Attivare Autokey di Cloud KMS

Questa pagina mostra come abilitare e configurare Cloud KMS Autokey per la gestione centralizzata delle chiavi in una cartella di risorse o per la gestione delegata delle chiavi nei progetti (anteprima). Per saperne di più su Autokey, consulta la panoramica di Autokey. Questo documento è rivolto agli amministratori.

Prima di iniziare

Prima di poter abilitare Cloud KMS Autokey per la gestione centralizzata delle chiavi utilizzando un progetto chiave dedicato per tutti i progetti in una cartella, devi disporre di quanto segue:

  • Una risorsa dell'organizzazione che contiene una cartella in cui vuoi attivare Autokey. Se non hai una cartella in cui vuoi attivare Autokey, puoi creare una nuova cartella delle risorse. L'attivazione di Autokey in questa cartella abilita Autokey per tutti i progetti di risorse all'interno della cartella.

  • Se hai progetti risorsa in cui vuoi utilizzare la gestione centralizzata delle chiavi con Autokey, ma non si trovano all'interno di una cartella in cui abiliterai Autokey, puoi spostare i progetti risorsa esistenti in nuove cartelle.

Prima di poter attivare Autokey per i progetti (anteprima) per attivare la gestione delegata delle chiavi e le chiavi dello stesso progetto, devi disporre di uno dei seguenti elementi:

  • Un progetto Google Cloud in cui vuoi attivare Autokey e in cui l'autorizzazione keyHandles.create non è bloccata da un criterio di negazione IAM.
  • Una cartella Google Cloud in cui vuoi attivare Autokey, che contiene almeno un progetto in cui l'autorizzazione keyHandles.create non è bloccata da un criterio di negazione IAM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per attivare e configurare Autokey, chiedi all'amministratore di concederti i seguenti ruoli IAM nella cartella, nel progetto o in una risorsa padre:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per abilitare e configurare Autokey. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per abilitare e configurare Autokey sono necessarie le seguenti autorizzazioni:

  • cloudkms.autokeyConfigs.*
  • cloudkms.projects.showEffectiveAutokeyConfig
  • serviceusage.services.enable
  • Per attivare Autokey centralizzato:
    • resourcemanager.folders.get
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
    • billing.resourceAssociations.create

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Decidi come vuoi attivare Autokey

Puoi attivare Autokey nell'ambito della tua strategia Infrastructure as Code utilizzando Terraform per apportare le modifiche di configurazione necessarie. Se vuoi utilizzare Terraform per attivare Autokey, consulta Attivare Autokey utilizzando Terraform in questa pagina. Se non vuoi utilizzare Terraform, inizia seguendo le istruzioni nella sezione successiva.

Configurare Autokey per la gestione centralizzata delle chiavi

Quando utilizzi Autokey per la gestione centralizzata delle chiavi in una cartella, devi scegliere un singolo progetto chiave che contenga tutte le chiavi create da Autokey in quella cartella. Se utilizzi il modello di gestione delle chiavi delegata (anteprima), non hai bisogno di un progetto chiave dedicato; continua da Abilita Autokey per la gestione delle chiavi delegata.

Ti consigliamo di creare un nuovo progetto di chiavi per contenere le risorse Cloud KMS create da Autokey. Devi creare il progetto chiave all'interno della risorsa organizzazione. Se hai già un progetto chiave che vuoi utilizzare per le chiavi create da Autokey, puoi saltare la sezione Crea un progetto chiave e continuare da Configura il progetto chiave Autokey in questa pagina.

Il progetto chiave può essere creato all'interno della stessa cartella in cui prevedi di attivare Autokey. Non devi creare altre risorse all'interno del progetto chiave. Se tenti di creare risorse protette da Autokey nel progetto chiave, Autokey rifiuta la richiesta di una nuova chiave.

Se in futuro prevedi di eseguire la migrazione ad Assured Workloads, crea il progetto delle chiavi all'interno della stessa cartella delle risorse protette da queste chiavi.

Se la tua organizzazione utilizza il vincolo della policy dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects per garantire che tutte le chiavi CMEK provengano da progetti di chiavi specificati, devi aggiungere il tuo progetto di chiavi all'elenco dei progetti consentiti. Per maggiori informazioni sulla policy dell'organizzazione CMEK, consulta Policy dell'organizzazione CMEK.

