Aggiorna il riferimento alla chiave esterna

Questa pagina mostra come aggiornare il riferimento della chiave esterna per una chiave Cloud EKM senza ruotarla. Il nuovo riferimento della chiave deve indicare lo stesso materiale della chiave del riferimento attuale. Se il materiale della chiave è stato ruotato nel sistema di gestione delle chiavi esterno del partner, devi ruotare la chiave.

Segui le istruzioni riportate in questa pagina se il sistema esterno di gestione delle chiavi del partner ha modificato il percorso o l'URI della chiave per una chiave esistente. Ad esempio, il riferimento della chiave può cambiare a seguito di una modifica del nome host del partner di gestione delle chiavi esterno o della struttura del riferimento della chiave.

Ruoli obbligatori

Per ottenere l'autorizzazione necessaria per aggiornare un riferimento a una chiave esterna, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) per la chiave. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione cloudkms.cryptoKeyVersions.update necessaria per aggiornare un riferimento a una chiave esterna.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Aggiornare l'URI di una versione della chiave senza rotazione

Per aggiornare il riferimento della chiave per una chiave EKM di Cloud che utilizzi su internet, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Seleziona il mazzo di chiavi, quindi la chiave e la versione.

  3. Fai clic su Altro e poi su Visualizza URI chiave.

  4. Fai clic su Aggiorna URI chiave.

  5. Inserisci il nuovo URI della chiave e fai clic su Salva.

Interfaccia a riga di comando gcloud

Per aggiornare l'URI della versione della chiave, utilizza il comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

Sostituisci quanto segue:

  • KEY_VERSION: il numero di versione della chiave.
  • KEY_NAME: il nome della chiave.
  • KEY_RING: il nome del mazzo di chiavi che contiene la chiave.
  • LOCATION: la posizione di Cloud KMS della raccolta di chiavi.
  • NEW_KEY_URI: il nuovo URI per il materiale della chiave esterno esistente.

Aggiornare il percorso chiave per una versione della chiave senza rotazione

Per aggiornare il riferimento della chiave per una chiave EKM Cloud utilizzata su una rete VPC, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Seleziona il mazzo di chiavi, quindi la chiave e la versione.

  3. Fai clic su Altro poi su Visualizza percorso chiave.

  4. Fai clic su Aggiorna percorso chiave.

  5. Inserisci il nuovo percorso della chiave e fai clic su Salva.

Interfaccia a riga di comando gcloud

Per aggiornare il percorso della chiave della versione della chiave, utilizza il comando gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

Sostituisci quanto segue:

  • KEY_VERSION: il numero di versione della chiave.
  • KEY_NAME: il nome della chiave.
  • KEY_RING: il nome del mazzo di chiavi che contiene la chiave.
  • LOCATION: la posizione di Cloud KMS della raccolta di chiavi.
  • NEW_KEY_PATH: il nuovo percorso per il materiale della chiave esterna esistente.