HSM-Instanz für einzelne Mandanten erstellen und verwalten

In dieser Anleitung erfahren Sie, wie Sie eine Cloud HSM-Instanz mit einem einzelnen Mandanten mithilfe der Google Cloud CLI erstellen, bereitstellen und verwalten. Nachdem Sie Ihre Instanz erstellt und bereitgestellt haben, können Sie mit der Google Cloud -Konsole, der Cloud Key Management Service API, der gcloud CLI und Clientbibliotheken Schlüssel in der Instanz erstellen und verwenden.

Zum Erstellen und Verwalten Ihrer Instanz ist eine Quorum-Authentifizierung erforderlich. Wenn Sie Ihre Instanz erstellen, definieren Sie die Anzahl der Genehmigungen von Quorumsmitgliedern, die zum Ausführen von Instanzvorgängen erforderlich sind. Ihre Quorumsmitglieder müssen immer mindestens diese Anzahl an Kontrollschlüsseln haben, um die administrative Kontrolle über Ihre Instanz zu behalten.

Hinweise

  1. Lesen und befolgen Sie die Best Practices für Cloud HSM für einzelne Mandanten, wenn Sie Ihre Instanz erstellen und verwalten.
  2. Legen Sie fest, wie viele Quorummitglieder Sie benötigen. Zusätzliche Quorumsmitglieder können später hinzugefügt werden, wenn die bestehenden Quorumsmitglieder dies genehmigen. Die Mindestanzahl der Quorummitglieder beträgt drei.
  3. Legen Sie fest, wie viele Quorumsmitglieder erforderlich sind, um Vorschläge zu genehmigen. Sie können diese Zahl nach dem Erstellen der Instanz nicht mehr ändern. Ihre Quorumsmitglieder müssen immer Zugriff auf diese Anzahl von Steuerungsschlüsseln haben, um die Instanz aufrechtzuerhalten. Die Mindestgröße für das Quorum beträgt zwei. Die erforderliche Quorumgröße muss kleiner sein als die Anzahl der Quorummitglieder.
  4. Legen Sie fest, wie Sie dafür sorgen, dass die Instanz rechtzeitig aktualisiert wird. Sie müssen die disableDate der Instanz im Blick behalten und eine Aktualisierung der Instanz vor dem Ablaufdatum vorschlagen, genehmigen und ausführen, um unerwünschte Ausfallzeiten zu vermeiden.

  5. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Verwalten und Verwenden von Single-Tenant Cloud HSM-Instanzen benötigen:

    • Vorschläge erstellen: Cloud KMS Single-Tenant HSM Proposer (cloudkms.hsmSingleTenantProposer)
    • Vorschläge genehmigen: Cloud KMS Single-Tenant HSM Quorum Member (cloudkms.hsmSingleTenantQuorumMember)
    • Vorschläge ausführen: Cloud KMS Single-Tenant HSM Executor (cloudkms.hsmSingleTenantExecutor)
    • Schlüssel erstellen: Cloud KMS Single-Tenant HSM Key Creator (roles/cloudkms.hsmSingleTenantKeyCreator)

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

  6. Generieren Sie für jedes Quorummitglied ein RSA-2048-Schlüsselpaar für die 2-Faktor-Authentifizierung (2FA). Wir empfehlen die Verwendung physischer Tokens für Ihre Steuerungsschlüssel. Halten Sie sich an die Standards Ihrer Organisation zum Erstellen von RSA-2048-Schlüsselpaaren auf physischen Tokens.

    In diesem Leitfaden wird OpenSSL verwendet, um drei softwarebasierte RSA-2048-Schlüssel zu erstellen:

        openssl genrsa -out rsaprivate1.pem
    openssl genrsa -out rsaprivate2.pem
    openssl genrsa -out rsaprivate3.pem

    openssl rsa -in rsaprivate1.pem  -out rsapub1.pem --pubout
    openssl rsa -in rsaprivate2.pem  -out rsapub2.pem --pubout
    openssl rsa -in rsaprivate3.pem  -out rsapub3.pem --pubout

    Bewahren Sie die privaten Schlüssel sicher auf. Sie benötigen sie, um Vorschläge zu genehmigen. Halten Sie die öffentlichen Schlüssel bereit. Sie benötigen sie, um die Cloud HSM-Instanz für einen einzelnen Mandanten zu erstellen.

