니다.
gcloud CLI
키 버전의 URI를 업데이트하려면 gcloud kms versions update
명령어를 사용합니다.
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
다음을 바꿉니다.
KEY_VERSION
: 키 버전 번호입니다.KEY_NAME
: 키의 이름입니다.KEY_RING
: 키가 포함된 키링의 이름입니다.LOCATION
: 키링의 Cloud KMS 위치입니다.NEW_KEY_URI
: 기존 외부 키 자료의 새 URI입니다.
순환 없는 키 버전의 키 경로 업데이트
VPC 네트워크를 통해 사용하는 Cloud EKM 키의 키 참조를 업데이트하려면 다음 단계를 완료합니다.
콘솔
Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.
키링을 선택한 다음 키와 버전을 선택합니다.
더보기 more_vert를 클릭한 후 키 경로 보기를 클릭합니다.
키 경로 업데이트를 클릭합니다.
새 키 경로를 입력한 다음 저장을 클릭합니다.
gcloud CLI
키 버전의 키 경로를 업데이트하려면 gcloud kms versions
update
명령어를 사용합니다.
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
다음을 바꿉니다.
KEY_VERSION
: 키 버전 번호입니다.KEY_NAME
: 키의 이름입니다.KEY_RING
: 키가 포함된 키링의 이름입니다.LOCATION
: 키링의 Cloud KMS 위치입니다.NEW_KEY_PATH
: 기존 외부 키 자료의 새 경로입니다.