Crea un progetto chiave

Console

  1. Nella console Google Cloud , vai alla pagina Gestisci risorse.

    Vai a Gestisci risorse

  2. Per Seleziona organizzazione, seleziona la risorsa Organizzazione in cui vuoi creare un progetto.
  3. Fai clic su Create project (Crea progetto).
  4. Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
  5. Per Posizione, seleziona la risorsa che vuoi impostare come principale per il progetto della chiave.
  6. Per completare la creazione del progetto, fai clic su Crea.

gcloud

  • Crea un nuovo progetto:

    gcloud projects create PROJECT_ID \
    --PARENT_TYPE=PARENT_ID

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto che contiene le chiavi automatizzate.
    • PARENT_TYPE: il tipo di risorsa in cui vuoi creare il nuovo progetto chiave. Inserisci organization per creare il nuovo progetto di chiavi in un'organizzazione specifica oppure inserisci folder per creare il nuovo progetto di chiavi in una cartella specifica.
    • PARENT_ID: l'ID dell'organizzazione o della cartella in cui vuoi creare il progetto chiave.

Prepara il progetto chiave Autokey

Console

  1. Abilita l'API Cloud KMS nel progetto delle chiavi.

    Abilitare l'API

  2. Se utilizzi un nuovo progetto di chiavi, concedi le autorizzazioni di amministratore Cloud KMS sul progetto di chiavi. Ripeti i seguenti passaggi per concedere il ruolo Amministratore Cloud KMS a te e a ogni altro utente amministratore Cloud KMS:

    1. Nella console Google Cloud , vai alla pagina IAM.

      Vai a IAM

    2. Seleziona il progetto chiave.

    3. Fai clic su Concedi l'accesso e poi inserisci l'indirizzo email dell'utente.

    4. Seleziona il ruolo Amministratore Cloud KMS.

    5. Fai clic su Salva.

gcloud

  1. Abilita l'API Cloud KMS nel progetto chiave:

    gcloud services enable cloudkms.googleapis.com

  2. Concedi le autorizzazioni di amministratore Cloud KMS per il progetto di chiavi. Ripeti il comando seguente per concedere il ruolo roles/cloudkms.admin a te e a ogni altro utente amministratore Cloud KMS:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:KEY_ADMIN_EMAIL

    Sostituisci quanto segue:

    • PROJECT_NUMBER: il numero del progetto chiave.
    • KEY_ADMIN_EMAIL: l'indirizzo email dell'utente responsabile della gestione delle chiavi Cloud KMS.

Abilita Cloud KMS Autokey in una cartella di risorse

Console

  1. Nella console Google Cloud , vai alla pagina Controlli KMS.

    Vai ai controlli KMS

  2. Dal selettore di contesto, seleziona la cartella in cui vuoi attivare Autokey.

  3. Fai clic su Attiva.

  4. Seleziona il progetto chiave e poi fai clic su Invia.

    Un messaggio conferma che Cloud KMS Autokey è abilitato nella cartella.

API

Crea il AutokeyConfig per la cartella in cui vuoi attivare Autokey:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project": "projects/PROJECT_ID"}'

Sostituisci quanto segue:

  • FOLDER_ID: l'ID della cartella in cui vuoi attivare Autokey.
  • PROJECT_ID: l'ID del progetto chiave.

Configura l'agente di servizio Cloud KMS

L'agente di servizio Cloud KMS per un progetto di chiavi crea chiavi e applica i binding delle policy IAM durante la creazione delle risorse, per conto di un amministratore Cloud KMS umano. Per poter creare e assegnare chiavi, l'agente di servizio Cloud KMS richiede le autorizzazioni di amministratore Cloud KMS.

  1. Crea l'agente di servizio Cloud KMS:

    gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=PROJECT_NUMBER

    Sostituisci PROJECT_NUMBER con il numero di progetto del progetto chiave.

    L'output è simile al seguente:

    Service identity created: service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com

    L'output del comando indica che l'account di servizio Cloud EKM (con il sottodominio gcp-sa-ekms) è stato creato. Tuttavia, il comando crea anche il service agent Cloud KMS (con il sottodominio gcp-sa-cloudkms), che è il service agent che utilizzerai in seguito in queste istruzioni.

