CMEK 金鑰輪替

客戶管理的加密金鑰 (CMEK) 可讓您使用在 Cloud KMS 中控管的加密編譯金鑰，保護支援的Google Cloud 服務中的資料。您可以設定自動金鑰輪替時間表，也可以手動輪替金鑰。本文說明在整合 CMEK 的服務中，底層 Cloud KMS 金鑰輪替時會發生什麼情況。

金鑰輪替與 CMEK 的運作方式

在 Cloud KMS 中輪替金鑰時，Cloud KMS 會建立該金鑰的新版本。新金鑰版本會成為主要版本，可用於加密保護資料的資料加密金鑰 (DEK)。先前的金鑰版本會保持有效，可用於解密以這些版本加密的 DEK。這個程序可確保您隨時都能存取舊資料。

整合 CMEK 的服務處理金鑰輪替的方式各不相同，但主要有三種模式：

• 新金鑰版本會保護所有資料：當服務偵測到新的金鑰版本已成為主要版本時，服務會自動重新加密以舊金鑰版本加密的 DEK。保護新資料和現有資料的 DEK 會以目前的金鑰主要版本加密。重新加密現有 DEK 可能需要一段時間，但完成後就不會再使用先前的金鑰版本。
• 日後使用新金鑰版本：當服務偵測到新金鑰版本已成為主要版本時，後續的加密要求會使用新金鑰版本。保護這項資源資料的 DEK 會混合使用目前和先前的金鑰版本。
• 不使用新金鑰版本：無論是否有新的主要金鑰版本，服務都會繼續使用建立資源時設定的原始金鑰版本加密 DEK。

金鑰輪替後各項服務的行為

下表列出可使用 CMEK 保護的資源，以及各項服務的輪替行為。 下表說明各資源類型或一組資源類型的輪替詳細資料：

• 可繼承金鑰：資源是否可從父項資源繼承金鑰。
• 可使用專屬金鑰：資源是否可使用自己的專屬金鑰，而非從父項資源繼承。
• 可變更金鑰：更新資源時，是否可以選取新的 CMEK 來保護資源。
• 新資料：新 DEK 是以主要金鑰版本加密，還是以資源設定 CMEK 時的主要金鑰版本加密。
• 現有資料：現有 DEK 是否會使用主要金鑰版本重新加密，或是繼續使用原始金鑰版本加密 (在為資源設定 CMEK 時，該版本是主要金鑰版本)。

後續步驟

• 瞭解如何輪替金鑰。
• 請參閱客戶自行管理的加密金鑰 (CMEK) 總覽。