Auf dieser Seite erfahren Sie, wie Sie einen Schlüssel automatisch oder manuell rotieren. Weitere Informationen zur Schlüsselrotation im Allgemeinen finden Sie unter Schlüsselrotation.
Erforderliche Rollen
Um die Berechtigungen zu erhalten, die Sie zum Rotieren von Schlüsseln benötigen, bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für Ihren Schlüssel:
-
Cloud KMS-Administrator (
roles/cloudkms.admin
) -
Daten neu verschlüsseln:
Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (
roles/cloudkms.cryptoKeyEncrypterDecrypter
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die zum Rotieren von Schlüsseln erforderlichen Berechtigungen. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Zum Rotieren von Schlüsseln sind die folgenden Berechtigungen erforderlich:
-
Primärschlüsselversion ändern:
cloudkms.cryptoKeys.update
-
So ändern oder deaktivieren Sie das automatische Drehen:
cloudkms.cryptoKeys.update
-
Neue Schlüsselversion erstellen:
cloudkms.cryptoKeyVersions.create
-
Deaktivieren Sie alte Schlüsselversionen:
cloudkms.cryptoKeyVersions.update
-
Daten neu verschlüsseln:
<ph type="x-smartling-placeholder">
- </ph>
-
cloudkms.cryptoKeyVersions.useToDecrypt
-
cloudkms.cryptoKeyVersions.useToEncrypt
-
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Ein einzelner Nutzer mit einer benutzerdefinierten Rolle, die all diese Berechtigungen umfasst, kann Schlüssel rotieren und Daten eigenständig neu verschlüsseln. Nutzer mit der Rolle „Cloud KMS-Administrator“ und Cloud KMS CryptoKey Encrypter/Decrypter können und Daten neu verschlüsseln. Folgen Sie dem Prinzip der geringste Berechtigung beim Zuweisen. Rollen. Weitere Informationen finden Sie unter Berechtigungen und Rollen:
Wenn Sie einen Schlüssel rotieren, werden Daten, die mit vorherigen Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Weitere Informationen finden Sie unter Entschlüsseln und neu verschlüsseln. Durch die Rotation eines Schlüssels werden vorhandene Schlüsselversionen nicht automatisch deaktiviert oder gelöscht.
Automatische Rotation konfigurieren
So konfigurieren Sie die automatische Rotation beim Erstellen eines neuen Schlüssels:
Console
Wenn Sie die Google Cloud Console zum Erstellen eines Schlüssels verwenden, legt Cloud KMS den Rotationszeitraum und nächster Rotationszeit automatisch. Sie können wählen, oder andere Werte angeben.
Wenn Sie beim Erstellen von Ihren Schlüssel, aber bevor Sie auf über die Schaltfläche Erstellen:
Wählen Sie für Schlüsselrotationszeitraum eine Option aus.
Wählen Sie unter Ab dem das Datum aus, an dem die erste automatische Drehung erfolgen soll. Sie können den Standardwert für Ab am beibehalten: die erste automatische Rotation einen Schlüsselrotationszeitraum nach erstellen Sie den Schlüssel.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.ROTATION_PERIOD
: das Intervall bis Schlüssel rotieren, z. B. mit30d
, um den Schlüssel alle 30 Tage zu rotieren Die Rotation Der Zeitraum muss mindestens 1 Tag und darf höchstens 100 Jahre betragen. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod verwendet werden.NEXT_ROTATION_TIME
: der Zeitstempel, zu dem der Abschluss erfolgen soll die erste Rotation, z. B."2023-01-01T01:02:03"
. Sie können die--next-rotation-time
, um die erste Rotation 7 Tage nach der Ausführung des . Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Erstellen eines Schlüssels die Methode
CryptoKey.create
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"purpose": "PURPOSE", "rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Ersetzen Sie Folgendes:
PURPOSE
: die Zweck des Schlüssels.ROTATION_PERIOD
: das Intervall bis Schlüssel rotieren, z. B. mit30d
, um den Schlüssel alle 30 Tage zu rotieren Die Rotation Der Zeitraum muss mindestens 1 Tag und darf höchstens 100 Jahre betragen. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod verwendet werden.NEXT_ROTATION_TIME
: der Zeitstempel, zu dem der Abschluss erfolgen soll die erste Rotation, z. B."2023-01-01T01:02:03"
. Sie können die--next-rotation-time
, um die erste Rotation 7 Tage nach der Ausführung des . Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
So konfigurieren Sie die automatische Rotation für einen vorhandenen Schlüssel:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, für den Sie einen Rotationsplan hinzufügen.