  7. Wählen Sie einen Cloud KMS-Standort aus, der Single-Tenant Cloud HSM unterstützt. Eine Liste der kompatiblen Standorte finden Sie auf der Seite Cloud KMS-Standorte. Wählen Sie für den Filter HSM-Unterstützung die Option Unterstützt HSM für einzelnen Mandanten aus.

Instanz erstellen und bereitstellen

Zum Erstellen und Bereitstellen einer Cloud HSM-Instanz für einzelne Mandanten verwenden Sie die gcloud CLI, um die Instanzressource zu erstellen, einen Vorschlag zum Registrieren Ihrer Authentifizierungsschlüssel zu erstellen und den Vorschlag dann zu genehmigen und auszuführen.

Die Instanz erstellen

Dieser Schritt muss von einem Instanzadministrator mit der Rolle Cloud KMS Single-Tenant HSM Proposer ausgeführt werden.

  1. Legen Sie ein Standardprojekt fest.

    gcloud config set project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

  2. Erstellen Sie die Cloud HSM-Instanz für einzelne Mandanten.

    gcloud kms single-tenant-hsm create --location=LOCATION \
    --total-approver-count=QUORUM_MEMBER_COUNT \
    --single-tenant-hsm-instance-id=INSTANCE_ID

    Ersetzen Sie Folgendes:

    • LOCATION: der Speicherort, an dem Sie Ihre Instanz erstellen möchten, z. B. us-central1.
    • QUORUM_MEMBER_COUNT: die Gesamtzahl der Quorummitglieder. Das ist auch die Anzahl der Kontrollschlüssel, die Sie zuvor erstellt haben. Der Mindestwert beträgt 3. Weitere Schlüssel können später mit Quorumgenehmigung hinzugefügt werden. Sie benötigen mindestens ein weiteres Quorummitglied als die erforderliche Quorumgröße, um nach dem Verlust eines Kontrollschlüssels eine Wiederherstellung durchzuführen.
    • INSTANCE_ID: die Kennung, die Sie für die Instanz verwenden möchten, z. B. example-sthsm-instance. Sie können das Flag --single-tenant-hsm-instance-id weglassen, damit Cloud HSM eine UUID zuweist.

  3. Prüfen Sie den Status der Instanz.

    gcloud kms single-tenant-hsm describe INSTANCE_ID \
    --location=LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING_TWO_FACTOR_AUTH_REGISTRATION lautet, können Sie die Instanz bereitstellen. Es dauert in der Regel zwischen 5 und 30 Minuten, bis dieser Status erreicht ist.

Instanz bereitstellen

  1. Erstellen Sie einen Vorschlag, um Ihre Schlüssel für die 2‑Faktor-Authentifizierung mit dem Vorgang register_two_factor_auth_keys zu registrieren. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich. Im Gegensatz zu den meisten Vorschlägen erfordert der Vorschlag „register_two_factor_auth_keys“ signierte Challenges von allen Quorummitgliedern.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID 
    
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID 
    
        --location LOCATION 
    
        --operation-type register_two_factor_auth_keys 
    
        --required-approver-count MEMBERS_REQUIRED_FOR_APPROVAL 
    
        --two-factor-public-key-pems=PUBLIC_KEY_LIST

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. set-up-2fa.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.
    • MEMBERS_REQUIRED_FOR_APPROVAL: Die Anzahl der Quorummitglieder, die einem Vorschlag zustimmen müssen, bevor der Vorgang ausgeführt werden kann. Der Mindestwert beträgt 2. Dieser Wert kann nicht mehr geändert werden, nachdem die Instanz bereitgestellt wurde. Ihre Quorummitglieder müssen immer Zugriff auf mindestens diese Anzahl von Steuerungsschlüsseln haben, um die administrative Kontrolle über die Instanz zu behalten.
    • PUBLIC_KEY_LIST: Eine durch Kommas getrennte Liste der Pfade zu den öffentlichen Schlüsselteilen aller Ihrer Kontrollschlüssel, z. B. rsapub1.pem,rsapub2.pem,rsapub3.pem. Die Anzahl der öffentlichen Schlüssel in dieser Liste muss mit dem Wert von QUORUM_MEMBER_COUNT übereinstimmen, den Sie zuvor verwendet haben.

  2. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. set-up-2fa.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  3. Holen Sie sich die Herausforderungen aus dem Vorschlag. Für die Bereitstellung einer neuen Single-Tenant Cloud HSM-Instanz sind signierte Challenges von allen Mitgliedern des Quorums erforderlich. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](quorumParameters.challenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück.

