En esta página, se describe cómo rotar claves para MACsec para Cloud Interconnect.
Para rotar las claves, completa lo siguiente:
- Crea una clave nueva con una fecha de inicio posterior a la existente.
- Agrega la clave nueva a tu router local.
- Espera la hora de inicio de la clave nueva.
- Verifica que la clave nueva esté activa.
- Borra la clave más antigua.
Puedes crear hasta cinco claves precompartidas con las horas de inicio que especifiques. Las horas de inicio de las claves deben estar en orden creciente y no dentro de las seis horas posteriores a la hora de inicio de la clave anterior. Para rotar una clave que ya no deseas usar, debes quitarla.
Las claves precompartidas no vencen. Cuando configuras más de una clave, todas las claves deben tener configurada una hora de inicio.
Roles obligatorios
Para obtener los permisos que necesitas para recuperar claves MACsec,
pídele a tu administrador que te otorgue el
rol de IAM de administrador de red de Compute (roles/compute.networkAdmin
) en tu proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Si eliges usar funciones personalizadas, asegúrate de que tu función personalizada para administrar MACsec para Cloud Interconnect incluya el
compute.interconnects.getMacsecConfig
permiso de IAM.
Opcional: actualiza la hora de inicio de la clave existente
Si tienes una clave sin una hora de inicio y, luego, intentas crear una clave nueva, Cloud Interconnect mostrará un error. A fin de corregir la hora de inicio, selecciona una de las siguientes opciones a fin de establecer una hora de inicio para la clave existente:
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas modificar.
En la pestaña MACsec, ve a la sección Claves precompartidas y haz clic en Claves administradas y precompartidas.
En el campo Hora de inicio, selecciona o ingresa una nueva hora de inicio.
Haz clic en Enviar.
gcloud
gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
--key-name=KEY_NAME \
--start-time=START_TIME
Reemplaza lo siguiente:
INTERCONNECT_CONNECTION_NAME
: el nombre de tu conexión de Cloud InterconnectKEY_NAME
: es el nombre de la clave que se actualizará.START_TIME
: La hora a la que esta clave es válida en el formato ISO 8601, por ejemplo,2023-07-01T21:00:01.000Z
Crear una clave nueva
Para agregar una clave nueva, selecciona una de las siguientes opciones:
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas modificar.
En la pestaña MACsec, ve a la sección Claves precompartidas y haz clic en Claves administradas y precompartidas.
Haga clic en Agregar clave.
Especifica los detalles de la clave precompartida:
Nombre de la clave: es un nombre para la clave. Este nombre se muestra en la consola de Google Cloud y gcloud CLI lo usa para hacer referencia a la clave, como
psk-2
.Hora de inicio: la hora desde la cual la clave es válida. Asegúrate de que la hora de inicio de la clave precompartida sea de al menos seis horas después de la hora de inicio de la clave anterior.
Para agregar claves precompartidas adicionales, haz clic en Agregar clave. Las claves consecutivas precompartidas deben tener horas de inicio con al menos seis horas de diferencia.
Haz clic en Enviar.
gcloud
gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME \ --start-time="START_TIME"
Reemplaza lo siguiente:
INTERCONNECT_CONNECTION_NAME
: el nombre de tu conexión de Cloud InterconnectKEY_NAME
: un nombre para la claveSTART_TIME
: La hora a la que esta clave es válida en el formato ISO 8601, por ejemplo,2023-07-01T21:00:01.000Z
Como práctica recomendada, te recomendamos que establezcas una hora de inicio para todas las claves que crees para MACsec para Cloud Interconnect.
Para enumerar las claves existentes y anotar la clave de asociación de conectividad de la clave nueva (CAK) y el nombre de la clave de asociación de conectividad (CKN), selecciona una de las siguientes opciones:
Console
En la sección Claves precompartidas, busca el nombre de la clave precompartida que agregaste y, luego, haz clic en Ver. Una ventana muestra la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN). Haz clic en
Copiar junto a cualquiera de los valores para copiar el valor en el portapapeles de tu computadora.Haz clic en Cerrar.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
El resultado es similar a este:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
En este ejemplo,
key2
es la clave recién agregada.Agrega los valores de hora de inicio, CAK y CKN de la clave nueva a la configuración de tu router local.
Los routers perimetrales de Google usan la clave con la hora de inicio más reciente y cambian automáticamente a la siguiente clave a medida que avanza el tiempo. Todas las claves configuradas tienen tiempos de vencimiento infinitos. Esto significa que para completar una rotación de claves, debes quitar la clave anterior que no deseas.
Verifica la clave activa
Completa los siguientes pasos:
Para enumerar las claves existentes, selecciona una de las siguientes opciones:
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas ver.
En la pestaña MACsec, la sección Claves compartidas previamente enumera todas las claves precompartidas para esta conexión.
gcloud
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
El resultado es similar a este:
preSharedKeys: - name: key1 ckn: 0101010189abcdef...0123456789abcdef cak: 0123456789abcdef...0123456789abcdef startTime: 2023-07-01T12:12:12Z - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z
Toma nota del valor de CKN de la clave que aparece antes de la última clave.
Para verificar que la clave activa se muestre antes de quitar la clave anterior, selecciona una de las siguientes opciones:
Console
- En la sección Claves precompartidas, verifica que la clave nueva muestre un Estado de clave de Activo, en uso.
gcloud
gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
El resultado es similar al siguiente; busca
macsec
:bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP links: - circuitId: LOOP-0 googleDemarc: fake-local-demarc-0 lacpStatus: googleSystemId: '00:11:22:33:44:55' neighborSystemId: '55:44:33:22:11:00' state: ACTIVE macsec: ckn: 0202020289abcdef...0123456789abcdef operational: true operationalStatus: LINK_OPERATIONAL_STATUS_UP receivingOpticalPower: state: OK value: -2.49 transmittingOpticalPower: state: OK value: -0.88 macAddress: 00:11:22:33:44:55
El comando
gcloud compute interconnects get-diagnostics
muestra el valor de CKN de la clave activa. Si tienes más de una clave configurada, se selecciona la clave con la hora de inicio más reciente como clave activa. Los routers perimetrales de Google rechazan todas las sesiones de MACsec nuevas que intenten usar las claves anteriores.
Quita la clave antigua
Como medida de seguridad, MACsec para Cloud Interconnect evita que quites la última clave activa.
Para quitar la clave anterior, completa los siguientes pasos:
Quita la clave antigua de la configuración de tu router local. Esto garantiza que tu router local no use la clave anterior antes de borrar la anterior de Cloud Interconnect.
Para quitar la clave antigua de la configuración de conexión de Cloud Interconnect, selecciona una de las siguientes opciones:
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Selecciona la conexión que deseas ver.
En la pestaña MACsec, ve a Claves precompartidas, selecciona la clave que deseas borrar y, luego, haz clic en Borrar.
En la sección Claves precompartidas, verifica que la clave nueva muestre un Estado de clave de Activa, en uso y que la clave que querías borrar ya no aparezca en la lista.
gcloud
Ejecuta el comando siguiente:
gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \ --key-name=KEY_NAME
Reemplaza lo siguiente:
INTERCONNECT_CONNECTION_NAME
: el nombre de tu conexión de Cloud InterconnectKEY_NAME
: el nombre de la clave
Para verificar que quitaste la clave correcta, ejecuta el siguiente comando:
gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
El resultado es similar a este:
preSharedKeys: - name: key2 ckn: 0202020289abcdef...0123456789abcdef cak: 0123456889abcdef...0123456789abcdef startTime: 2023-08-01T12:12:12Z