Klicken Sie auf den Schlüssel, dem Sie einen Rotationsplan hinzufügen möchten.
Klicken Sie in der Kopfzeile auf Rotationszeitraum bearbeiten.
Wählen Sie in der Eingabeaufforderung neue Werte für die Felder Rotationszeitraum und Beginnt am aus.
Klicken Sie in der Eingabeaufforderung auf Speichern.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys update KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.ROTATION_PERIOD
: das Intervall bis Schlüssel rotieren, z. B. mit30d
, um den Schlüssel alle 30 Tage zu rotieren Die Rotation Der Zeitraum muss mindestens 1 Tag und darf höchstens 100 Jahre betragen. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod verwendet werden.NEXT_ROTATION_TIME
: der Zeitstempel, zu dem der Abschluss erfolgen soll die erste Rotation, z. B."2023-01-01T01:02:03"
. Sie können die--next-rotation-time
, um die erste Rotation 7 Tage nach der Ausführung des . Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Aktualisieren eines Schlüssels die Methode
CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": "ROTATION_PERIOD", "nextRotationTime": "NEXT_ROTATION_TIME"}'
Ersetzen Sie Folgendes:
ROTATION_PERIOD
: das Intervall bis Schlüssel rotieren, z. B. mit30d
, um den Schlüssel alle 30 Tage zu rotieren Die Rotation Der Zeitraum muss mindestens 1 Tag und darf höchstens 100 Jahre betragen. Weitere Informationen finden Sie unter CryptoKey.rotationPeriod verwendet werden.NEXT_ROTATION_TIME
: der Zeitstempel, zu dem der Abschluss erfolgen soll die erste Rotation, z. B."2023-01-01T01:02:03"
. Sie können die--next-rotation-time
, um die erste Rotation 7 Tage nach der Ausführung des . Weitere Informationen finden Sie unter CryptoKey.nextRotationTime.
Schlüssel manuell rotieren
Erstellen Sie zuerst eine neue Schlüsselversion:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, für den Sie eine neue Schlüsselversion erstellen möchten.
Klicken Sie auf den Schlüssel, für den Sie eine neue Schlüsselversion erstellen möchten.
Klicken Sie in der Kopfzeile auf Rotieren.
Klicken Sie in der Eingabeaufforderung zur Bestätigung auf Rotieren.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.
Schlüsselversionen werden sequenziell nummeriert.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Erstellen Sie zuerst eine neue Schlüsselversion, um einen Schlüssel manuell zu rotieren. Dazu rufen Sie die Methode CryptoKeyVersions.create .
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Mit diesem Befehl wird eine neue Schlüsselversion erstellt, aber nicht als primäre Version festgelegt.
Informationen zum Festlegen einer neuen Schlüsselversion als primäre Version finden Sie unter Vorhandene Version als primäre Version festlegen Primärschlüsselversion.
Falls erforderlich, verschlüsseln Sie Daten neu, die mit der vorherigen Schlüsselversion verschlüsselt wurden.
Vorhandene Version als Primärschlüsselversion festlegen
Wenn Sie eine andere Schlüsselversion als primäre Version für einen Schlüssel festlegen möchten, aktualisieren Sie den Schlüssel mit den neuen primären Versionsinformationen. Eine Schlüsselversion muss aktiviert sein, bevor Sie sie als primäre Version konfigurieren können.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, dessen primäre Version Sie aktualisieren möchten.
Klicken Sie auf den Schlüssel, dessen primäre Version Sie aktualisieren möchten.
Klicken Sie in der Zeile für die Schlüsselversion, die Sie als primäre Version festlegen möchten, auf Mehr anzeigen
.Klicken Sie im Menü auf Als primäre Version festlegen.
Klicken Sie in der Bestätigungsaufforderung auf Als primäre E-Mail-Adresse festlegen.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary-version KEY_VERSION
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.- KEY_VERSION: Die Versionsnummer der neuen Primärschlüsselversion.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Ändern Sie die Primärschlüsselversion, indem Sie die Methode CryptoKey.updatePrimaryVersion .
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME:updatePrimaryVersion" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"cryptoKeyVersionId": "KEY_VERSION"}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.KEY_NAME
: Der Name des Schlüssels.- KEY_VERSION: Die Versionsnummer der neuen Primärschlüsselversion.