  4. Decodieren Sie die Challenge für jeden Schlüssel mit `basenc --base64url -d` und signieren Sie sie mit dem entsprechenden privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  5. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST"

    Ersetzen Sie SIGNED_QUORUM_CHALLENGE_LIST durch ein JSON-formatiertes Array von Challenges, wobei jedes Listenelement ein Tupel mit dem Pfad zur signierten Challenge und dem Pfad zum entsprechenden öffentlichen Schlüssel ist, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Challenges in einem Befehl zu senden.

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  6. Nachdem der Vorschlag genehmigt wurde, schließen Sie den Vorgang register_two_factor_auth_keys mit dem Befehl execute ab. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

        gcloud kms single-tenant-hsm proposal execute PROPOSAL_ID 
    
        --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Dies ist ein Vorgang mit langer Ausführungszeit, bei dem Nutzer bereitgestellt und Sicherungen erstellt werden. Die Instanz wird nach 20 bis 30 Minuten zu ACTIVE.

  7. Nachdem die Instanz ACTIVE wurde, rufen Sie die Instanzdetails auf, um die disableDate zu sehen:

        gcloud kms single-tenant-hsm describe INSTANCE_ID 
    
        --location=LOCATION

    Notieren Sie sich die disableDate der Instanz. Sie müssen vor diesem Zeitpunkt einen refresh_single_tenant_hsm_instance-Vorgang ausführen, da Ihre Instanz sonst deaktiviert wird.

Instanzen aufrufen

Nutzer mit einer der folgenden Rollen können eine Liste der Cloud HSM-Instanzen für einzelne Mandanten und deren Status aufrufen:

  • Cloud KMS Single-Tenant HSM Proposer
  • Cloud KMS Single-Tenant HSM Quorum Member
  • Cloud KMS Single-Tenant HSM Executor
  • Cloud KMS-Betrachter
  • Cloud KMS-Administrator

Prüfen Sie regelmäßig den Status Ihrer Instanzen. Instanzen müssen regelmäßig aktualisiert werden, damit sie aktiv bleiben.

Instanzen im Status Aktiv können verwendet werden. Entwickler, die Schlüssel in Cloud HSM-Instanzen für einzelne Mandanten erstellen oder importieren müssen, benötigen den Ressourcen-Identifier der Instanz. Die Ressourcen-ID hat das folgende Format:

projects/INSTANCE_PROJECT/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME

So rufen Sie Instanzen in Ihrer Organisation auf und finden ihre Ressourcen-IDs:

Console

  1. Rufen Sie in der Google Cloud Console die Seite KMS-Infrastruktur auf.

    Zur KMS-Infrastruktur

  2. Klicken Sie auf der Karte HSM-Instanz für einzelne Mandanten auf Ansehen. Auf der Seite HSM-Instanz für einzelne Mandanten wird eine Liste aller Cloud HSM-Instanzen für einzelne Mandanten angezeigt, für die Sie die Berechtigung zum Aufrufen haben.

  3. Klicken Sie auf den Namen einer Instanz, um Details dazu aufzurufen. Auf der Seite Details zur HSM-Instanz für einzelne Mandanten werden Details zur ausgewählten Instanz angezeigt, einschließlich des vollständigen Ressourcen-IDs der Instanz und einer Liste der für die Instanz erstellten Vorschläge.

  4. Optional: Wenn Sie die öffentlichen Schlüssel aufrufen oder herunterladen möchten, die mit den aktuellen 2FA-Schlüsseln (Zwei-Faktor-Authentifizierung) Ihrer Quorumsmitglieder verknüpft sind, klicken Sie auf Öffentlichen Schlüssel abrufen. Sie können die öffentlichen Schlüssel mit Ihren privaten 2FA-Schlüsseln vergleichen, um zu prüfen, welche Kontrollschlüssel aktiv sind.

gcloud

Mit der Methode kms single-tenant-hsm list können Sie eine Liste der vorhandenen Instanzen aufrufen.

gcloud kms single-tenant-hsm list projects/PROJECT_ID/locations/LOCATION

Ersetzen Sie Folgendes:

  • PROJECT_ID: Die Kennung des Projekts, in dem Sie Single-Tenant Cloud HSM-Instanzen ansehen möchten.
  • LOCATION: Der Ort, an dem Sie Single-Tenant Cloud HSM-Instanzen ansehen möchten.

