Cloud KMS Autokey aktivieren

Auf dieser Seite wird beschrieben, wie Sie Cloud KMS Autokey für die zentrale Schlüsselverwaltung in einem Ressourcenordner oder für die delegierte Schlüsselverwaltung in Projekten (Vorschau) aktivieren und konfigurieren. Weitere Informationen zu Autokey finden Sie unter Übersicht: Autokey. Dieses Dokument richtet sich an Administratoren.

Hinweise

Bevor Sie Cloud KMS Autokey für die zentrale Schlüsselverwaltung mit einem dedizierten Schlüsselprojekt für alle Projekte in einem Ordner aktivieren können, benötigen Sie Folgendes:

  • Eine Organisationsressource, die einen Ordner enthält, in dem Sie Autokey aktivieren möchten. Wenn Sie keinen Ordner haben, in dem Sie Autokey aktivieren möchten, können Sie einen neuen Ressourcenordner erstellen. Wenn Sie Autokey für diesen Ordner aktivieren, wird Autokey für alle Ressourcenprojekte im Ordner aktiviert.

  • Wenn Sie Ressourcenprojekte haben, in denen Sie die zentrale Schlüsselverwaltung mit Autokey verwenden möchten, die sich aber nicht in einem Ordner befinden, in dem Sie Autokey aktivieren, können Sie vorhandene Ressourcenprojekte in neue Ordner verschieben.

Bevor Sie Autokey für Projekte (Vorabversion) aktivieren können, um die delegierte Schlüsselverwaltung und Schlüssel für dasselbe Projekt zu aktivieren, benötigen Sie eine der folgenden Optionen:

  • Ein Google Cloud -Projekt, in dem Sie Autokey aktivieren möchten und in dem die Berechtigung keyHandles.create nicht durch eine IAM-Ablehnungsrichtlinie blockiert wird.
  • Ein Google Cloud -Ordner, in dem Sie Autokey aktivieren möchten und der mindestens ein Projekt enthält, in dem die Berechtigung keyHandles.create nicht durch eine IAM-Ablehnungsrichtlinie blockiert wird.

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Aktivieren und Konfigurieren von Autokey benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für den Ordner, das Projekt oder eine übergeordnete Ressource zuzuweisen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aktivieren und Konfigurieren von Autokey erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Autokey zu aktivieren und zu konfigurieren:

  • cloudkms.autokeyConfigs.*
  • cloudkms.projects.showEffectiveAutokeyConfig
  • serviceusage.services.enable
  • So aktivieren Sie die zentrale Autokey-Funktion:
    • resourcemanager.folders.get
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
    • billing.resourceAssociations.create

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Entscheiden, wie Sie Autokey aktivieren möchten

Sie können Autokey im Rahmen Ihrer Infrastruktur-als-Code-Strategie aktivieren, indem Sie die erforderlichen Konfigurationsänderungen mit Terraform vornehmen. Wenn Sie Autokey mit Terraform aktivieren möchten, lesen Sie den Abschnitt Autokey mit Terraform aktivieren auf dieser Seite. Wenn Sie Terraform nicht verwenden möchten, folgen Sie zuerst der Anleitung im nächsten Abschnitt.

Autokey für die zentrale Schlüsselverwaltung einrichten

Wenn Sie Autokey für die zentrale Schlüsselverwaltung in einem Ordner verwenden, müssen Sie ein einzelnes Schlüsselprojekt auswählen, das alle von Autokey in diesem Ordner erstellten Schlüssel enthält. Wenn Sie das Modell für die delegierte Schlüsselverwaltung (Vorschau) verwenden, benötigen Sie kein dediziertes Schlüsselprojekt. Fahren Sie mit Autokey für die delegierte Schlüsselverwaltung aktivieren fort.

