Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rotação de chaves CMEK

As chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) permitem proteger dados em serviços compatíveis com uma chave criptográfica controlada no Cloud KMS.Google Cloud É possível configurar a rotação automática de chaves em uma programação definida ou alternar as chaves manualmente. Este documento explica o que acontece em um serviço integrado à CMEK quando a chave do Cloud KMS subjacente é rotacionada.

Como a rotação de chaves funciona com a CMEK

Quando você rotaciona uma chave no Cloud KMS, ele cria uma nova versão dela. A nova versão da chave se torna a principal e pode ser usada para criptografar as chaves de criptografia de dados (DEKs, na sigla em inglês) que protegem seus dados. As versões de chave anteriores são mantidas ativas e estão disponíveis para descriptografar DEKs que foram criptografadas com elas. Esse processo garante que você sempre possa acessar seus dados mais antigos.

Diferentes serviços integrados à CMEK processam a rotação de chaves de maneira diferente, mas há três padrões principais:

A nova versão da chave protege todos os dados: quando o serviço detecta que uma nova versão da chave se tornou principal, ele recriptografa automaticamente as DEKs que foram criptografadas com a versão anterior. As DEKs que protegem dados novos e atuais são criptografadas com a versão da chave primária atual. A recriptografia das DEKs atuais pode levar algum tempo para ser concluída, mas a versão anterior da chave não será mais usada.
A nova versão da chave é usada daqui para frente: quando o serviço detecta que uma nova versão da chave se tornou principal, as solicitações de criptografia subsequentes usam a nova versão. As DEKs que protegem dados desse recurso usam uma combinação de versões de chave atuais e anteriores.
A nova versão da chave não é usada: o serviço continua criptografando DEKs com a versão original da chave configurada quando o recurso foi criado, independentemente da existência de novas versões de chave primária.

Comportamento específico do serviço após a rotação de chaves

A tabela a seguir mostra o comportamento de rotação específico do serviço para recursos que podem ser protegidos com CMEKs. A tabela a seguir descreve os detalhes da rotação para cada tipo de recurso ou conjunto de tipos de recursos:

Pode herdar a chave: se o recurso pode herdar uma chave de um recurso pai recurso.
Pode usar uma chave exclusiva: se o recurso pode usar a própria chave exclusiva, não herdada de um recurso pai.
Pode mudar a chave: se você pode selecionar uma nova CMEK para proteger o recurso enquanto o atualiza.
Dados novos: se as novas DEKs são criptografadas com a versão da chave primária ou a versão original da chave que era principal quando a CMEK foi configurada para o recurso.
Dados atuais: se as DEKs atuais são recriptografadas com a versão da chave principal ou permanecem criptografadas com a versão original da chave que era principal quando a CMEK foi configurada para o recurso.

Serviço e recursos	Pode herdar a chave	Pode usar uma chave exclusiva	Pode mudar a chave	Dados novos	Dados atuais
Application Integration `integrations.googleapis.com/IntegrationVersion` `integrations.googleapis.com/AuthConfig` `integrations.googleapis.com/Execution` `integrations.googleapis.com/Suspension` `integrations.googleapis.com/TestCase` `integrations.googleapis.com/Template`	Não	Sim	Sim	Usa a nova chave primária principal	Usa a versão original da chave
Cloud Storage `storage.googleapis.com/Bucket` Observação:quando a chave do bucket é rotacionada, os objetos atuais dentro do bucket não são recriptografados automaticamente.	Não	Sim	Sim	Usa a nova chave primária principal	Usa a nova chave primária principal
Cloud Storage `storage.googleapis.com/Object`	Sim	Sim	Não	Não aplicável: esse recurso é imutável.	Usa a versão original da chave
Customer Experience Insights `contactcenterinsights.googleapis.com/` Observação*:o Customer Experience Insights usa uma chave por projeto por região. Essa chave é herdada por todos os recursos nessa região.	Sim	Não	Não	Desconhecido	Desconhecido
Filestore `file.googleapis.com/instance` `file.googleapis.com/backup`	Não	Sim	Não	Usa a nova chave primária principal	Usa a versão original da chave
Firestore `firestore.googleapis.com/Database` `datastore.googleapis.com/Database`	Não	Sim	Não	Usa a nova chave primária principal	Usa a nova chave primária principal
Gemini Code Assist `cloudaicompanion.googleapis.com/CodeRepositoryIndex`	Não	Sim	Não	Usa a versão original da chave	Usa a versão original da chave
Pub/Sub `pubsub.googleapis.com/Topic`	Não	Sim	Sim	Usa a nova chave primária principal	Usa a versão original da chave
Speech-to-Text `speech.googleapis.com/Config`	Não	Sim	Sim	Usa a nova chave primária principal	Usa a versão original da chave
Speech-to-Text `speech.googleapis.com/CustomClass` `speech.googleapis.com/Endpoint` `speech.googleapis.com/Model` `speech.googleapis.com/PhraseSet` `speech.googleapis.com/Recognizer`	Sim	Não	Sim	Usa a nova chave primária principal	Usa a versão original da chave

A seguir

Aprenda a rotacionar uma chave.
Leia a visão geral das chaves de criptografia gerenciadas pelo cliente (CMEK).