Mit der Methode kms single-tenant-hsm describe können Sie sich Details zu einer vorhandenen Instanz ansehen.

gcloud kms single-tenant-hsm describe --location=LOCATION \
    --singletenanthsminstance=INSTANCE_ID

Ersetzen Sie Folgendes:

  • LOCATION: Der Ort, an dem Sie Single-Tenant Cloud HSM-Instanzen ansehen möchten.
  • INSTANCE_ID: Die Instanz, für die Sie Details aufrufen möchten.

Instanz verwenden

Während sich Ihre Instanz im Status ACTIVE befindet, können Sie Schlüssel erstellen und verwenden. Sie können Single-Tenant Cloud HSM-Schlüssel für jeden Schlüsselbund erstellen, der sich am selben Standort wie eine aktive Single-Tenant Cloud HSM-Instanz befindet.

Zum Erstellen von Single-Tenant-Cloud HSM-Schlüsseln ist zusätzlich zur Rolle Cloud KMS-Administrator die Rolle Cloud KMS Single-Tenant HSM Key Creator erforderlich.

Nachdem sie erstellt wurden, sind für die Verwendung von Cloud HSM-Schlüsseln für einzelne Mandanten keine speziellen Berechtigungen erforderlich.

Schlüssel erstellen

Wenn Sie einen Single-Tenant Cloud HSM-Schlüssel erstellen, müssen Sie die Single-Tenant Cloud HSM-Instanz angeben, in der Sie ihn erstellen möchten. Andernfalls ähnelt der Vorgang dem Erstellen eines beliebigen anderen Schlüssels. Eine detaillierte Anleitung finden Sie unter Schlüssel erstellen.

Schlüssel importieren

Wenn Sie Schlüsselmaterial in einen Single-Tenant Cloud HSM-Schlüssel importieren, müssen Sie die Single-Tenant Cloud HSM-Instanz angeben, in der Sie es speichern möchten. Ansonsten ähnelt der Vorgang dem Importieren anderer Schlüssel. Eine detaillierte Anleitung finden Sie unter Schlüsselversion in Cloud Key Management Service importieren.

Schlüssel verwenden

Nachdem der Schlüssel erstellt wurde, ist die Verwendung eines Cloud HSM-Schlüssels für einzelne Mandanten identisch mit der Verwendung eines beliebigen anderen Cloud HSM-Schlüssels. Sie müssen die Cloud HSM-Instanz für einzelne Mandanten nicht angeben, um den Schlüssel zu verwenden.

Instanz verwalten

Nachdem Ihre Instanz bereitgestellt wurde, sind Sie für die Wartung der Instanz verantwortlich. Sie verwalten die Instanz, indem Sie Vorschläge für Wartungsvorgänge erstellen, die Quorumgenehmigung einholen und dann den genehmigten Vorgang ausführen. Es kann immer nur ein Vorschlag aktiv sein. Wenn Sie einen Vorschlag nicht annehmen, können Sie erst dann einen anderen Vorgang vorschlagen, wenn Sie den aktiven Vorschlag löschen oder der Vorschlag abläuft.

Sie müssen Ihre Instanz vor dem disableDate aktualisieren. Wenn Sie die disableDate einer Instanz prüfen möchten, können Sie die Instanzdetails aufrufen.

Instanzvorschläge ansehen

So rufen Sie Vorschläge für eine Instanz auf:

Console

  1. Rufen Sie in der Google Cloud Console die Seite KMS-Infrastruktur auf.

    Zur KMS-Infrastruktur

  2. Klicken Sie auf der Karte HSM-Instanz für einzelne Mandanten auf Ansehen. Auf der Seite HSM-Instanz für einzelne Mandanten wird eine Liste aller Cloud HSM-Instanzen für einzelne Mandanten angezeigt, für die Sie die Berechtigung zum Aufrufen haben.

  3. Suchen Sie die Instanz, in der Sie Vorschläge aufrufen möchten, und klicken Sie dann auf den Namen der Instanz. Auf der Seite Details zur HSM-Instanz für einzelne Mandanten werden Details zur Instanz angezeigt, einschließlich einer Liste der für die Instanz erstellten Vorschläge.

