Enquanto cliente do T-Systems Sovereign Cloud, usa um fluxo de trabalho diferente para gerir as suas chaves do Cloud External Key Manager (Cloud EKM). Em vez de configurar e gerir o seu próprio gestor de chaves externo, Google Cloud a T-Systems International (TSI) trata destes passos por si. Isto significa que a TSI gere as suas chaves e versões de chaves a seu pedido.
Este tópico aborda como enviar pedidos de operações de chaves comuns num projeto do Cloud Key Management Service gerido pela TSI, normalmente conhecido como o projeto de gestão de chaves.
Antes de começar
Tem de ter um porta-chaves com, pelo menos, uma chave antes de fazer pedidos de operações com chaves. Se precisar de um novo conjunto de chaves e chave, siga os passos descritos no artigo Introdução ao Cloud KMS gerido pela TSI.
Obtenha o nome do recurso da chave
Para qualquer pedido de operação de chave, tem de indicar o nome do recurso da chave ou da versão da chave a modificar.
- Tem de fornecer o nome do recurso key para criar uma versão ou rodar uma chave.
- Tem de fornecer o nome do recurso da versão da chave para atualizar ou destruir uma versão da chave.
Solicitações do Issue Tracker
O Issue Tracker é uma ferramenta usada pela Google e pelos respetivos parceiros para acompanhar pedidos de projetos especializados. Para projetos do Cloud Key Management Service geridos pela TSI, tem de usar o Issue Tracker para enviar pedidos à TSI, que, em seguida, satisfaz os pedidos no seu projeto do Cloud Key Management Service e gere as suas chaves no gestor de chaves externo.
Pode encontrar um link para o Issue Tracker da sua organização no email de boas-vindas.
Operações de teclas comuns
Crie uma versão da chave
Use o Issue Tracker para enviar um pedido de uma nova versão da chave. A nova versão da chave é definida como a versão principal se for a primeira versão da chave ou se não existirem outras versões da chave.
No Issue Tracker, selecione Criar versão da chave e indique o nome do recurso da sua chave. Clique em Criar para enviar a sua solicitação.
Alterne a chave
No Issue Tracker, indique Alternar chave no corpo do pedido e faculte o nome do recurso da sua chave. Clique em Criar para enviar a sua solicitação.
Quando uma chave é rodada, o TSI gera novo material de chave no EKM, cria uma nova versão da chave no seu projeto do Serviço de gestão de chaves na nuvem e, em seguida, define a nova versão da chave como a versão principal.
A rotação de uma versão da chave faz com que todos os dados criados recentemente protegidos com essa chave sejam encriptados com novo material de chave. Os dados protegidos com material de chave anterior não são reencriptados. Como resultado, o material da chave anterior tem de permanecer disponível para utilização.
Desative uma versão da chave
Pode usar a Google Cloud consola, a Google Cloud CLI ou uma biblioteca cliente do Cloud KMS para desativar uma versão de chave no estado Ativado. Quando desativa uma versão de chave, o respetivo estado é alterado para Desativado. Consulte o artigo Ativar e desativar versões de chaves na documentação do Cloud KMS para mais informações.
Destrua uma versão de chave
Para destruir uma versão de chave, agende a versão de chave para destruição no Cloud KMS. Isto destrói a chave do Cloud KMS e os dados encriptados pela chave vão deixar de estar acessíveis.
Se também quiser destruir a chave no EKM da TSI:
- Agende a versão da chave para destruição.
- No Issue Tracker, selecione Destroy key version no corpo do pedido e indique o nome do recurso da versão da chave que quer destruir.
- Clique em Criar para enviar a sua solicitação.
O TSI confirma o seu pedido de destruição de chaves consigo antes de prosseguir. Quando a destruição é confirmada, a TSI indica uma data e uma hora para a destruição da chave. Pode restaurar a chave antes da destruição.
No período anterior à destruição da chave, se restaurar a versão da chave, a chave do Cloud KMS e a chave no EKM da TSI permanecem.
Se a destruição continuar conforme agendado, a chave do Cloud KMS é eliminada primeiro e, em seguida, a chave no EKM do TSI é eliminada.
Tempo de resposta
Use o Issue Tracker apenas para operações de gestão de chaves de rotina. Depois de enviar uma solicitação do Issue Tracker, deve receber uma resposta do seu parceiro no prazo de um dia útil.