Wenn Sie die Primärschlüsselversion ändern, ist die Änderung normalerweise einheitlich. innerhalb von 1 Minute. Es kann jedoch bis zu drei Stunden dauern, Ausnahmefällen zu vermeiden. Während dieser Zeit kann die vorherige Hauptversion für Folgendes verwendet werden: Daten zu verschlüsseln. Weitere Informationen finden Sie unter Konsistenz von Cloud KMS-Ressourcen.
Automatische Rotation deaktivieren
Löschen Sie den Rotationsplan des Schlüssels, um die automatische Rotation für einen Schlüssel zu deaktivieren:
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, für den Sie entfernen Sie den Rotationsplan.
Klicken Sie auf den Schlüssel, für den Sie den Rotationsplan entfernen möchten.
Klicken Sie in der Kopfzeile auf Rotationszeitraum bearbeiten.
Klicken Sie in der Eingabeaufforderung auf das Feld Rotationszeitraum und wählen Sie Nie (manuelle Rotation).
Klicken Sie in der Eingabeaufforderung auf Speichern.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys update KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --remove-rotation-schedule
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Verwenden Sie zum Aktualisieren eines Schlüssels die Methode
CryptoKey.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?updateMask=rotationPeriod,nextRotationTime" \ --request "PATCH" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data '{"rotationPeriod": null, "nextRotationTime": null}'
Weitere Informationen zu rotationPeriod
und nextRotationTime
finden Sie unter
keyRings.cryptoKeys
Externen Schlüssel rotieren
Koordinierten externen Schlüssel rotieren
Sie können die automatische Rotation für symmetrische, koordinierte externen Schlüssel verwenden. Sie können auch manuell eine neue Schlüsselversion für symmetrische oder asymmetrische koordinierte externe Schlüssel.
Durch das Rotieren oder Erstellen einer neuen Schlüsselversion werden alle neu erstellten Daten geschützt mit diesem Schlüssel, um ihn mit der neuen Schlüsselversion zu verschlüsseln. Geschützt durch eine frühere Schlüsselversion nicht neu verschlüsselt wird. Daher wird Ihr externer Schlüssel muss weiterhin das Schlüsselmaterial der vorherigen Schlüsselversion erstellen. verwendet werden können.
So erstellen Sie eine neue Schlüsselversion für einen koordinierten externen Schlüssel:
Console
Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.
Wählen Sie den Schlüsselbund und dann den Schlüssel aus.
Klicken Sie auf Create version (Version erstellen). Eine Meldung gibt an, dass Ihre neue Schlüsselversion werden sowohl in Cloud KMS als auch in Ihrem EKM generiert. Wenn Sie eine Schlüsselpfad oder Schlüssel-URI angeben, ist der ausgewählte Schlüssel kein koordinierter Schlüssel externen Schlüssel.
Klicken Sie auf Erstellen, um zu bestätigen, dass Sie eine neue Schlüsselversion erstellen möchten.
Die neue Schlüsselversion wird mit dem Status Generierung ausstehend angezeigt. Für symmetrische werden manuell erstellte Schlüsselversionen nicht automatisch als Primärschlüsselversion. Sie können Ihre neue Schlüsselversion festlegen als primär.
gcloud-CLI
Um eine neue symmetrische Schlüsselversion zu erstellen und als Primärschlüsselversion festzulegen,
Verwenden Sie den Befehl kms keys versions create
mit dem Flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --primary
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.
So erstellen Sie eine neue asymmetrische Schlüsselversion oder einen neuen symmetrischen Schlüssel
die nicht die Primärschlüsselversion ist, verwenden Sie den Befehl kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.
Manuell verwalteten Cloud EKM über VPC-Schlüssel rotieren
Rotieren Sie zuerst das externe Schlüsselmaterial in Ihrem External Key Manager. Wenn das zu einem neuen Schlüsselpfad führt, müssen Sie rotieren oder einen neuen Cloud EKM erstellen Schlüsselversion mit dem neuen Schlüsselpfad. rotate Sie für symmetrische Verschlüsselungsschlüssel den Cloud EKM-Schlüssel und geben Sie den neuen Schlüsselpfad von Ihrem externen Schlüssel an Administrator. Erstellen Sie für asymmetrische Schlüssel eine neue Schlüsselversion und geben Sie den neuen Schlüssel an. Pfad.
