Als Kunde von T-Systems Sovereign Cloud verwenden Sie einen anderen Workflow, um Ihre Cloud External Key Manager-Schlüssel (Cloud EKM) zu verwalten. Anstatt einen eigenen externen Schlüsselmanager einzurichten und zu verwalten,übernehmen Google Cloud und T-Systems International (TSI) diese Schritte für Sie. Das bedeutet, dass TSI auf Ihren Antrag hin Ihre Schlüssel und Schlüsselversionen verwaltet.
In diesem Thema erfahren Sie, wie Sie Anfragen für gängige Schlüsselvorgänge in einem von TSI verwalteten Cloud Key Management Service-Projekt stellen, das allgemein als Schlüsselverwaltungsprojekt bezeichnet wird.
Hinweise
Sie benötigen einen Schlüsselbund mit mindestens einem Schlüssel, bevor Sie Anfragen zu Schlüsselaktionen senden können. Wenn Sie einen neuen Schlüsselbund und einen neuen Schlüssel benötigen, folgen Sie der Anleitung unter Erste Schritte mit TSI-verwaltetem Cloud KMS.
Ressourcennamen des Schlüssels abrufen
Für jede Anfrage zu Schlüsselvorgängen müssen Sie den Ressourcennamen des Schlüssels oder der Schlüsselversion angeben, die geändert werden soll.
- Sie müssen den Ressourcennamen key angeben, um eine Version zu erstellen oder einen Schlüssel zu rotieren.
- Sie müssen den Ressourcennamen der Schlüsselversion angeben, um eine Schlüsselversion zu aktualisieren oder zu löschen.
Issue Tracker-Anfragen
Der Issue Tracker ist ein Tool, mit dem Google und seine Partner Anfragen für spezielle Projekte verfolgen. Bei von TSI verwalteten Cloud Key Management Service-Projekten reichen Sie über den Issue Tracker Anfragen an TSI ein. TSI führt dann die Anfragen in Ihrem Cloud Key Management Service-Projekt aus und verwaltet Ihre Schlüssel im externen Schlüsselmanager.
Einen Link zum Issue Tracker Ihrer Organisation finden Sie in Ihrer Begrüßungs-E-Mail.
Gängige Schlüsselvorgänge
Schlüsselversion erstellen
Verwenden Sie den Issue Tracker, um eine neue Schlüsselversion anzufordern. Die neue Schlüsselversion wird als primäre Version festgelegt, wenn es sich um die erste Schlüsselversion handelt oder es keine anderen Schlüsselversionen gibt.
Wählen Sie im Issue Tracker Schlüsselversion erstellen aus und geben Sie den Ressourcennamen Ihres Schlüssels an. Klicken Sie auf Erstellen, um die Anfrage zu senden.
Schlüssel rotieren
Gib im Issue Tracker im Tickettext Schlüssel tauschen an und gib den Ressourcennamen deines Schlüssels an. Klicken Sie auf Erstellen, um die Anfrage zu senden.
Wenn ein Schlüssel rotiert wird, generiert TSI neues Schlüsselmaterial im externen Schlüsselverwaltungssystem, erstellt eine neue Schlüsselversion in Ihrem Cloud Key Management Service-Projekt und legt diese dann als primäre Version fest.
Wenn Sie eine Schlüsselversion rotieren, werden alle neu erstellten Daten, die mit diesem Schlüssel geschützt sind, mit neuem Schlüsselmaterial verschlüsselt. Mit dem vorherigen Schlüsselmaterial geschützte Daten werden nicht neu verschlüsselt. Daher muss Ihr bisheriges Schlüsselmaterial weiterhin verfügbar sein.
Schlüsselversion deaktivieren
Sie können die Google Cloud Console, die Google Cloud CLI oder eine Cloud KMS-Clientbibliothek verwenden, um eine Schlüsselversion im Status Enabled (Aktiviert) zu deaktivieren. Wenn Sie eine Schlüsselversion deaktivieren, ändert sich ihr Status in Deaktiviert. Weitere Informationen finden Sie in der Cloud KMS-Dokumentation unter Schlüsselversionen aktivieren und deaktivieren.
Schlüsselversion löschen
Wenn Sie eine Schlüsselversion löschen möchten, planen Sie das Löschen in Cloud KMS. Dadurch wird der Cloud KMS-Schlüssel gelöscht und auf die mit dem Schlüssel verschlüsselten Daten kann nicht mehr zugegriffen werden.
Wenn Sie auch den Schlüssel im EKM von TSI löschen möchten, gehen Sie so vor:
- Schlüsselversion zum Löschen vormerken
- Wählen Sie im Issue Tracker im Ticketkörper Schlüsselversion löschen aus und geben Sie den Ressourcennamen der Schlüsselversion an, die gelöscht werden soll.
- Klicken Sie auf Erstellen, um die Anfrage zu senden.
TSI bestätigt Ihre Anfrage zur Vernichtung des Schlüssels, bevor es fortfährt. Wenn die Vernichtung bestätigt wurde, gibt TSI ein Datum und eine Uhrzeit für die Vernichtung des Schlüssels an. Sie können den Schlüssel vor der Zerstörung wiederherstellen.
Wenn Sie die Schlüsselversion wiederherstellen, bevor der Schlüssel gelöscht wird, bleiben sowohl der Cloud KMS-Schlüssel als auch der Schlüssel im externen Schlüsselverwaltungssystem von TSI erhalten.
Wenn die Vernichtung wie geplant fortgesetzt wird, wird zuerst der Cloud KMS-Schlüssel und dann der Schlüssel im EKM von TSI gelöscht.
Antwortzeit
Verwenden Sie den Issue Tracker nur für routinemäßige Vorgänge zur Schlüsselverwaltung. Nachdem Sie einen Issue Tracker-Antrag eingereicht haben, erhalten Sie innerhalb eines Arbeitstags eine Antwort von Ihrem Partner.