  4. Optional: Wenn Sie die Liste der Vorschläge filtern möchten, klicken Sie auf die Leiste Filter und geben Sie Ihre Filterkriterien ein. Sie können die Liste beispielsweise filtern, um nur das Angebot anzuzeigen, das noch genehmigt werden muss, oder nur Angebote, die erfolgreich abgeschlossen wurden.

gcloud

  • Mit der Methode kms single-tenant-hsm proposal list können Sie eine Liste der vorhandenen Vorschläge aufrufen.

    gcloud kms single-tenant-hsm proposal list --location=LOCATION \
    --singletenanthsminstance=INSTANCE_ID

    Ersetzen Sie Folgendes:

    • LOCATION: Der Ort, an dem Sie Single-Tenant Cloud HSM-Instanzen ansehen möchten.
    • INSTANCE_ID: Die Kennung der Single-Tenant Cloud HSM-Instanz, für die Sie Vorschläge aufrufen möchten.

Instanz aktualisieren

Sie können eine Instanz aktualisieren, um sie auf dem neuesten Stand zu halten und ungeplante Ausfallzeiten zu vermeiden. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Nachdem das Angebot genehmigt wurde, dauert der Vorgang etwa 15 bis 30 Minuten.

Wenn Sie eine Instanz aktualisieren, wird disableDate auf 120 Tage ab dem Zeitpunkt der Aktualisierung festgelegt.

  1. Erstellen Sie einen Vorschlag zum Aktualisieren der Instanz mit dem Vorgangstyp refresh_single_tenant_hsm_instance. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID \
        --location LOCATION \
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID \
        --operation-type refresh_single_tenant_hsm_instance

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. refresh_instance.

  2. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. refresh_instance.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  3. Holen Sie sich die Herausforderungen aus dem Vorschlag. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](quorumParameters.challenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück.

  4. Decodieren Sie jede im vorherigen Schritt zurückgegebene Challenge mit basenc --base64url -d und signieren Sie sie mit einem privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  5. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST"

    Ersetzen Sie SIGNED_QUORUM_CHALLENGE_LIST durch ein JSON-formatiertes Array von Challenges, wobei jedes Listenelement ein Tupel mit dem Pfad zur signierten Challenge und dem Pfad zum entsprechenden öffentlichen Schlüssel ist, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Challenges in einem Befehl zu senden.

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  6. Führen Sie den Vorschlag aus. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

        gcloud kms single-tenant-hsm proposal execute  PROPOSAL_ID \
    --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Nach Abschluss des Vorgangs bleibt die Instanz im Status „AKTIV“ und disableDate wird auf 120 Tage ab dem Zeitpunkt der Aktualisierung festgelegt.

Quorummitglied hinzufügen

Sie können einer Instanz ein Quorummitglied hinzufügen. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Nachdem das Angebot genehmigt wurde, dauert der Vorgang etwa 15 bis 30 Minuten.

  1. Generieren Sie ein neues RSA-2048-Schlüsselpaar für das neue Quorummitglied. Halten Sie sich an die Standards Ihrer Organisation zum Erstellen von RSA-2048-Schlüsselpaaren auf physischen Tokens.

    Bewahren Sie den privaten Schlüssel sicher auf. Sie benötigen ihn, um Vorschläge zu genehmigen. Halten Sie den öffentlichen Schlüssel bereit. Sie benötigen ihn, um das neue Quorummitglied der Cloud HSM-Instanz für einen einzelnen Mandanten hinzuzufügen.

  2. Erstellen Sie mit dem Vorgang add_quorum_member einen Vorschlag, um der Instanz ein Quorummitglied hinzuzufügen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID \
        --location LOCATION \
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID \
        --operation-type add_quorum_member \
        --two_factor_public_key_pem PATH_TO_PUBLIC_KEY

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. add_quorum_member.
    • PATH_TO_PUBLIC_KEY: Der Pfad zum neuen öffentlichen Schlüssel, z. B. rsapub4.pem.

  3. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. add_quorum_member.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  4. Herausforderungen aus dem Vorschlag abrufen Wenn Sie ein neues Quorummitglied hinzufügen möchten, sind signierte Challenges von einem Quorum vorhandener Mitglieder sowie eine signierte Challenge des neuen Mitglieds mit dem neuen Schlüssel erforderlich. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](requiredActionQuorumParameters.requiredChallenges,requiredActionQuorumParameters.quorumChallenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück. Das Feld requiredActionQuorumParameters.requiredChallenges enthält eine Challenge für den neuen Schlüssel, den Sie registrieren. Das Feld requiredActionQuorumParameters.quorumChallenges enthält die Herausforderungen für ein Quorum der vorhandenen Schlüssel. Sie müssen alle Challenges im requiredActionQuorumParameters-Objekt signieren.

