In Cloud KMS wird das kryptografische Schlüsselmaterial, das Sie zum Verschlüsseln, Entschlüsseln, Signieren und Prüfen von Daten verwenden, in einer Schlüsselversion gespeichert. Ein Schlüssel hat null oder mehr Schlüsselversionen. Wenn Sie einen Schlüssel rotieren, erstellen Sie eine neue Schlüsselversion.
In diesem Thema erfahren Sie, wie Sie eine Schlüsselversion deaktivieren können. Während der Deaktivierung eines Schlüssels kann nicht auf die mit dem Schlüssel verschlüsselten Daten zugegriffen werden. Sie können die Schlüsselversion wieder aktivieren, um auf die Daten zuzugreifen.
Das Deaktivieren einer Schlüsselversion ist innerhalb eines Zeitraums von mehreren Sekunden bis zu drei Stunden konsistent. Die Schlüsselversion lässt sich fast sofort aktivieren. Sie können den Zugriff auf eine Schlüsselversion auch mit Identity and Access Management (IAM) verwalten. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Weitere Informationen finden Sie unter IAM verwenden.
Sie können auch eine Schlüsselversion dauerhaft löschen. Abhängig von Ihren Organisationsrichtlinien müssen Sie möglicherweise eine Schlüsselversion deaktivieren. bevor du es zerstören kannst. Weitere Informationen finden Sie unter Schlüsselversion steuern Vernichtung.
Schlüsselversion deaktivieren
Sie können eine Schlüsselversion im Status „Aktiviert“ deaktivieren. Bevor Sie eine Schlüsselversion deaktivieren, sollten Sie prüfen, ob der Schlüssel noch verwendet wird. Sie können Rufen Sie Details zum Tracking der Schlüsselnutzung für den Schlüssel ab, um zu sehen, ob CMEK-Ressourcen geschützt werden. Wenn Ressourcen durch das Schlüsselversion, die Sie deaktivieren möchten, verschlüsseln Sie sie mit einer anderen Schlüsselversion neu. bevor Sie den Schlüssel deaktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Keyrings, der den Schlüssel enthält, dessen Schlüsselversion Sie deaktivieren möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie deaktivieren möchten.
Klicken Sie auf das Kästchen neben den Schlüsselversionen, die Sie deaktivieren möchten.
Klicken Sie im Header auf Deaktivieren.
Klicken Sie in der Bestätigungsaufforderung auf Deaktivieren.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms keys versions disable key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die Version des Schlüssels, die deaktiviert werden soll. Ersetzen Sie key durch den Namen des Schlüssels. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Nachdem Sie die Anfrage gesendet haben, ändert sich der Status der Schlüsselversion in „Deaktiviert“.
Deaktivierte Schlüsselversionen werden in Rechnung gestellt.
Externen Schlüssel deaktivieren oder löschen
Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel vorübergehend deaktivieren möchten, können Sie den Cloud EKM-Schlüssel oder die Schlüsselversion deaktivieren. Es wird empfohlen, alle Schlüsselversionen zu deaktivieren. Das Deaktivieren eines Schlüssels erfolgt innerhalb von drei Stunden.
Wenn Sie einen Schlüssel deaktivieren, sollten Sie auch den Zugriff auf den Schlüssel widerrufen. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Vielleicht sollten Sie auch den Zugriff des Google Cloud-Dienstkontos im Partnersystem für die externe Schlüsselverwaltung widerrufen.
Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel endgültig entfernen möchten, können Sie die Cloud EKM-Schlüsselversion zum Löschen vormerken. Nach dem geplanten Zeitraum für das Löschen wird der Schlüssel gelöscht. Zerstören eines Schlüsselversion dauerhaft. Nachdem die Schlüsselversion gelöscht wurde, können Sie keine Daten mehr verschlüsseln oder Daten entschlüsseln, die mit der Cloud EKM-Schlüsselversion verschlüsselt wurden. Sie können keine Cloud EKM-Schlüsselversion neu erstellen, die zuvor auch dann, wenn Sie denselben externen Schlüssel-URI oder Schlüsselpfad verwenden. Wann? externes Schlüsselmaterial löschen, empfehlen wir, zuerst den Schlüssel oder Schlüssel zu löschen Version in Google Cloud und erst, nachdem der Cloud EKM-Schlüssel und das Schlüsselmaterial im externen Schlüsselverwaltungssystem wird zerstört.
Durch das Deaktivieren eines Schlüssels oder einer Schlüsselversion in Cloud KMS wird der Schlüssel im Partnersystem der externen Schlüsselverwaltung nicht geändert.
Durch das Löschen einer manuell verwalteten Schlüsselversion in Cloud KMS ändert sich nichts Schlüssel im externen Schlüsselverwaltungs-Partnersystem. koordinierten externen Schlüssel löschen in Cloud KMS löscht das interne Schlüsselmaterial und sendet eine an das Partnersystem für die externe Schlüsselverwaltung senden, um das externe Schlüsselmaterial zu löschen.
Schlüsselversion aktivieren
Sie können eine Schlüsselversion im deaktivierten Status aktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält, dessen Schlüsselversion Sie auswählen möchten.
Klicken Sie auf den Schlüssel, dessen Schlüsselversion Sie aktivieren möchten.
Klicken Sie auf die Kästchen neben den Schlüsselversionen, die Sie aktivieren möchten.
Klicken Sie im Header auf Aktivieren.
Klicken Sie in der Bestätigungsaufforderung auf Aktivieren.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
gcloud kms keys versions enable key-version \ --key key \ --keyring key-ring \ --location location
Ersetzen Sie key-version durch die zu aktivierende Version des Schlüssels. Ersetzen Sie key durch den Schlüsselnamen. Ersetzen Sie key-ring durch den Namen des Schlüsselbunds, in dem sich der Schlüssel befindet. Ersetzen Sie location durch den Cloud KMS-Standort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Nachdem Sie die Anfrage gesendet haben, ändert sich der Status der Schlüsselversion in „Aktiviert“.
Erforderliche IAM-Berechtigungen
Zum Aktivieren oder Deaktivieren einer Schlüsselversion benötigt der Aufrufer die IAM-Berechtigung cloudkms.cryptoKeyVersions.update
für den Schlüssel, den Schlüsselbund oder das Projekt, den Ordner oder die Organisation.
Diese Berechtigung wird der Cloud KMS-Administratorrolle (roles/cloudkms.admin
) gewährt.