作为 T-Systems Sovereign Cloud 客户,您需要使用其他工作流来管理 Cloud External Key Manager (Cloud EKM) 密钥。您无需设置和管理自己的外部密钥管理器, Google Cloud 和 T-Systems International (TSI) 会为您处理这些步骤。这意味着,TSI 会根据您的请求管理您的密钥和密钥版本。
本主题介绍了如何在 TSI 管理的 Cloud Key Management Service 项目(通常称为密钥管理项目)中提交常见密钥操作的请求。
准备工作
您需要拥有至少包含一个密钥的密钥环,然后才能发出密钥操作请求。如果您需要新的密钥环和密钥,请按照 TSI 管理的 Cloud KMS 入门中的步骤操作。
获取密钥的资源名称
对于任何密钥操作请求,您都需要提供要修改的密钥或密钥版本的资源名称。
- 您需要提供密钥资源名称才能创建版本或轮替密钥。
- 您需要提供密钥版本资源名称,才能更新或销毁密钥版本。
问题跟踪器请求
问题跟踪器是 Google 及其合作伙伴用来跟踪专门项目的请求的工具。对于 TSI 管理的 Cloud Key Management Service 项目,您可以使用问题跟踪器向 TSI 提交请求,TSI 会在您的 Cloud Key Management Service 项目中执行请求,并在外部密钥管理器中管理您的密钥。
您可以在欢迎电子邮件中找到指向贵组织问题跟踪器的链接。
常见的密钥操作
创建密钥版本
使用问题跟踪器提交新密钥版本的请求。如果新密钥版本是第一个密钥版本,或者没有其他密钥版本,则系统会将其设置为主密钥版本。
在问题跟踪器中,选择创建密钥版本,然后提供密钥的资源名称。点击创建以提交您的请求。
轮替密钥
在问题跟踪器中,在工单正文中注明轮替密钥,并提供密钥的资源名称。点击创建以提交您的请求。
轮替密钥时,TSI 会在 EKM 中生成新的密钥材料,在 Cloud Key Management Service 项目中创建新的密钥版本,然后将新的密钥版本设置为主版本。
轮替密钥版本会导致使用该密钥保护的所有新创建数据都使用新的密钥材料进行加密。使用先前密钥材料保护的数据不会重新加密。因此,您之前的密钥材料需要保持可用状态。
停用密钥版本
您可以使用 Google Cloud 控制台、Google Cloud CLI 或 Cloud KMS 客户端库停用处于已启用状态的密钥版本。停用密钥版本后,其状态会变为已停用。如需了解详情,请参阅 Cloud KMS 文档中的启用和停用密钥版本。
销毁密钥版本
如需销毁密钥版本,请在 Cloud KMS 中安排销毁密钥版本。这会销毁 Cloud KMS 密钥,并且您将无法再访问使用该密钥加密的数据。
如果您还想在 TSI 的 EKM 中销毁密钥,请执行以下操作:
- 安排销毁密钥版本。
- 在问题跟踪器中,选择工单正文中的销毁密钥版本,然后提供要销毁的密钥版本的资源名称。
- 点击创建以提交您的请求。
TSI 会先与您确认密钥销毁请求,然后再继续处理。确认销毁后,TSI 会提供密钥销毁的日期和时间。您可以在销毁前恢复密钥。
在密钥被销毁之前,如果您恢复密钥版本,Cloud KMS 密钥和 TSI 的 EKM 中的密钥都将保留。
如果销毁按计划继续进行,系统会先删除 Cloud KMS 密钥,然后再删除 TSI 的 EKM 中的密钥。
响应时间
请仅将问题跟踪器用于常规密钥管理操作。提交问题跟踪器请求后,您应该会在 1 个工作日内收到合作伙伴的回复。