In qualità di cliente di T-Systems Sovereign Cloud, utilizzi un flusso di lavoro diverso per gestire le chiavi di Cloud External Key Manager (Cloud EKM). Anziché configurare e gestire il tuo gestore delle chiavi esterno, Google Cloud e T-Systems International (TSI) gestiranno questi passaggi per te. Ciò significa che TSI gestisce le tue chiavi e le relative versioni su tua richiesta.
Questo argomento spiega come inviare richieste per operazioni comuni con le chiavi in un progetto Cloud Key Management Service gestito da TSI, comunemente noto come Key Management Project.
Prima di iniziare
Devi avere un mazzo di chiavi con almeno una chiave prima di effettuare richieste di operazioni sulle chiavi. Se hai bisogno di un nuovo mazzo di chiavi e di una nuova chiave, segui i passaggi descritti in Introduzione a Cloud KMS gestito da TSI.
Recupera il nome della risorsa della chiave
Per qualsiasi richiesta di operazione con le chiavi, devi specificare il nome della risorsa della chiave o della versione della chiave da modificare.
- Devi fornire il nome della risorsa chiave per creare una versione o ruotare una chiave.
- Per aggiornare o eliminare una versione della chiave, devi fornire il nome della risorsa versione della chiave.
Richieste di Issue Tracker
Issue Tracker è uno strumento utilizzato da Google e dai suoi partner per monitorare le richieste per progetti specializzati. Per i progetti Cloud Key Management Service gestiti da TSI, utilizzi Issue Tracker per inviare richieste a TSI, che poi soddisfa le richieste nel tuo progetto Cloud Key Management Service e gestisce le tue chiavi nel gestore delle chiavi esterne.
Puoi trovare un link all'Issue Tracker della tua organizzazione nell'email di benvenuto.
Operazioni comuni con le chiavi
Creare una versione della chiave
Utilizza Issue Tracker per inviare una richiesta per una nuova versione della chiave. La nuova versione della chiave viene impostata come versione principale se è la prima versione della chiave o se non sono presenti altre versioni della chiave.
In Issue Tracker, seleziona Crea versione della chiave e fornisci il nome della risorsa della chiave. Fai clic su Crea per inviare la richiesta.
Ruota la chiave
In Issue Tracker, indica Rota chiave nel corpo del ticket e fornisci il nome della risorsa della chiave. Fai clic su Crea per inviare la richiesta.
Quando una chiave viene ruotata, TSI genera nuovo materiale della chiave nell'EKM, crea una nuova versione della chiave nel progetto Cloud Key Management Service e poi imposta la nuova versione della chiave come principale.
La rotazione di una versione della chiave fa sì che tutti i dati appena creati protetti con quella chiave vengano criptati con nuovo materiale della chiave. I dati protetti con il materiale della chiave precedente non vengono nuovamente criptati. Di conseguenza, il materiale della chiave precedente deve rimanere disponibile per l'utilizzo.
Disabilitazione della versione di una chiave
Puoi utilizzare la console Google Cloud , Google Cloud CLI o una libreria client Cloud KMS per disattivare una versione della chiave nello stato Attivata. Quando disattivi una versione della chiave, il relativo stato diventa Disattivata. Per ulteriori informazioni, consulta la sezione Abilitazione e disattivazione delle versioni della chiave nella documentazione di Cloud KMS.
Distruzione della versione di una chiave
Per eliminare una versione della chiave, pianifica l'eliminazione della versione della chiave in Cloud KMS. In questo modo, la chiave Cloud KMS viene distrutta e i dati criptati dalla chiave non saranno più accessibili.
Se vuoi distruggere anche la chiave nell'EKM di TSI:
- Pianifica l'eliminazione della versione della chiave.
- In Issue Tracker, seleziona Distruggi versione chiave nel corpo del ticket e fornisci il nome della risorsa della versione della chiave che vuoi eliminare.
- Fai clic su Crea per inviare la richiesta.
TSI conferma la tua richiesta di distruzione della chiave prima di procedere. Una volta confermata la distruzione, TSI fornisce una data e un'ora in cui la chiave verrà distrutta. Puoi ripristinare la chiave prima della distruzione.
Nel periodo precedente all'eliminazione della chiave, se ripristina la versione della chiave, rimarranno sia la chiave Cloud KMS sia la chiave nell'EKM di TSI.
Se l'eliminazione continua come pianificato, viene eliminata prima la chiave Cloud KMS e poi la chiave nell'EKM di TSI.
Data/ora della risposta
Utilizza Issue Tracker solo per le operazioni di gestione delle chiavi di routine. Una volta inviata una richiesta di Issue Tracker, puoi aspettarti di ricevere una risposta dal tuo partner entro un giorno lavorativo.