Atualizar referência de chave externa

Nesta página, mostramos como atualizar a referência de chave externa de uma chave do Cloud EKM sem fazer a rotação. A nova referência de chave precisa apontar para o mesmo material da chave que a referência de chave atual. Se o material da chave foi rotacionada no sistema do parceiro de gerenciamento de chaves externas, você deve alternar o chave.

Siga as instruções desta página se o sistema do parceiro de gerenciamento de chaves externas tiver mudado o caminho ou o URI da chave de uma chave existente. Por exemplo, a referência da chave pode mudar como resultado de uma alteração no nome do host do parceiro de gerenciamento de chaves externo ou de uma mudança na estrutura de referência da chave.

Funções exigidas

Para receber a permissão necessária para atualizar uma referência de chave externa, peça ao administrador para conceder a você o papel de administrador do Cloud KMS (roles/cloudkms.admin) do IAM na chave. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém a permissão cloudkms.cryptoKeyVersions.update, que é necessária para atualizar uma referência de chave externa.

Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.

Atualizar o URI de uma versão de chave sem rotação

Para atualizar a referência de uma chave do Cloud EKM que você usa nas na Internet, siga estas etapas:

Console

  1. No console do Google Cloud, acesse Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Selecione o keyring e a chave e a versão.

  3. Clique em Mais e em Visualizar URI da chave.

  4. Clique em Atualizar URI da chave.

  5. Insira o URI da nova chave e clique em Salvar.

CLI da gcloud

Para atualizar o URI da versão da chave, use o método gcloud kms versions update comando:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Substitua:

  • KEY_VERSION: o número da versão da chave.
  • KEY_NAME: o nome da chave;
  • KEY_RING: o nome do keyring que contém a chave.
  • LOCATION: o local do keyring no Cloud KMS.
  • NEW_KEY_URI: o novo URI do objeto externo atual. da chave.

Atualizar o caminho da chave de uma versão de chave sem rotação

Para atualizar a referência de chave de uma chave do Cloud EKM usada em uma rede VPC, siga estas etapas:

Console

  1. No console do Google Cloud, acesse Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Selecione o keyring e a chave e a versão.

  3. Clique em Mais e depois em Ver caminho da chave.

  4. Clique em Atualizar caminho da chave.

  5. Insira o novo caminho da chave e clique em Salvar.

CLI da gcloud

Para atualizar o caminho da chave da versão, use o comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Substitua:

  • KEY_VERSION: o número da versão da chave.
  • KEY_NAME: o nome da chave;
  • KEY_RING: o nome do keyring que contém a chave.
  • LOCATION: o local do Cloud KMS do keyring.
  • NEW_KEY_PATH: o novo caminho para o ambiente externo atual. da chave.