  5. Decodieren Sie jede im vorherigen Schritt zurückgegebene Challenge mit basenc --base64url -d und signieren Sie sie mit einem privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  6. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST" \
      --required-challenge-replies="SIGNED_REQUIRED_CHALLENGE_LIST"

    Ersetzen Sie Folgendes:

    • SIGNED_QUORUM_CHALLENGE_LIST: Ein JSON-formatiertes Array von Herausforderungen, die mit bereits registrierten privaten Schlüsseln signiert wurden. Jedes Listenelement ist ein Tupel, das den Pfad zur signierten Herausforderung und den Pfad zum entsprechenden öffentlichen Schlüssel enthält, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Herausforderungen in einem Befehl zu senden.
    • SIGNED_REQUIRED_CHALLENGE_LIST: Ein JSON-formatiertes Array mit der mit dem neuen privaten Schlüssel signierten Challenge. Das einzige Listenelement ist ein Tupel, das den Pfad zur signierten Challenge und den Pfad zum entsprechenden öffentlichen Schlüssel enthält, z. B. [('signed-challenge-newkey.txt','rsapub-newkey.pem')].

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  7. Führen Sie den Vorschlag aus. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

        gcloud kms single-tenant-hsm proposal execute  PROPOSAL_ID \
    --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Nach Abschluss des Vorgangs kann das neue Quorummitglied an Herausforderungen teilnehmen, um Vorschläge zu genehmigen. Der öffentliche Schlüssel, den Sie hinzugefügt haben, ist jetzt in der Liste der öffentlichen Schlüssel in den Instanzdetails enthalten.

Quorummitglied entfernen

Wenn Sie mehr Quorummitglieder als die erforderliche Quorumgröße haben, können Sie ein Quorummitglied aus einer Instanz entfernen. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Nachdem das Angebot genehmigt wurde, dauert der Vorgang etwa 15 bis 30 Minuten.

  1. Erstellen Sie mit dem Vorgang remove_quorum_member einen Vorschlag zum Entfernen eines Quorummitglieds aus der Instanz. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID \
        --location LOCATION \
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID \
        --operation-type remove_quorum_member \
        --two_factor_public_key_pem PATH_TO_PUBLIC_KEY

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. remove_quorum_member.
    • PATH_TO_PUBLIC_KEY: Der Pfad zum öffentlichen Schlüssel, den Sie aus der Instanz entfernen möchten, z. B. rsapub3.pem. Nach Abschluss des Vorgangs kann der entsprechende private Schlüssel nicht mehr zum Genehmigen von Vorschlägen verwendet werden.

  2. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. remove_quorum_member.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  3. Holen Sie sich die Herausforderungen aus dem Vorschlag. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](quorumParameters.challenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück.

  4. Decodieren Sie jede im vorherigen Schritt zurückgegebene Challenge mit basenc --base64url -d und signieren Sie sie mit einem privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  5. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST"

    Ersetzen Sie SIGNED_QUORUM_CHALLENGE_LIST durch ein JSON-formatiertes Array von Challenges, wobei jedes Listenelement ein Tupel mit dem Pfad zur signierten Challenge und dem Pfad zum entsprechenden öffentlichen Schlüssel ist, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Challenges in einem Befehl zu senden.

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  6. Führen Sie den Vorschlag aus. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

        gcloud kms single-tenant-hsm proposal execute  PROPOSAL_ID \
    --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Nach Abschluss des Vorgangs kann das entfernte Quorummitglied nicht mehr an Challenges zur Genehmigung von Vorschlägen teilnehmen. Der öffentliche Schlüssel, den Sie entfernt haben, ist nicht mehr in der Liste der öffentlichen Schlüssel in den Instanzdetails enthalten.

Instanz deaktivieren

Sie können eine Instanz deaktivieren, um den Zugriff auf alle zugehörigen Schlüssel vorübergehend zu blockieren. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Nachdem der Vorschlag genehmigt wurde, dauert der Vorgang etwa 15 bis 30 Minuten.

Während eine Instanz deaktiviert ist, werden in dieser Instanz gespeicherte Schlüssel weiterhin als ACTIVE angezeigt, sind aber nicht verwendbar. Wenn Sie versuchen, kryptografische Vorgänge mit einem Schlüssel in einer deaktivierten Instanz auszuführen, wird ein Fehler ausgegeben.

