Atualizar referência da chave externa

Nesta página, mostramos como atualizar a referência de chave externa de uma chave do Cloud EKM sem fazer a rotação. A nova referência de chave precisa apontar para o mesmo material da chave que a referência atual. Se o material da chave tiver sido rotacionado no sistema do parceiro de gerenciamento de chaves externo, rotacione a chave.

Use as instruções desta página se o sistema de gerenciamento de chaves externas do parceiro tiver alterado o caminho ou o URI da chave de uma chave atual. Por exemplo, a referência da chave pode mudar como resultado de uma mudança no nome do host do parceiro de gerenciamento de chaves externo ou na estrutura de referência de chave dele.

Funções exigidas

Para conseguir a permissão necessária para atualizar uma referência de chave externa, peça ao administrador para conceder a você o papel do IAM de Administrador do Cloud KMS (roles/cloudkms.admin) na sua chave. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém a permissão cloudkms.cryptoKeyVersions.update, que é necessária para atualizar uma referência de chave externa.

Talvez você também consiga essa permissão com papéis personalizados ou outros papéis predefinidos.

Atualizar o URI de uma versão de chave sem rotação

Para atualizar a referência de chave de uma chave do Cloud EKM que você usa pela Internet, conclua as seguintes etapas:

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Selecione o keyring e a chave e a versão.

  3. Clique em Mais e, depois, em Ver URI da chave.

  4. Clique em Atualizar URI da chave.

  5. Insira o novo URI da chave e clique em Salvar.

CLI da gcloud

Para atualizar o URI da versão da chave, use o comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Substitua:

  • KEY_VERSION: o número da versão da chave.
  • KEY_NAME: o nome da chave;
  • KEY_RING: o nome do keyring que contém a chave.
  • LOCATION: o local do keyring no Cloud KMS.
  • NEW_KEY_URI: o novo URI para o material de chave externa existente.

Atualizar o caminho de uma versão da chave sem rotação

Para atualizar a referência de chave de uma chave do Cloud EKM que você usa em uma rede VPC, conclua as seguintes etapas:

Console

  1. No console do Google Cloud, acesse a página Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Selecione o keyring e a chave e a versão.

  3. Clique em Mais e em Visualizar caminho da chave.

  4. Clique em Atualizar caminho da chave.

  5. Insira o novo caminho da chave e clique em Salvar.

CLI da gcloud

Para atualizar o caminho da chave na versão, use o comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Substitua:

  • KEY_VERSION: o número da versão da chave.
  • KEY_NAME: o nome da chave;
  • KEY_RING: o nome do keyring que contém a chave.
  • LOCATION: o local do keyring no Cloud KMS.
  • NEW_KEY_PATH: o novo caminho para o material de chave externa atual.