Mettre à jour la référence de clé externe

Cette page explique comment mettre à jour la référence de clé externe d'une clé Cloud EKM sans la faire pivoter. La nouvelle référence de clé doit pointer vers le même matériel de clé que la référence de clé actuelle. Si la rotation du matériel de la clé a été effectué dans le système partenaire de gestion des clés externe, vous devez effectuer la rotation de la clé.

Suivez les instructions de cette page si votre système partenaire de gestion des clés externes a modifié le chemin d'accès ou l'URI d'une clé existante. Par exemple, la référence de clé peut changer en raison d'une modification du nom d'hôte du partenaire de gestion des clés externes ou de sa structure de référence de clé.

Rôles requis

Pour obtenir l'autorisation dont vous avez besoin pour mettre à jour une référence de clé externe, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur votre clé. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation cloudkms.cryptoKeyVersions.update, qui est nécessaire pour mettre à jour une référence de clé externe.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Mettre à jour l'URI d'une version de clé sans rotation

Pour mettre à jour la référence de clé d'une clé Cloud EKM que vous utilisez sur Internet, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Sélectionnez le trousseau de clés, puis la clé et la version.

  3. Cliquez sur Plus, puis sur Afficher l'URI de la clé.

  4. Cliquez sur Mettre à jour l'URI de clé.

  5. Saisissez le nouvel URI de clé, puis cliquez sur Enregistrer.

CLI gcloud

Pour mettre à jour l'URI de la version de clé, utilisez la commande gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Remplacez les éléments suivants :

  • KEY_VERSION: numéro de version de la clé.
  • KEY_NAME : nom de la clé.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • LOCATION: emplacement Cloud KMS du trousseau de clés.
  • NEW_KEY_URI: nouvel URI du matériel de clé externe existant.

Mettre à jour le chemin d'accès d'une version de clé sans rotation

Pour mettre à jour la référence de clé d'une clé Cloud EKM que vous utilisez sur un réseau VPC, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Sélectionnez le trousseau de clés, puis la clé et la version.

  3. Cliquez sur Plus , puis sur Afficher le chemin d'accès de la clé.

  4. Cliquez sur Mettre à jour le chemin d'accès de la clé.

  5. Saisissez le nouveau chemin de clé, puis cliquez sur Enregistrer.

CLI gcloud

Pour mettre à jour le chemin d'accès de la version de clé, utilisez la commande gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Remplacez les éléments suivants :

  • KEY_VERSION: numéro de version de la clé.
  • KEY_NAME : nom de la clé.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • LOCATION: emplacement Cloud KMS du trousseau de clés.
  • NEW_KEY_PATH: nouveau chemin d'accès au matériel de clé externe existant.