  1. Erstellen Sie einen Vorschlag zum Deaktivieren der Instanz mit dem Vorgangstyp disable_single_tenant_hsm_instance. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID \
        --location LOCATION \
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID \
        --operation-type disable_single_tenant_hsm_instance

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. disable_instance.

  2. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. disable_instance.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  3. Holen Sie sich die Herausforderungen aus dem Vorschlag. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](quorumParameters.challenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück.

  4. Decodieren Sie jede im vorherigen Schritt zurückgegebene Challenge mit basenc --base64url -d und signieren Sie sie mit einem privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  5. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST"

    Ersetzen Sie SIGNED_QUORUM_CHALLENGE_LIST durch ein JSON-formatiertes Array von Challenges, wobei jedes Listenelement ein Tupel mit dem Pfad zur signierten Challenge und dem Pfad zum entsprechenden öffentlichen Schlüssel ist, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Challenges in einem Befehl zu senden.

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  6. Führen Sie den Vorschlag aus. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

        gcloud kms single-tenant-hsm proposal execute  PROPOSAL_ID \
    --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Nach Abschluss des Vorgangs bleibt die Instanz im Status DISABLED und kann erst wieder verwendet werden, wenn sie reaktiviert wird.

Instanz aktivieren

Sie können eine DISABLED-Instanz wieder aktivieren, um den Zugriff auf sie und ihre Schlüssel wiederherzustellen. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Nach der Genehmigung des Angebots dauert der Vorgang etwa 15 bis 30 Minuten.

  1. Erstellen Sie einen Vorschlag, um die Instanz mit dem Vorgangstyp enable_single_tenant_hsm_instance zu aktivieren. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID \
        --location LOCATION \
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID \
        --operation-type enable_single_tenant_hsm_instance

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. enable_instance.

  2. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. enable_instance.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  3. Holen Sie sich die Herausforderungen aus dem Vorschlag. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](quorumParameters.challenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück.

  4. Decodieren Sie jede im vorherigen Schritt zurückgegebene Challenge mit basenc --base64url -d und signieren Sie sie mit einem privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  5. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST"

    Ersetzen Sie SIGNED_QUORUM_CHALLENGE_LIST durch ein JSON-formatiertes Array von Challenges, wobei jedes Listenelement ein Tupel mit dem Pfad zur signierten Challenge und dem Pfad zum entsprechenden öffentlichen Schlüssel ist, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Challenges in einem Befehl zu senden.

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  6. Führen Sie den Vorschlag aus. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

        gcloud kms single-tenant-hsm proposal execute  PROPOSAL_ID \
    --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Nach Abschluss des Vorgangs kehrt die Instanz in den Status „ACTIVE“ zurück und disableDate wird auf 120 Tage ab dem Zeitpunkt der Aktualisierung festgelegt.

Instanz löschen

Sie können eine Instanz löschen, um sie und ihre Schlüssel endgültig zu entfernen. Für diesen Vorgang ist eine Quorum-Authentifizierung erforderlich. Nachdem der Vorschlag genehmigt wurde, dauert der Vorgang etwa 15 bis 30 Minuten.

Nach dem Löschen einer Instanz werden die in dieser Instanz gespeicherten Schlüssel weiterhin als ACTIVE angezeigt, sind aber nicht mehr verwendbar. Wenn Sie versuchen, kryptografische Vorgänge mit einem Schlüssel in einer gelöschten Instanz auszuführen, wird ein Fehler ausgegeben.

  1. Erstellen Sie einen Vorschlag zum Löschen der Instanz mit dem Vorgangstyp delete_single_tenant_hsm_instance. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal create INSTANCE_ID \
        --location LOCATION \
        --single-tenant-hsm-instance-proposal-id PROPOSAL_ID \
        --operation-type delete_single_tenant_hsm_instance

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz, die Sie löschen möchten.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige Kennung, die Sie für diesen Vorschlag verwenden möchten, z. B. delete_instance.

  2. Sehen Sie sich den Status des Vorschlags an und warten Sie, bis er PENDING lautet.

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung Ihrer Instanz.
    • PROPOSAL_ID: die Kennung des Vorschlags, z. B. delete_instance.
    • LOCATION: Der Standort, an dem Sie Ihre Instanz erstellt haben.