Wir empfehlen, ein neues Schlüsselprojekt zu erstellen, das die von Autokey erstellten Cloud KMS-Ressourcen enthält. Sie sollten das Schlüsselprojekt in Ihrer Organisationsressource erstellen. Wenn Sie bereits ein Schlüsselprojekt haben, das Sie für von Autokey erstellte Schlüssel verwenden möchten, können Sie den Abschnitt Schlüsselprojekt erstellen überspringen und auf dieser Seite mit Autokey-Schlüsselprojekt konfigurieren fortfahren.

Das Schlüsselprojekt kann im selben Ordner erstellt werden, in dem Sie Autokey aktivieren möchten. Sie sollten keine anderen Ressourcen im Schlüsselprojekt erstellen. Wenn Sie versuchen, Ressourcen zu erstellen, die durch Autokey im Schlüsselprojekt geschützt sind, lehnt Autokey die Anfrage für einen neuen Schlüssel ab.

Wenn Sie in Zukunft zu Assured Workloads migrieren möchten, erstellen Sie das Schlüsselprojekt im selben Ordner wie die Ressourcen, die durch diese Schlüssel geschützt sind.

Wenn Ihre Organisation die Organisationsrichtlinieneinschränkung constraints/gcp.restrictCmekCryptoKeyProjects verwendet, um sicherzustellen, dass alle CMEKs aus angegebenen Schlüsselprojekten stammen, müssen Sie Ihr Schlüsselprojekt der Liste der zulässigen Projekte hinzufügen. Weitere Informationen zu CMEK-Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Schlüsselprojekt erstellen

Console

  1. Wechseln Sie in der Google Cloud -Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Wählen Sie unter Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Wählen Sie unter Speicherort die Ressource aus, die das übergeordnete Element für Ihr Schlüsselprojekt sein soll.
  6. Klicken Sie auf Erstellen, um das Projekt zu erstellen.

gcloud

  • Erstellen Sie ein neues Projekt:

    gcloud projects create PROJECT_ID \
    --PARENT_TYPE=PARENT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, das den Schlüsselbund enthält.
    • PARENT_TYPE: Der Typ der Ressource, in der Sie das neue Schlüsselprojekt erstellen möchten. Geben Sie organization ein, um das neue Schlüsselprojekt unter einer bestimmten Organisation zu erstellen, oder geben Sie folder ein, um das neue Schlüsselprojekt unter einem bestimmten Ordner zu erstellen.
    • PARENT_ID: die ID der Organisation oder des Ordners, in dem Sie das Schlüsselprojekt erstellen möchten.

Autokey-Schlüsselprojekt vorbereiten

Console

  1. Aktivieren Sie die Cloud KMS API für Ihr Schlüsselprojekt.

    API aktivieren

  2. Wenn Sie ein neues Schlüsselprojekt verwenden, gewähren Sie Cloud KMS-Administratorberechtigungen für das Schlüsselprojekt. Wiederholen Sie die folgenden Schritte, um sich selbst und jedem anderen Cloud KMS-Administrator die Rolle Cloud KMS-Administrator zuzuweisen:

    1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

      IAM aufrufen

    2. Wählen Sie das Schlüsselprojekt aus.

    3. Klicken Sie auf  Zugriff gewähren und geben Sie dann die E-Mail-Adresse des Nutzers ein.

    4. Wählen Sie die Rolle Cloud KMS-Administrator aus.

    5. Klicken Sie auf Speichern.

gcloud

  1. Aktivieren Sie die Cloud KMS API für Ihr Schlüsselprojekt:

    gcloud services enable cloudkms.googleapis.com

  2. Gewähren Sie Cloud KMS-Administratorberechtigungen für das Schlüsselprojekt. Wiederholen Sie den folgenden Befehl, um sich selbst und allen anderen Cloud KMS-Administratornutzern die Rolle roles/cloudkms.admin zuzuweisen:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:KEY_ADMIN_EMAIL

    Ersetzen Sie Folgendes:

    • PROJECT_NUMBER: die Projektnummer des Schlüsselprojekts.
    • KEY_ADMIN_EMAIL: Die E-Mail-Adresse des Nutzers, der für die Verwaltung von Cloud KMS-Schlüsseln verantwortlich ist.

