Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rotazione della chiave CMEK

Le chiavi di crittografia gestite dal cliente (CMEK) consentono di proteggere i dati nei servizi supportati Google Cloud con una chiave di crittografia controllata in Cloud KMS. Puoi configurare la rotazione automatica delle chiavi in base a una pianificazione impostata oppure ruotare le chiavi manualmente. Questo documento spiega cosa succede in un servizio integrato con CMEK quando viene ruotata la chiave Cloud KMS sottostante.

Come funziona rotazione della chiave con CMEK

Quando ruoti una chiave in Cloud KMS, Cloud KMS crea una nuova versione della chiave. La nuova versione della chiave diventa la versione primaria e può essere utilizzata per criptare le chiavi di crittografia dei dati (DEK) che proteggono i dati. Le versioni precedenti della chiave rimangono attive e sono disponibili per la decriptazione delle DEK criptate con queste versioni. Questo processo garantisce che tu possa sempre accedere ai dati precedenti.

I diversi servizi integrati con CMEK gestiscono rotazione della chiave in modo diverso, ma esistono tre modelli principali:

La nuova versione della chiave protegge tutti i dati: quando il servizio rileva che una nuova versione della chiave è diventata primaria, cripta automaticamente di nuovo le DEK criptate con la versione precedente della chiave. Le DEK che proteggono sia i nuovi dati sia i dati esistenti vengono criptate con la versione della chiave primaria corrente. La ricriptazione delle DEK esistenti potrebbe richiedere un po' di tempo, ma la versione precedente della chiave non viene più utilizzata.
La nuova versione della chiave viene utilizzata da ora in poi: quando il servizio rileva che una nuova versione della chiave è diventata primaria, le richieste di crittografia successive utilizzano la nuova versione della chiave. Le DEK che proteggono i dati per questa risorsa utilizzano un mix di versioni della chiave correnti e precedenti.
La nuova versione della chiave non viene utilizzata: il servizio continua a criptare le DEK con la versione della chiave originale configurata al momento della creazione della risorsa, indipendentemente dall'esistenza di nuove versioni della chiave primaria.

Comportamento specifico del servizio dopo rotazione della chiave

La tabella seguente mostra il comportamento di rotazione specifico del servizio per le risorse che possono essere protette con le chiavi CMEK. La tabella seguente descrive i dettagli della rotazione per ogni tipo di risorsa o insieme di tipi di risorse:

Può ereditare la chiave: indica se la risorsa può ereditare una chiave da una risorsa padre.
Può utilizzare una chiave univoca: indica se la risorsa può utilizzare la propria chiave univoca, non ereditata da una risorsa padre.
Può cambiare la chiave: indica se puoi selezionare una nuova chiave CMEK per proteggere la risorsa durante l'aggiornamento della risorsa.
Nuovi dati: indica se le nuove DEK vengono criptate con la versione della chiave primaria o con la versione della chiave originale che era primaria quando è stata configurata la chiave CMEK per la risorsa.
Dati esistenti: indica se le DEK esistenti vengono ricriptate con la versione della chiave primaria o rimangono criptate con la versione della chiave originale che era primaria quando è stata configurata la chiave CMEK per la risorsa.

Servizio e risorse	Può ereditare la chiave	Può utilizzare una chiave univoca	Può cambiare la chiave	Nuovi dati	Dati esistenti
Application Integration `integrations.googleapis.com/IntegrationVersion` `integrations.googleapis.com/AuthConfig` `integrations.googleapis.com/Execution` `integrations.googleapis.com/Suspension` `integrations.googleapis.com/TestCase` `integrations.googleapis.com/Template`	No	Sì	Sì	Utilizza la nuova versione della chiave primaria	Utilizza la versione della chiave originale
Cloud Storage `storage.googleapis.com/Bucket` Nota: quando la chiave del bucket viene ruotata, gli oggetti esistenti nel bucket non vengono ricriptati automaticamente.	No	Sì	Sì	Utilizza la nuova versione della chiave primaria	Utilizza la nuova versione della chiave primaria
Cloud Storage `storage.googleapis.com/Object`	Sì	Sì	No	N/A: questa risorsa è immutabile.	Utilizza la versione della chiave originale
Insight sulla customer experience `contactcenterinsights.googleapis.com/` Nota:* Insight sulla customer experience utilizza una chiave per progetto per regione; questa chiave viene ereditata da tutte le risorse nella regione.	Sì	No	No	Sconosciuto	Sconosciuto
Filestore `file.googleapis.com/instance` `file.googleapis.com/backup`	No	Sì	No	Utilizza la nuova versione della chiave primaria	Utilizza la versione della chiave originale
Firestore `firestore.googleapis.com/Database` `datastore.googleapis.com/Database`	No	Sì	No	Utilizza la nuova versione della chiave primaria	Utilizza la nuova versione della chiave primaria
Gemini Code Assist `cloudaicompanion.googleapis.com/CodeRepositoryIndex`	No	Sì	No	Utilizza la versione della chiave originale	Utilizza la versione della chiave originale
Pub/Sub `pubsub.googleapis.com/Topic`	No	Sì	Sì	Utilizza la nuova versione della chiave primaria	Utilizza la versione della chiave originale
Speech-to-Text `speech.googleapis.com/Config`	No	Sì	Sì	Utilizza la nuova versione della chiave primaria	Utilizza la versione della chiave originale
Speech-to-Text `speech.googleapis.com/CustomClass` `speech.googleapis.com/Endpoint` `speech.googleapis.com/Model` `speech.googleapis.com/PhraseSet` `speech.googleapis.com/Recognizer`	Sì	No	Sì	Utilizza la nuova versione della chiave primaria	Utilizza la versione della chiave originale

Passaggi successivi

Scopri come ruotare una chiave.
Leggi la panoramica delle chiavi di crittografia gestite dal cliente (CMEK).