    Wenn der Status PENDING lautet, können Sie die Aufgaben signieren.

  3. Holen Sie sich die Herausforderungen aus dem Vorschlag. 

      gcloud kms single-tenant-hsm proposal describe PROPOSAL_ID \
      --single_tenant_hsm_instance INSTANCE_ID \
      --location LOCATION \
      --format="json[](quorumParameters.challenges)"

    Dieser Befehl gibt ein JSON-formatiertes Array von Challenges zurück.

  4. Decodieren Sie jede im vorherigen Schritt zurückgegebene Challenge mit basenc --base64url -d und signieren Sie sie mit einem privaten Schlüssel. 

      echo CHALLENGE_N | basenc --base64url -d > decoded-challenge-N.txt
  openssl dgst -sign PRIVATE_KEY_N -out signed-challenge-N.txt decoded-challenge-N.txt

    Ersetzen Sie Folgendes:

    • N: Die Nummer der Challenge, z. B. 1 für die erste Challenge, 2 für die zweite usw.
    • CHALLENGE_N: der Inhalt der Challenge-Nummer N aus der Ausgabe des vorherigen Schritts.
    • PRIVATE_KEY_N: Der Pfad zum privaten Schlüssel Nummer N, z. B. rsaprivate1.pem für die erste Challenge.

  5. Genehmigen Sie den Vorschlag, indem Sie die unterzeichneten Herausforderungen hochladen. Sie können sie mit einem oder mehreren Befehlen hochladen. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Quorum Member erforderlich.

      gcloud kms single-tenant-hsm proposal approve PROPOSAL_ID \
      --location LOCATION \
      --single_tenant_hsm_instance INSTANCE_ID \
      --quorum-challenge-replies="SIGNED_QUORUM_CHALLENGE_LIST"

    Ersetzen Sie SIGNED_QUORUM_CHALLENGE_LIST durch ein JSON-formatiertes Array von Challenges, wobei jedes Listenelement ein Tupel mit dem Pfad zur signierten Challenge und dem Pfad zum entsprechenden öffentlichen Schlüssel ist, z. B. [('signed-challenge-1.txt','rsapub1.pem'), ('signed-challenge-2.txt','rsapub2.pem')], um die ersten beiden signierten Challenges in einem Befehl zu senden.

    Nachdem Sie die erforderliche Anzahl signierter Challenges hochgeladen haben, ändert sich der Status des Vorschlags in APPROVED.

  6. Prüfen Sie, ob Sie die Instanz wirklich löschen und alle Daten, die mit in dieser Instanz erstellten Schlüsseln verschlüsselt wurden, kryptografisch vernichten möchten, und führen Sie dann den Vorschlag aus. Für diesen Schritt ist die Rolle Cloud KMS Single-Tenant HSM Executor erforderlich. Er muss innerhalb von 24 Stunden nach der Erstellung des Vorschlags abgeschlossen werden.

    Warnung: Der folgende Befehl kann nicht rückgängig gemacht werden. Es kann zu permanentem Datenverlust kommen. Google kann Ihnen nicht helfen, Schlüssel in einer gelöschten Instanz wiederherzustellen. 
        gcloud kms single-tenant-hsm proposal execute  PROPOSAL_ID \
    --single_tenant_hsm_instance INSTANCE_ID --location LOCATION

    Nach Abschluss des Vorgangs wird die Instanz gelöscht.

Vorschlag löschen

Wenn Sie ein Angebot nicht genehmigen oder ausführen möchten, können Sie es löschen, bevor es abläuft. Wenn Sie ein ausstehendes Angebot löschen, können Sie es nicht mehr genehmigen und ein neues Angebot erstellen. Wenn Sie ein genehmigtes Angebot löschen, können Sie den Vorgang nicht ausführen.

  • Löschen Sie einen Vorschlag mit dem Befehl proposal delete. Dafür ist die Rolle Cloud KMS Single-Tenant HSM Proposer erforderlich.

        gcloud kms single-tenant-hsm proposal delete PROPOSAL_ID \
        --location LOCATION \
        --single_tenant_hsm_instance INSTANCE_ID

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: Die Kennung der Instanz.
    • LOCATION: der Ort, an dem Sie die Instanz erstellt haben.
    • PROPOSAL_ID: Die eindeutige ID des Vorschlags, den Sie löschen möchten, z. B. proposal_to_delete.

Nächste Schritte