Durch das Rotieren oder Erstellen einer neuen Schlüsselversion werden alle neu erstellten Daten geschützt mit diesem Schlüssel, um ihn mit der neuen Schlüsselversion zu verschlüsseln. Geschützt durch eine frühere Schlüsselversion nicht neu verschlüsselt wird. Deshalb wird Ihr externer Schlüssel muss weiterhin das Schlüsselmaterial der vorherigen Schlüsselversion erstellen. verwendet werden können.
Wenn sich das Schlüsselmaterial im Partnersystem für die externe Schlüsselverwaltung nicht ändert, aber der Schlüssel ändern Sie den Pfad, können Sie den externen Schlüssel Pfad, ohne den Schlüssel zu rotieren.
Console
Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.
Wählen Sie den Schlüsselbund und dann den Schlüssel aus.
Klicken Sie auf Schlüssel rotieren.
Geben Sie unter Schlüsselpfad den Schlüsselpfad für die neue Version ein.
Klicken Sie zur Bestätigung auf Schlüssel rotieren.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
Um eine neue symmetrische Schlüsselversion zu erstellen und als Primärschlüsselversion festzulegen,
Verwenden Sie den Befehl kms keys versions create
mit dem Flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH \ --primary
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.EXTERNAL_KEY_PATH
: Pfad zum neuen externen Netzwerk Schlüsselversion.
So erstellen Sie eine neue asymmetrische Schlüsselversion oder einen neuen symmetrischen Schlüssel
die nicht die Primärschlüsselversion ist, verwenden Sie den Befehl kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path EXTERNAL_KEY_PATH
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.EXTERNAL_KEY_PATH
: Pfad zum neuen externen Netzwerk Schlüsselversion.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
Nachdem die Schlüsselversion erstellt wurde, können Sie sie wie gewohnt verwenden. eine beliebige andere Cloud KMS-Schlüsselversion verwenden.
Manuell verwalteten Cloud EKM über Internetschlüssel rotieren
Rotieren Sie zuerst das externe Schlüsselmaterial in Ihrem External Key Manager. Wenn das zu einem neuen URI führt, müssen Sie den Cloud EKM-Schlüssel rotieren oder einen neuen erstellen. Version mit dem neuen URI. rotate Sie für symmetrische Verschlüsselungsschlüssel den Cloud EKM-Schlüssel und geben Sie den neuen Schlüssel-URI aus Ihrem externen Schlüssel an Manager. Erstellen Sie für asymmetrische Schlüssel eine neue Schlüsselversion und geben Sie den neuen Schlüssel an. URI.
Durch das Rotieren oder Erstellen einer neuen Schlüsselversion werden alle neu erstellten Daten geschützt mit diesem Schlüssel, um ihn mit der neuen Schlüsselversion zu verschlüsseln. Geschützt durch eine frühere Schlüsselversion nicht neu verschlüsselt wird. Daher wird Ihr externer Schlüssel muss weiterhin das Schlüsselmaterial der vorherigen Schlüsselversion erstellen. verwendet werden können.
Wenn sich das Schlüsselmaterial im Partnersystem für die externe Schlüsselverwaltung nicht ändert, aber der URI können Sie die externe URL des Schlüssels URI ohne den Schlüssel zu rotieren.
Console
Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.
Wählen Sie den Schlüsselbund und dann den Schlüssel aus.
Wählen Sie Schlüssel rotieren für symmetrische Schlüssel oder Version erstellen für asymmetrische Schlüssel.
Geben Sie den neuen Schlüssel-URI ein und wählen Sie dann Schlüssel rotieren für symmetrische Schlüssel oder Erstellen Sie eine Version für asymmetrische Schlüssel.
Die neue Schlüsselversion wird die Hauptversion.
gcloud-CLI
Um eine neue symmetrische Schlüsselversion zu erstellen und als Primärschlüsselversion festzulegen,
Verwenden Sie den Befehl kms keys versions create
mit dem Flag --primary
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI \ --primary
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.EXTERNAL_KEY_URI
: Schlüssel-URI des neuen externen Elements Schlüsselversion.
So erstellen Sie eine neue asymmetrische Schlüsselversion oder einen neuen symmetrischen Schlüssel
die nicht die Primärschlüsselversion ist, verwenden Sie den Befehl kms keys versions
create
:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthält.LOCATION
: der Cloud KMS-Standort des Schlüsselbunds.EXTERNAL_KEY_URI
: Schlüssel-URI des neuen externen Elements Schlüsselversion.