Cloud KMS Autokey für einen Ressourcenordner aktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite KMS-Steuerelemente auf.

    Zu KMS-Steuerelementen

  2. Wählen Sie in der Kontextauswahl den Ordner aus, in dem Sie die automatische Schlüsselung aktivieren möchten.

  3. Klicken Sie auf Aktivieren.

  4. Wählen Sie Ihr Schlüsselprojekt aus und klicken Sie auf Senden.

    Eine Meldung bestätigt, dass Cloud KMS Autokey für den Ordner aktiviert ist.

API

Erstellen Sie die AutokeyConfig für den Ordner, in dem Sie Autokey aktivieren möchten:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project": "projects/PROJECT_ID"}'

Ersetzen Sie Folgendes:

  • FOLDER_ID: die ID des Ordners, in dem Sie Autokey aktivieren möchten.
  • PROJECT_ID: die ID des Schlüsselprojekts.

Cloud KMS-Dienst-Agent einrichten

Der Cloud KMS-Dienst-Agent für ein Schlüsselprojekt erstellt Schlüssel und wendet IAM-Richtlinienbindungen während der Ressourcenerstellung im Namen eines menschlichen Cloud KMS-Administrators an. Damit der Cloud KMS-Dienst-Agent Schlüssel erstellen und zuweisen kann, sind Cloud KMS-Administratorberechtigungen erforderlich.

  1. Erstellen Sie den Cloud KMS-Dienst-Agenten:

    gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=PROJECT_NUMBER

    Ersetzen Sie PROJECT_NUMBER durch die Projektnummer des Schlüsselprojekts.

    Die Ausgabe sieht etwa so aus:

    Service identity created: service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com

    Die Ausgabe des Befehls gibt an, dass das Cloud EKM-Dienstkonto (mit der Unterdomäne gcp-sa-ekms) erstellt wurde. Mit dem Befehl wird jedoch auch der Cloud KMS-Dienst-Agent (mit der gcp-sa-cloudkms-Subdomain) erstellt, den Sie später in dieser Anleitung verwenden.

  2. Erteilen Sie dem Dienst-Agent Cloud KMS-Administratorberechtigungen:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

    Ersetzen Sie PROJECT_NUMBER durch die Projektnummer des Schlüsselprojekts.

Autokey für die delegierte Schlüsselverwaltung aktivieren

Wenn Sie Autokey für die delegierte Schlüsselverwaltung verwenden, werden Ihre Schlüssel von Autokey im selben Projekt wie die Ressourcen erstellt, die sie schützen. Projekte, die die delegierte Schlüsselverwaltung mit Autokey unterstützen, können sich in Ordnern befinden, in denen Autokey für die zentrale Schlüsselverwaltung aktiviert ist. Wenn Autokey für ein Projekt aktiviert ist, wird die Autokey-Konfiguration auf Projektebene durch die Autokey-Konfiguration im übergeordneten Ordner überschrieben.

So aktivieren Sie Autokey für ein einzelnes Projekt:

  1. Erstellen Sie mit der REST API die AutokeyConfig für das Projekt, in dem Sie Autokey aktivieren möchten:

    curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'

    Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie Autokey aktivieren möchten.

  2. Aktivieren Sie die Cloud KMS API für das Projekt in der gcloud CLI:

    gcloud services enable cloudkms.googleapis.com

So aktivieren Sie Autokey für alle Projekte in einem Ordner:

  1. Erstellen Sie mit der REST API die AutokeyConfig für den Ordner, in dem Sie die delegierte Schlüsselverwaltung für Autokey aktivieren möchten:

    curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'

    Ersetzen Sie FOLDER_ID durch die ID des Ordners, in dem Sie Autokey aktivieren möchten. Mit diesem Befehl wird die Autokey-Funktion für alle Projekte im Ordner aktiviert.