  2. Concedi le autorizzazioni di amministratore Cloud KMS al service agent:

    gcloud projects add-iam-policy-binding PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

    Sostituisci PROJECT_NUMBER con il numero di progetto del progetto chiave.

Abilitare Autokey per la gestione delegata delle chiavi

Quando utilizzi Autokey per la gestione delegata delle chiavi, Autokey crea le chiavi all'interno dello stesso progetto delle risorse che proteggono. I progetti che supportano la gestione delegata delle chiavi con Autokey possono esistere all'interno di cartelle in cui Autokey è abilitato per la gestione centralizzata delle chiavi. Quando Autokey è abilitata in un progetto, la configurazione di Autokey a livello di progetto sostituisce la configurazione di Autokey nella cartella principale.

Per attivare Autokey per un singolo progetto, completa i seguenti passaggi:

  1. Utilizzando l'API REST, crea AutokeyConfig per il progetto in cui vuoi abilitare Autokey:

    curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'

    Sostituisci PROJECT_ID con l'ID del progetto in cui vuoi attivare Autokey.

  2. In gcloud CLI, abilita l'API Cloud KMS nel progetto:

    gcloud services enable cloudkms.googleapis.com

Per attivare Autokey per tutti i progetti all'interno di una cartella, completa i seguenti passaggi:

  1. Utilizzando l'API REST, crea AutokeyConfig per la cartella in cui vuoi attivare Autokey per utilizzare la gestione delle chiavi delegata:

    curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'

    Sostituisci FOLDER_ID con l'ID della cartella in cui vuoi abilitare Autokey. Questo comando attiva Autokey per tutti i progetti all'interno della cartella.

  2. In gcloud CLI, attiva l'API Cloud KMS in ogni progetto in cui vuoi utilizzare Autokey per la gestione delegata delle chiavi:

    gcloud services enable cloudkms.googleapis.com

    Puoi abilitare l'API Cloud KMS in ogni progetto contemporaneamente oppure abilitare l'API nei singoli progetti in base alle esigenze. I tuoi sviluppatori non possono utilizzare Autokey nel progetto finché l'API Cloud KMS non è abilitata per quel progetto.

Abilita Autokey utilizzando Terraform

Gestione centralizzata delle chiavi con Terraform

Il seguente esempio di Terraform automatizza i seguenti passaggi di configurazione:

  • Crea una cartella delle risorse
  • Crea un progetto chiave
  • Concedere le autorizzazioni utente
  • Configura l'agente di servizio Cloud KMS
  • Attiva Autokey

Devi creare separatamente i progetti delle risorse all'interno della cartella delle risorse.

variable "organization_ID" {
  description = "Your Google Cloud Org ID"
  type        = string
  default     = "ORGANIZATION_ID"
}

variable "billing_account" {
  description = "Your Google Cloud Billing Account ID"
  type        = string
  default     = "BILLING_ACCOUNT_ID"
}

/* List the users who should have the authority to enable and configure
   Autokey at a folder level */
variable "autokey_folder_admins" {
  type    = list(string)
  default = [AUTOKEY_ADMIN_USER_IDS]
}

/* List the users who should have the authority to protect their resources
   with Autokey */
variable "autokey_folder_users" {
  type    = list(string)
  default = [AUTOKEY_DEVELOPER_USER_IDS]
}

/* List the users who should have the authority to manage crypto operations in
   the Autokey key project */
variable "autokey_project_kms_admins" {
  type    = list(string)
  default = [KEY_PROJECT_ADMIN_USER_IDS]
}

/* The project ID to use for the key project. The project ID must be 6 to 30
   characters with lowercase letters, digits, hyphens. The project ID must start
   with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
  description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
  type        = string
  default     = "KEY_PROJECT_ID"
}

# Create a new folder
resource "google_folder" "autokey_folder" {
  parent       = "organizations/${var.organization_ID}"
  display_name = "autokey_folder"
}

# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyAdmin"
  members = var.autokey_folder_admins
}

# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyUser"
  members = var.autokey_folder_users
}

# Create a key project to store keys created by Autokey
 resource "google_project" "key_management_project" {
  project_id      = var.key_management_project_ID
  name            = var.key_management_project_ID
  billing_account = var.billing_account
  folder_id       = google_folder.autokey_folder.name
}

output "project_number" {
  value = google_project.key_management_project.number
}

# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
  project    = google_project.key_management_project.project_id
  role       = "roles/cloudkms.admin"
  members    = var.autokey_project_kms_admins
  depends_on = [ google_project.key_management_project ]
}

# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
  service                    = "cloudkms.googleapis.com"
  project                    = google_project.key_management_project.project_id
  disable_on_destroy         = false
  disable_dependent_services = false
  depends_on                 = [google_project.key_management_project]
}

# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
  provider   = google-beta
  service    = "cloudkms.googleapis.com"
  project    = google_project.key_management_project.project_id
  depends_on = [google_project.key_management_project]
}

/* Grant role for the Cloud KMS service agent to use delegated
   Cloud KMS administrator permissions */
resource "google_project_iam_member" "autokey_project_admin" {
  project = google_project.key_management_project.project_id
  role    = "roles/cloudkms.admin"
  member  = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}

/* Enable AutokeyConfig for centralized key management in this folder */
resource "google_kms_autokey_config" "autokey_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.folder_id
  key_project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "DEDICATED_KEY_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Sostituisci quanto segue:

  • BILLING_ACCOUNT_ID: il tuo ID account di fatturazione Google Cloud . L'ID account di fatturazione è un valore alfanumerico di 18 caratteri separati da trattini, ad esempio 010101-F0FFF0-10XX01.
  • AUTOKEY_ADMIN_USER_IDS: un elenco di indirizzi email per gli utenti che devono avere il ruolo roles/cloudkms.autokeyAdmin, ad esempio "Ariel@example.com", "Charlie@example.com".
  • AUTOKEY_DEVELOPER_USER_IDS: un elenco di indirizzi email per gli utenti che devono avere il ruolo roles/cloudkms.autokeyUser, ad esempio "Kalani@example.com", "Mahan@example.com".
  • KEY_PROJECT_ADMIN_USER_IDS: un elenco di indirizzi email per gli utenti che devono avere il ruolo roles/cloudkms.admin, ad esempio "Sasha@example.com", "Nur@example.com".
  • KEY_PROJECT_ID: l'ID da utilizzare per il progetto della chiave dedicata, ad esempio autokey-key-project. Se specifichi un progetto chiave, key_project_resolution_mode deve essere DEDICATED_KEY_PROJECT.

Gestione delegata delle chiavi con Terraform

Per abilitare Autokey in tutti i progetti di una cartella per la gestione delegata delle chiavi, utilizza una risorsa folder_config simile alla seguente:

/* Enable AutokeyConfig on a folder */
resource "google_kms_autokey_config" "folder_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.name
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Per abilitare Autokey su singoli progetti per la gestione delegata delle chiavi, utilizza una risorsa autokey_config_project simile alla seguente:

/* To set autokey config for a project */
resource "google_kms_autokey_config" "autokey_config_project" {
  provider = google-beta
  project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For project scope, valid values are: RESOURCE_PROJECT, DISABLED
}

Imponi l'utilizzo di Autokey

Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella, puoi farlo combinando i controlli dell'accesso IAM con le policy dell'organizzazione CMEK. Questa operazione viene eseguita rimuovendo le autorizzazioni di creazione delle chiavi dai principal diversi dall'agente di servizio Cloud KMS e richiedendo quindi che tutte le risorse siano protette da CMEK utilizzando il progetto chiave Autokey.

Per applicare l'utilizzo di Autokey all'interno di una cartella, completa i seguenti passaggi:

  1. Rimuovi l'accesso per creare chiavi manualmente nel progetto di chiavi. Se le chiavi non possono essere create manualmente, in questo progetto possono essere create solo le chiavi create da Autokey. Per saperne di più sul controllo dell'accesso, consulta Controllo dell'accesso con IAM.

  2. Imposta un criterio dell'organizzazione nella cartella per richiedere che le risorse siano protette con una CMEK utilizzando il vincolo constraints/gcp.restrictNonCmekServices. Per saperne di più, consulta Richiedere la protezione CMEK.

  3. Imposta un criterio dell'organizzazione nella cartella per richiedere che le chiavi utilizzate per CMEK provengano dal progetto chiave Autokey utilizzando il vincolo constraints/gcp.restrictCmekCryptoKeyProjects. Per saperne di più, consulta Limitare l'utilizzo delle chiavi Cloud KMS per CMEK.

