En tant que client de T-Systems Sovereign Cloud, vous utilisez un workflow différent pour gérer vos clés Cloud External Key Manager (Cloud EKM). Au lieu de configurer et de gérer votre propre gestionnaire de clés externe, Google Cloud et T-Systems International (TSI) s'en chargent pour vous. Cela signifie que TSI gère vos clés et versions de clé à votre demande.
Cette section explique comment envoyer des requêtes pour des opérations de clé courantes dans un projet Cloud Key Management Service géré par TSI, communément appelé projet de gestion des clés.
Avant de commencer
Vous devez disposer d'un trousseau de clés contenant au moins une clé avant de pouvoir effectuer des requêtes d'opération de clé. Si vous avez besoin d'un nouveau trousseau de clés et d'une nouvelle clé, suivez la procédure décrite dans la section Premiers pas avec Cloud KMS géré par TSI.
Obtenir le nom de ressource de la clé
Pour toute requête d'opération de clé, vous devez fournir le nom de la ressource de la clé ou de la version de clé à modifier.
- Vous devez indiquer le nom de la ressource clé pour créer une version ou effectuer une rotation de clé.
- Vous devez indiquer le nom de la ressource version de clé pour mettre à jour ou détruire une version de clé.
Requêtes Issue Tracker
Issue Tracker est un outil utilisé par Google et ses partenaires pour suivre les demandes de projets spécialisés. Pour les projets Cloud Key Management Service gérés par TSI, vous utilisez Issue Tracker pour envoyer des demandes à TSI, qui les traite ensuite dans votre projet Cloud Key Management Service et gère vos clés dans le gestionnaire de clés externes.
Vous trouverez un lien vers l'outil Issue Tracker de votre organisation dans votre e-mail de bienvenue.
Opérations de clé courantes
Créer une version de clé
Utilisez Issue Tracker pour demander une nouvelle version de clé. La nouvelle version de clé est définie comme version principale s'il s'agit de la première version de clé ou s'il n'y a pas d'autres versions de clé.
Dans Issue Tracker, sélectionnez Créer une version de clé et indiquez le nom de la ressource de votre clé. Cliquez sur Créer pour envoyer votre demande.
Alterner la clé
Dans Issue Tracker, indiquez Rotation de la clé dans le corps de la demande et fournissez le nom de la ressource de votre clé. Cliquez sur Créer pour envoyer votre demande.
Lorsqu'une clé est rotée, TSI génère un nouveau matériel de clé dans l'EKM, crée une nouvelle version de clé dans votre projet Cloud Key Management Service, puis définit la nouvelle version de clé comme version principale.
La rotation d'une version de clé entraîne le chiffrement de toutes les données nouvellement créées et protégées par cette clé avec un nouveau matériel de clé. Les données protégées par le matériel de clé précédent ne sont pas rechiffrées. Par conséquent, votre matériel de clé précédent doit rester disponible.
Désactiver une version de clé
Vous pouvez utiliser la console Google Cloud , la Google Cloud CLI ou une bibliothèque cliente Cloud KMS pour désactiver une version de clé à l'état Activé. Lorsque vous désactivez une version de clé, son état passe à Désactivée. Pour en savoir plus, consultez la section Activer et désactiver des versions de clé dans la documentation Cloud KMS.
Détruire une version de clé
Pour détruire une version de clé, programmez sa destruction dans Cloud KMS. La clé Cloud KMS est alors détruite, et les données chiffrées par cette clé ne sont plus accessibles.
Si vous souhaitez également détruire la clé dans l'EKM de TSI:
- Programmez la destruction de la version de clé.
- Dans Issue Tracker, sélectionnez Destroy key version (Supprimer la version de clé) dans le corps de la demande et indiquez le nom de la ressource de la version de clé que vous souhaitez supprimer.
- Cliquez sur Créer pour envoyer votre demande.
TSI vous confirme votre demande de destruction de clé avant de continuer. Une fois la destruction confirmée, TSI indique la date et l'heure de destruction de la clé. Vous pouvez restaurer la clé avant la destruction.
Avant la destruction de la clé, si vous restaurez votre version de clé, la clé Cloud KMS et la clé de l'EKM de TSI resteront.
Si la destruction se poursuit comme prévu, la clé Cloud KMS est d'abord supprimée, puis la clé de l'EKM de TSI.
Temps de réponse
Utilisez l'Issue Tracker uniquement pour les opérations de gestion des clés de routine. Une fois votre demande envoyée via Issue Tracker, vous devriez recevoir une réponse de votre partenaire sous un jour ouvré.