本页介绍了如何在不轮替 Cloud EKM 密钥的情况下更新 Cloud EKM 密钥的外部密钥引用。新密钥引用必须指向与当前密钥引用相同的密钥材料。如果密钥材料已在外部密钥管理合作伙伴系统中轮替,则必须改为轮替密钥。
如果外部密钥管理合作伙伴系统更改了现有密钥的密钥路径或密钥 URI,请按照本页中的说明操作。例如,如果外部密钥管理合作伙伴的主机名发生变化或其密钥引用结构发生变化,密钥引用可能会发生变化。
所需的角色
如需获得更新外部密钥引用所需的权限,请让您的管理员为您授予密钥的 Cloud KMS Admin (roles/cloudkms.admin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含更新外部键引用所需的 cloudkms.cryptoKeyVersions.update 权限。
更新密钥版本的 URI,而无需轮替
如需更新您通过互联网使用的 Cloud EKM 密钥的密钥引用,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往密钥管理页面。
选择密钥环,然后选择密钥和版本。
点击 more_vert 更多,然后点击查看密钥 URI。
点击更新密钥 URI。
输入新的密钥 URI,然后点击保存。
gcloud CLI
如需更新密钥版本的 URI,请使用 gcloud kms versions update 命令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri NEW_KEY_URI
替换以下内容:
KEY_VERSION:密钥版本号。KEY_NAME:密钥的名称。KEY_RING:包含密钥的密钥环的名称。LOCATION:密钥环的 Cloud KMS 位置。NEW_KEY_URI:现有外部密钥材料的新 URI。
更新密钥版本的密钥路径(不轮替)
如需更新您在 VPC 网络上使用的 Cloud EKM 密钥的密钥引用,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往密钥管理页面。
选择密钥环,然后选择密钥和版本。
点击更多 more_vert,然后点击查看密钥路径。
点击更新密钥路径。
输入新的密钥路径,然后点击保存。
gcloud CLI
如需更新密钥版本的密钥路径,请使用 gcloud kms versions
update 命令:
gcloud kms keys versions update KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ekm-connection-key-path NEW_KEY_PATH
替换以下内容:
KEY_VERSION:密钥版本号。KEY_NAME:密钥的名称。KEY_RING:包含密钥的密钥环的名称。LOCATION:密钥环的 Cloud KMS 位置。NEW_KEY_PATH:现有外部密钥材料的新路径。