  2. Aktivieren Sie in der gcloud CLI die Cloud KMS API für jedes Projekt, in dem Sie Autokey für die delegierte Schlüsselverwaltung verwenden möchten:

    gcloud services enable cloudkms.googleapis.com

    Sie können die Cloud KMS API für alle Projekte gleichzeitig oder nach Bedarf für einzelne Projekte aktivieren. Ihre Entwickler können Autokey im Projekt erst verwenden, wenn die Cloud KMS API für dieses Projekt aktiviert ist.

Autokey mit Terraform aktivieren

Zentrale Schlüsselverwaltung mit Terraform

Das folgende Terraform-Beispiel automatisiert die folgenden Einrichtungsschritte:

  • Ressourcenordner erstellen
  • Schlüsselprojekt erstellen
  • Nutzerberechtigungen erteilen
  • Cloud KMS-Dienst-Agent einrichten
  • Autokey aktivieren

Sie müssen Ressourcenprojekte separat im Ressourcenordner erstellen.

variable "organization_ID" {
  description = "Your Google Cloud Org ID"
  type        = string
  default     = "ORGANIZATION_ID"
}

variable "billing_account" {
  description = "Your Google Cloud Billing Account ID"
  type        = string
  default     = "BILLING_ACCOUNT_ID"
}

/* List the users who should have the authority to enable and configure
   Autokey at a folder level */
variable "autokey_folder_admins" {
  type    = list(string)
  default = [AUTOKEY_ADMIN_USER_IDS]
}

/* List the users who should have the authority to protect their resources
   with Autokey */
variable "autokey_folder_users" {
  type    = list(string)
  default = [AUTOKEY_DEVELOPER_USER_IDS]
}

/* List the users who should have the authority to manage crypto operations in
   the Autokey key project */
variable "autokey_project_kms_admins" {
  type    = list(string)
  default = [KEY_PROJECT_ADMIN_USER_IDS]
}

/* The project ID to use for the key project. The project ID must be 6 to 30
   characters with lowercase letters, digits, hyphens. The project ID must start
   with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
  description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
  type        = string
  default     = "KEY_PROJECT_ID"
}

# Create a new folder
resource "google_folder" "autokey_folder" {
  parent       = "organizations/${var.organization_ID}"
  display_name = "autokey_folder"
}

# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyAdmin"
  members = var.autokey_folder_admins
}

# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyUser"
  members = var.autokey_folder_users
}

# Create a key project to store keys created by Autokey
 resource "google_project" "key_management_project" {
  project_id      = var.key_management_project_ID
  name            = var.key_management_project_ID
  billing_account = var.billing_account
  folder_id       = google_folder.autokey_folder.name
}

output "project_number" {
  value = google_project.key_management_project.number
}

# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
  project    = google_project.key_management_project.project_id
  role       = "roles/cloudkms.admin"
  members    = var.autokey_project_kms_admins
  depends_on = [ google_project.key_management_project ]
}

# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
  service                    = "cloudkms.googleapis.com"
  project                    = google_project.key_management_project.project_id
  disable_on_destroy         = false
  disable_dependent_services = false
  depends_on                 = [google_project.key_management_project]
}

# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
  provider   = google-beta
  service    = "cloudkms.googleapis.com"
  project    = google_project.key_management_project.project_id
  depends_on = [google_project.key_management_project]
}

/* Grant role for the Cloud KMS service agent to use delegated
   Cloud KMS administrator permissions */
resource "google_project_iam_member" "autokey_project_admin" {
  project = google_project.key_management_project.project_id
  role    = "roles/cloudkms.admin"
  member  = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}

/* Enable AutokeyConfig for centralized key management in this folder */
resource "google_kms_autokey_config" "autokey_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.folder_id
  key_project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "DEDICATED_KEY_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Ersetzen Sie Folgendes:

