Como cliente de T-Systems Sovereign Cloud, usas un flujo de trabajo diferente para administrar tus claves de Cloud External Key Manager (Cloud EKM). En lugar de configurar y administrar tu propio administrador de claves externo, Google Cloud y T-Systems International (TSI) realizan estos pasos por ti. Esto significa que TSI administra tus claves y versiones de claves a pedido.
En este tema, se explica cómo enviar solicitudes de operaciones de claves comunes en un proyecto de Cloud Key Management Service administrado por TSI, conocido como proyecto de administración de claves.
Antes de comenzar
Debes tener un llavero con al menos una clave antes de realizar solicitudes de operación de claves. Si necesitas un nuevo llavero y una clave, sigue los pasos que se indican en Comienza a usar Cloud KMS administrado por TSI.
Obtén el nombre del recurso de la clave
Para cualquier solicitud de operación de clave, debes proporcionar el nombre del recurso de la clave o la versión de clave que se modificará.
- Debes proporcionar el nombre del recurso de clave para crear una versión o rotar una clave.
- Debes proporcionar el nombre del recurso de la versión de clave para actualizar o destruir una versión de clave.
Solicitudes de la herramienta de seguimiento de errores
Herramienta de seguimiento de errores es una herramienta que usan Google y sus socios para hacer un seguimiento de las solicitudes de proyectos especializados. En el caso de los proyectos de Cloud Key Management Service administrados por TSI, debes usar el Herramienta de seguimiento de errores para enviar solicitudes a TSI, que luego las completa en tu proyecto de Cloud Key Management Service y administra tus claves en el administrador de claves externo.
Puedes encontrar un vínculo a la Herramienta de seguimiento de errores de tu organización en tu correo electrónico de bienvenida.
Operaciones de claves comunes
Crea una versión de clave
Usa el Herramienta de seguimiento de errores para enviar una solicitud de una versión de clave nueva. La versión de clave nueva se configura como la versión principal si es la primera versión de clave o si no hay otras versiones de clave.
En el Herramienta de seguimiento de errores, selecciona Crear versión de clave y proporciona el nombre del recurso de tu clave. Haz clic en Crear para enviar la solicitud.
Rotar clave
En el Herramienta de seguimiento de errores, indica Rotar clave en el cuerpo del ticket y proporciona el nombre del recurso de tu clave. Haz clic en Crear para enviar la solicitud.
Cuando se rota una clave, TSI genera nuevo material de clave en el EKM, crea una versión de clave nueva en tu proyecto de Cloud Key Management Service y, luego, configura la nueva versión de clave como la versión principal.
La rotación de una versión de clave hace que todos los datos creados recientemente y protegidos con esa clave se encripten con material de clave nuevo. Los datos protegidos con el material de clave anterior no se vuelven a encriptar. Como resultado, el material de claves anterior debe permanecer disponible para su uso.
Inhabilitar una versión de clave
Puedes usar la consola de Google Cloud , Google Cloud CLI o una biblioteca cliente de Cloud KMS para inhabilitar una versión de clave en el estado Habilitada. Cuando inhabilitas una versión de clave, su estado cambia a Inhabilitada. Consulta Habilita y habilita versiones de claves en la documentación de Cloud KMS para obtener más información.
Destruir una versión de clave
Para destruir una versión de clave, programa su destrucción en Cloud KMS. Esto destruye la clave de Cloud KMS y ya no se podrá acceder a los datos que esta encripta.
Si también quieres destruir la clave en el EKM de TSI, sigue estos pasos:
- Programa la destrucción de la versión de clave.
- En el Herramienta de seguimiento de errores, selecciona Destruir versión de clave en el cuerpo del ticket y proporciona el nombre del recurso de la versión de clave que deseas destruir.
- Haz clic en Crear para enviar la solicitud.
TSI confirmará tu solicitud de destrucción de claves antes de continuar. Cuando se confirma la destrucción, TSI proporciona una fecha y una hora para la destrucción de la clave. Puedes restablecer la clave antes de la destrucción.
En el período anterior a la destrucción de la clave, si restableces la versión de la clave, permanecerán la clave de Cloud KMS y la clave en el EKM de TSI.
Si la destrucción continúa según lo programado, primero se borra la clave de Cloud KMS y, luego, la clave del EKM de TSI.
Tiempo de respuesta
Usa el Herramienta de seguimiento de errores solo para operaciones de administración de claves de rutina. Una vez que se envíe una solicitud de seguimiento de problemas, es posible que recibas una respuesta de tu socio en un plazo de un día hábil.