Disattivare Autokey

Cloud KMS Autokey è abilitato e disabilitato a livello di cartella. Gli stessi ruoli che possono attivare Autokey per una cartella possono disattivare Autokey per quella cartella. Per disattivare Autokey in una cartella, devi deselezionare AutokeyConfig per rimuovere l'associazione tra la cartella e il progetto chiave Autokey.

Dopo la rimozione della configurazione di Autokey nella cartella, l'agente di servizio Cloud KMS non può più creare chiavi per gli sviluppatori quando creano risorse nella cartella. La rimozione del collegamento tra la cartella e il progetto chiave disattiva Autokey nella cartella. Tuttavia, ti consigliamo di rimuovere anche i binding IAM per i ruoli roles/cloudkms.autokeyAdmin e roles/cloudkms.autokeyUser.

La disattivazione di Autokey non influisce sulle chiavi esistenti nel progetto di chiavi. Puoi continuare a utilizzare queste chiavi per proteggere le tue risorse.

Clear AutokeyConfig

Console

  1. Nella console Google Cloud , vai alla pagina Controlli KMS.

    Vai ai controlli KMS

  2. Dal selettore di contesto, seleziona la cartella in cui vuoi disattivare Autokey.

  3. Fai clic su Disattiva.

    Viene visualizzato un messaggio che ti chiede di confermare che vuoi disattivare Autokey.

  4. Per disattivare Autokey, fai clic su Conferma.

    Un messaggio conferma che Cloud KMS Autokey è disabilitato nella cartella.

API

Deseleziona AutokeyConfig per la cartella in cui vuoi disattivare Autokey:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{}'

Sostituisci quanto segue:

  • FOLDER_ID: l'ID della cartella in cui vuoi disattivare Autokey.

Revocare i ruoli Autokey

  1. (Facoltativo) Revoca il ruolo roles/cloudkms.autokeyAdmin:

    gcloud resource-manager folders remove-iam-policy-binding \
    FOLDER_ID --role=roles/cloudkms.autokeyAdmin \
    --member=user:USER_EMAIL

    Sostituisci quanto segue:

    • FOLDER_ID: l'ID della cartella in cui hai disattivato Autokey.
    • USER_EMAIL: l'indirizzo email dell'utente per cui vuoi revocare l'autorizzazione a gestire Autokey.

  2. (Facoltativo) Revoca il ruolo roles/cloudkms.autokeyUser a livello di cartella:

    gcloud resource-manager folders remove-iam-policy-binding \
    FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:USER_EMAIL

    Sostituisci quanto segue:

    • FOLDER_ID: l'ID della cartella in cui hai disattivato Autokey.
    • USER_EMAIL: l'indirizzo email dell'utente a cui vuoi revocare l'autorizzazione a utilizzare Autokey.

  3. (Facoltativo) Revoca il ruolo roles/cloudkms.autokeyUser a livello di progetto:

    gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \
    --role=roles/cloudkms.autokeyUser \
    --member=user:USER_EMAIL

    Sostituisci quanto segue:

    • RESOURCE_PROJECT_NUMBER: il numero di progetto di un progetto di risorse all'interno della cartella in cui hai disattivato Autokey.
    • USER_EMAIL: l'indirizzo email dell'utente a cui vuoi revocare l'autorizzazione a utilizzare Autokey.

  4. (Facoltativo) Se non prevedi di continuare a utilizzare il progetto chiave per Autokey per altre cartelle, revoca il ruolo roles/cloudkms.admin per il service agent Cloud KMS:

    gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

    Sostituisci KEY_PROJECT_NUMBER con l'ID numerico del progetto chiave.

  5. (Facoltativo) Se non prevedi di continuare a utilizzare le chiavi create all'interno del progetto di chiavi, revoca il ruolo roles/cloudkms.admin per l'amministratore Cloud KMS:

    gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:KEY_ADMIN_EMAIL

    Sostituisci quanto segue:

    • KEY_PROJECT_NUMBER: il numero del progetto chiave.
    • USER_EMAIL: l'indirizzo email dell'utente a cui vuoi revocare l'autorizzazione a utilizzare Autokey.

Passaggi successivi