  • BILLING_ACCOUNT_ID: Ihre Google Cloud Abrechnungskonto-ID. Die Rechnungskonto-ID ist ein alphanumerischer Wert aus 18 Zeichen, der durch Bindestriche getrennt ist, z. B. 010101-F0FFF0-10XX01.
  • AUTOKEY_ADMIN_USER_IDS: Eine Liste von E-Mail-Adressen für Nutzer, die die Rolle roles/cloudkms.autokeyAdmin haben sollen, z. B. "Ariel@example.com", "Charlie@example.com".
  • AUTOKEY_DEVELOPER_USER_IDS: Eine Liste von E-Mail-Adressen für Nutzer, die die Rolle roles/cloudkms.autokeyUser haben sollen, z. B. "Kalani@example.com", "Mahan@example.com".
  • KEY_PROJECT_ADMIN_USER_IDS: Eine Liste von E-Mail-Adressen für Nutzer, die die Rolle roles/cloudkms.admin haben sollen, z. B. "Sasha@example.com", "Nur@example.com".
  • KEY_PROJECT_ID: Die ID, die für das Projekt mit dem dedizierten Schlüssel verwendet werden soll, z. B. autokey-key-project. Wenn Sie ein Schlüsselprojekt angeben, muss key_project_resolution_mode DEDICATED_KEY_PROJECT sein.

Delegierte Schlüsselverwaltung mit Terraform

Wenn Sie Autokey für alle Projekte in einem Ordner für die delegierte Schlüsselverwaltung aktivieren möchten, verwenden Sie eine folder_config-Ressource ähnlich der folgenden:

/* Enable AutokeyConfig on a folder */
resource "google_kms_autokey_config" "folder_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.name
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Wenn Sie Autokey für einzelne Projekte für die delegierte Schlüsselverwaltung aktivieren möchten, verwenden Sie eine autokey_config_project-Ressource, die der folgenden ähnelt:

/* To set autokey config for a project */
resource "google_kms_autokey_config" "autokey_config_project" {
  provider = google-beta
  project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For project scope, valid values are: RESOURCE_PROJECT, DISABLED
}

Autokey-Nutzung erzwingen

Wenn Sie die Verwendung von Autokey in einem Ordner erzwingen möchten, können Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden die Berechtigungen zum Erstellen von Schlüsseln für andere Principals als den Cloud KMS-Dienst-Agent entfernt. Anschließend muss für alle Ressourcen CMEK mit dem Autokey-Schlüsselprojekt verwendet werden.

So erzwingen Sie die Verwendung von Autokey in einem Ordner:

  1. Entfernen Sie den Zugriff zum manuellen Erstellen von Schlüsseln im Schlüsselprojekt. Wenn Schlüssel nicht manuell erstellt werden können, können in diesem Projekt nur Schlüssel erstellt werden, die von Autokey erstellt wurden. Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung mit IAM.

  2. Legen Sie eine Organisationsrichtlinie für den Ordner fest, um zu erzwingen, dass Ressourcen mit einem CMEK geschützt werden müssen. Verwenden Sie dazu die Einschränkung constraints/gcp.restrictNonCmekServices. Weitere Informationen finden Sie unter CMEK-Schutz erforderlich.

  3. Legen Sie eine Organisationsrichtlinie für den Ordner fest, um zu erzwingen, dass Schlüssel, die für CMEK verwendet werden, aus dem Autokey-Schlüsselprojekt stammen müssen. Verwenden Sie dazu die Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects. Weitere Informationen finden Sie unter Verwendung von Cloud KMS-Schlüsseln für CMEK einschränken.

Autokey deaktivieren

Cloud KMS Autokey wird auf Ordnerebene aktiviert und deaktiviert. Mit denselben Rollen, mit denen Autokey für einen Ordner aktiviert werden kann, kann Autokey auch für diesen Ordner deaktiviert werden. Wenn Sie Autokey für einen Ordner deaktivieren möchten, müssen Sie das AutokeyConfig entfernen, um die Verknüpfung zwischen dem Ordner und dem Autokey-Schlüsselprojekt aufzuheben.

Nachdem die Autokey-Konfiguration für den Ordner entfernt wurde, kann der Cloud KMS-Dienst-Agent keine Schlüssel mehr für Entwickler erstellen, wenn diese Ressourcen im Ordner erstellen. Wenn Sie die Verknüpfung zwischen dem Ordner und dem Schlüsselprojekt entfernen, wird Autokey im Ordner deaktiviert. Wir empfehlen jedoch, auch die IAM-Bindungen für die Rollen roles/cloudkms.autokeyAdmin und roles/cloudkms.autokeyUser zu entfernen.

