Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
CMEK 密钥轮替
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
借助客户管理的加密密钥 (CMEK),您可以使用自己在 Cloud KMS 中控制的加密密钥来保护受支持的Google Cloud 服务中的数据。您可以按设定的时间表配置自动密钥轮替,也可以手动轮替密钥。本文档介绍了在 CMEK 集成服务中,当底层 Cloud KMS 密钥轮替时会发生什么情况。
密钥轮替如何与 CMEK 搭配使用
在 Cloud KMS 中轮替密钥时,Cloud KMS 会创建该密钥的新版本。新密钥版本将成为主版本,可用于加密保护您数据的数据加密密钥 (DEK)。之前的密钥版本会保持有效,并且可用于解密使用这些密钥加密的 DEK。此流程可确保您始终可以访问旧数据。
不同的 CMEK 集成服务处理密钥轮替的方式各不相同,但主要有以下三种模式:
- 新密钥版本保护所有数据:当服务检测到新密钥版本已成为主密钥版本时,该服务会自动重新加密使用之前密钥版本加密的 DEK。用于保护新数据和现有数据的 DEK 会使用当前主密钥版本进行加密。重新加密现有 DEK 可能需要一些时间才能完成,但之后将不再使用之前的密钥版本。
- 新密钥版本将用于后续操作:当服务检测到新密钥版本已成为主密钥版本时,后续加密请求将使用新密钥版本。保护相应资源的数据的 DEK 将使用当前密钥版本和先前密钥版本的组合。
- 不使用新密钥版本:无论是否存在新的主密钥版本,服务都会继续使用创建资源时配置的原始密钥版本来加密 DEK。
密钥轮替后的服务特定行为
下表显示了可使用 CMEK 保护的资源的服务专用轮换行为。
下表介绍了每种资源类型或每组资源类型的轮换详细信息:
- 可继承密钥:资源是否可以从父资源继承密钥。
- 可以使用唯一键:资源是否可以使用自己的唯一键,而不是从父资源继承。
- 可更改密钥:在更新资源时,是否可以选择新的 CMEK 来保护资源。
- 新数据:新 DEK 是使用主密钥版本加密,还是使用为资源配置 CMEK 时的主密钥版本加密。
- 现有数据:现有 DEK 是使用主密钥版本重新加密,还是继续使用在为资源配置 CMEK 时的主密钥版本加密。
| 服务和资源 |
可以继承车钥匙 |
可以使用唯一键 |
可以更改密钥 |
新数据 |
现有数据 |
应用集成
integrations.googleapis.com/IntegrationVersionintegrations.googleapis.com/AuthConfigintegrations.googleapis.com/Executionintegrations.googleapis.com/Suspensionintegrations.googleapis.com/TestCaseintegrations.googleapis.com/Template
|
否
|
是
|
是
|
使用新的主密钥版本
|
使用原始密钥版本
|
Cloud Storage
storage.googleapis.com/Bucket
|
否
|
是
|
是
|
使用新的主密钥版本
|
使用新的主密钥版本
|
Cloud Storage
storage.googleapis.com/Object
|
是
|
是
|
否
|
不适用:此资源不可变。
|
使用原始密钥版本
|
客户体验分析洞见
contactcenterinsights.googleapis.com/*
|
是
|
否
|
否
|
未知
|
未知
|
Filestore
file.googleapis.com/instancefile.googleapis.com/backup
|
否
|
是
|
否
|
使用新的主密钥版本
|
使用原始密钥版本
|
Firestore
firestore.googleapis.com/Databasedatastore.googleapis.com/Database
|
否
|
是
|
否
|
使用新的主密钥版本
|
使用新的主密钥版本
|
Gemini Code Assist
cloudaicompanion.googleapis.com/CodeRepositoryIndex
|
否
|
是
|
否
|
使用原始密钥版本
|
使用原始密钥版本
|
Pub/Sub
pubsub.googleapis.com/Topic
|
否
|
是
|
是
|
使用新的主密钥版本
|
使用原始密钥版本
|
Speech-to-Text
speech.googleapis.com/Config
|
否
|
是
|
是
|
使用新的主密钥版本
|
使用原始密钥版本
|
Speech-to-Text
speech.googleapis.com/CustomClassspeech.googleapis.com/Endpointspeech.googleapis.com/Modelspeech.googleapis.com/PhraseSetspeech.googleapis.com/Recognizer
|
是
|
否
|
是
|
使用新的主密钥版本
|
使用原始密钥版本
|
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2026-06-05。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2026-06-05。"],[],[]]
