Como cliente do T-Systems Sovereign Cloud, você usa um fluxo de trabalho diferente para gerenciar suas chaves do Cloud External Key Manager (Cloud EKM). Em vez de configurar e gerenciar seu próprio gerenciador de chaves externo,o Google Cloud e o T-Systems International (TSI) realizam essas etapas para você. Isso significa que o TSI gerencia suas chaves e versões de chaves conforme sua solicitação.
Este tópico aborda como enviar solicitações para operações de chaves comuns em um projeto do Cloud Key Management Service gerenciado por TSI, conhecido como projeto de gerenciamento de chaves.
Antes de começar
Você precisa ter um keyring com pelo menos uma chave antes de fazer solicitações de operação de chave. Se você precisar de um novo keyring e chave, siga as etapas em Primeiros passos com o Cloud KMS gerenciado pela TSI.
Conseguir o nome do recurso da chave
Para qualquer solicitação de operação de chave, é necessário fornecer o nome do recurso da chave ou da versão da chave a ser modificada.
- É necessário fornecer o nome do recurso chave para criar uma versão ou girar uma chave.
- É necessário fornecer o nome do recurso da versão da chave para atualizar ou destruir uma versão da chave.
Solicitações do Issue Tracker
O Issue Tracker é uma ferramenta usada pelo Google e seus parceiros para acompanhar solicitações de projetos especializados. Para projetos do Cloud Key Management Service gerenciados pelo TSI, use o Issue Tracker para enviar solicitações ao TSI, que as atende no projeto do Cloud Key Management Service e gerencia suas chaves no gerenciador de chaves externas.
Você pode encontrar um link para o Issue Tracker da sua organização no e-mail de boas-vindas.
Operações de chave comuns
Criar uma versão da chave
Use o Issue Tracker para enviar uma solicitação de uma nova versão da chave. A nova versão da chave será definida como a principal se for a primeira versão da chave ou se não houver outras versões.
No Issue Tracker, selecione Create key version e informe o nome do recurso da chave. Clique em Criar para enviar sua solicitação.
Alternar chave
No Issue Tracker, indique Rotate key no corpo do tíquete e informe o nome do recurso da chave. Clique em Criar para enviar sua solicitação.
Quando uma chave é rotacionada, o TSI gera um novo material de chave no EKM, cria uma nova versão de chave no projeto do Cloud Key Management Service e define a nova versão de chave como a principal.
A rotação de uma versão de chave faz com que todos os dados recém-criados protegidos com essa chave sejam criptografados com um novo material de chave. Os dados protegidos com o material de chave anterior não são recriptografados. Como resultado, o material de chave anterior precisa permanecer disponível para uso.
Desativar uma versão de chave
É possível usar o console do Google Cloud , a Google Cloud CLI ou uma biblioteca de cliente do Cloud KMS para desativar uma versão de chave no estado Ativado. Quando você desativa uma versão de chave, o estado dela muda para Desativado. Consulte Como ativar e desativar versões de chaves na documentação do Cloud KMS para mais informações.
Destruir uma versão de chave
Para destruir uma versão de chave, programe a versão da chave para destruição no Cloud KMS. Isso destrói a chave do Cloud KMS, e os dados criptografados por ela não poderão mais ser acessados.
Se você também quiser destruir a chave no EKM do TSI:
- Programe a versão da chave para destruição.
- No Issue Tracker, selecione Destroy key version no corpo do tíquete e forneça o nome do recurso da versão da chave que você quer destruir.
- Clique em Criar para enviar sua solicitação.
O TSI confirma seu pedido de destruição de chaves com você antes de prosseguir. Quando a destruição é confirmada, o TSI informa uma data e hora em que a chave será destruída. É possível restaurar a chave antes da destruição.
No período antes da destruição da chave, se você restaurar a versão da chave, a chave do Cloud KMS e a chave no EKM do TSI vão permanecer.
Se a destruição continuar conforme programado, a chave do Cloud KMS será excluída primeiro, e depois a chave no EKM do TSI será excluída.
Tempo de resposta
Use o Issue Tracker apenas para operações de gerenciamento de chaves de rotina. Depois que uma solicitação do Issue Tracker for enviada, você vai receber uma resposta do parceiro em até um dia útil.