Das Deaktivieren von Autokey hat keine Auswirkungen auf vorhandene Schlüssel im Schlüsselprojekt. Sie können diese Schlüssel weiterhin zum Schutz Ihrer Ressourcen verwenden.

AutokeyConfig löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite KMS-Steuerelemente auf.

    Zu KMS-Steuerelementen

  2. Wählen Sie in der Kontextauswahl den Ordner aus, für den Sie Autokey deaktivieren möchten.

  3. Klicken Sie auf Deaktivieren.

    Sie werden in einer Meldung aufgefordert, die Deaktivierung von Autokey zu bestätigen.

  4. Wenn Sie Autokey deaktivieren möchten, klicken Sie auf Bestätigen.

    Eine Meldung bestätigt, dass Cloud KMS Autokey für den Ordner deaktiviert ist.

API

Entfernen Sie das Häkchen aus dem Kästchen AutokeyConfig für den Ordner, in dem Sie Autokey deaktivieren möchten:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{}'

Ersetzen Sie Folgendes:

  • FOLDER_ID: die ID des Ordners, in dem Sie Autokey deaktivieren möchten.

Autokey-Rollen entziehen

  1. Optional: Widerrufen Sie die Rolle roles/cloudkms.autokeyAdmin:

    gcloud resource-manager folders remove-iam-policy-binding \
    FOLDER_ID --role=roles/cloudkms.autokeyAdmin \
    --member=user:USER_EMAIL

    Ersetzen Sie Folgendes:

    • FOLDER_ID: Die ID des Ordners, in dem Sie Autokey deaktiviert haben.
    • USER_EMAIL: Die E-Mail-Adresse des Nutzers, für den Sie die Berechtigung zum Verwalten von Autokey widerrufen möchten.

  2. Optional: Widerrufen Sie die Rolle roles/cloudkms.autokeyUser auf Ordnerebene:

    gcloud resource-manager folders remove-iam-policy-binding \
    FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:USER_EMAIL

    Ersetzen Sie Folgendes:

    • FOLDER_ID: Die ID des Ordners, in dem Sie Autokey deaktiviert haben.
    • USER_EMAIL: Die E-Mail-Adresse des Nutzers, für den Sie die Berechtigung zur Verwendung von Autokey widerrufen möchten.

  3. Optional: Rolle roles/cloudkms.autokeyUser auf Projektebene widerrufen:

    gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \
    --role=roles/cloudkms.autokeyUser \
    --member=user:USER_EMAIL

    Ersetzen Sie Folgendes:

    • RESOURCE_PROJECT_NUMBER: Die Projektnummer eines Ressourcenprojekts in dem Ordner, in dem Sie Autokey deaktiviert haben.
    • USER_EMAIL: Die E-Mail-Adresse des Nutzers, für den Sie die Berechtigung zur Verwendung von Autokey widerrufen möchten.

  4. Optional: Wenn Sie das Schlüsselprojekt nicht mehr für Autokey für andere Ordner verwenden möchten, widerrufen Sie die Rolle roles/cloudkms.admin für den Cloud KMS-Dienst-Agent:

    gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

    Ersetzen Sie KEY_PROJECT_NUMBER durch die numerische ID des Schlüsselprojekts.

  5. Optional: Wenn Sie die im Schlüsselprojekt erstellten Schlüssel nicht mehr verwenden möchten, widerrufen Sie die Rolle roles/cloudkms.admin für den Cloud KMS-Administrator:

    gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:KEY_ADMIN_EMAIL

    Ersetzen Sie Folgendes:

    • KEY_PROJECT_NUMBER: die Projektnummer des Schlüsselprojekts.
    • USER_EMAIL: Die E-Mail-Adresse des Nutzers, für den Sie die Berechtigung zur Verwendung von Autokey widerrufen möchten.

Nächste Schritte