עדכון של הפניה למפתח חיצוני

בדף הזה מוסבר איך לעדכן את ההפניה למפתח חיצוני עבור מפתח Cloud EKM בלי לבצע רוטציה של המפתח. ההפניה למפתח החדש צריכה להצביע על אותו חומר מפתח כמו ההפניה למפתח הנוכחי. אם בוצעה רוטציה של חומר המפתח במערכת של השותף החיצוני לניהול מפתחות, צריך לבצע רוטציה של המפתח במקום זאת.

אם המערכת של השותף החיצוני לניהול מפתחות שינתה את הפניה למפתח קיים, צריך לפעול לפי ההוראות שבדף הזה. לדוגמה, הפניה למפתח יכולה להשתנות כתוצאה משינוי בשם המארח של שותף חיצוני לניהול מפתחות או משינוי במבנה ההפניה למפתח שלו.

התפקידים הנדרשים

כדי לקבל את ההרשאה שנדרשת לעדכון של הפניה למפתח חיצוני, צריך לבקש מהאדמין לתת לכם את תפקיד ה-IAM‏ Cloud KMS Admin (roles/cloudkms.admin) במפתח. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד המוגדר מראש הזה כולל את ההרשאה cloudkms.cryptoKeyVersions.update, שנדרשת כדי לעדכן הפניה למפתח חיצוני.

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

עדכון ה-URI של גרסת מפתח ללא רוטציה

כדי לעדכן את הפניה למפתח Cloud EKM שבו אתם משתמשים באינטרנט, מבצעים את השלבים הבאים:

המסוף

  1. נכנסים לדף Key Management במסוף Google Cloud .

    כניסה אל Key Management

  2. בוחרים את אוסף המפתחות, ואז בוחרים את המפתח והגרסה.

  3. לוחצים על עוד ואז על הצגת ה-URI של המפתח.

  4. לוחצים על עדכון ה-URI של המפתח.

  5. מזינים את ה-URI החדש של המפתח ולוחצים על שמירה.

‫CLI של gcloud

כדי לעדכן את כתובת ה-URI של גרסת המפתח, משתמשים בפקודה gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri NEW_KEY_URI

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_VERSION: מספר גרסת המפתח.
  • KEY_NAME: השם של המפתח.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • NEW_KEY_URI: ה-URI החדש של חומר המפתח החיצוני הקיים.

עדכון נתיב המפתח לגרסת מפתח ללא רוטציה

כדי לעדכן את הפניה למפתח Cloud EKM שבו אתם משתמשים ברשת VPC, מבצעים את השלבים הבאים:

המסוף

  1. נכנסים לדף Key Management במסוף Google Cloud .

    כניסה אל Key Management

  2. בוחרים את אוסף המפתחות, ואז בוחרים את המפתח והגרסה.

  3. לוחצים על עוד ואז על הצגת נתיב המפתח.

  4. לוחצים על עדכון נתיב המפתח.

  5. מזינים את נתיב המפתח החדש ולוחצים על שמירה.

‫CLI של gcloud

כדי לעדכן את נתיב המפתח של גרסת המפתח, משתמשים בפקודה gcloud kms versions update:

gcloud kms keys versions update KEY_VERSION \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path NEW_KEY_PATH

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_VERSION: מספר גרסת המפתח.
  • KEY_NAME: השם של המפתח.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • NEW_KEY_PATH: הנתיב החדש לחומר המפתח החיצוני הקיים.