Como cliente do Sovereign Controls by Partners, você usa um fluxo de trabalho diferente para gerenciar suas chaves do Cloud External Key Manager (Cloud EKM). Em vez de configurar e gerenciar seu próprio gerenciador de chaves externas, Google Cloud e o parceiro cuidará dessas etapas para você. Isso significa que o parceiro gerencia suas chaves e versões de chaves a seu pedido.
Nesta página, descrevemos como enviar solicitações para operações de chave comuns em um projeto do Cloud Key Management Service gerenciado por parceiros, conhecido como Projeto de gerenciamento de chaves.
Antes de começar
Você precisa ter um keyring com pelo menos uma chave antes de fazer solicitações de operações de chave.
Encontrar o nome do recurso da chave
Para qualquer solicitação de operação de chave, é necessário fornecer o nome do recurso da chave ou da versão da chave a ser modificada.
- Você precisa fornecer o nome do recurso chave para criar uma versão ou fazer a rotação de uma chave.
- É necessário fornecer o nome do recurso versão da chave para atualizar ou destruir uma versão da chave.
Solicitações do Issue Tracker
O Issue Tracker é uma ferramenta usada pelo Google e pelos parceiros para rastrear solicitações de projetos especializados. Para projetos do Cloud Key Management Service gerenciados por parceiros, use o Issue Tracker para enviar solicitações ao parceiro, que as atende no projeto do Cloud Key Management Service e gerencia as chaves no gerenciador de chaves externas.
O link para o Issue Tracker da sua organização está no e-mail de boas-vindas.
Operações comuns de chave
Criar uma versão de chave
Use o Issue Tracker para enviar uma solicitação de uma nova versão de chave. A nova versão da chave é definida como a principal se for a primeira ou se não houver outras versões.
No Issue Tracker, selecione Criar versão da chave e forneça o nome do recurso da sua chave. Clique em Criar para enviar sua solicitação.
Alternar chave
No Issue Tracker, indique Girar chave no corpo do tíquete e forneça o nome do recurso da sua chave. Clique em Criar para enviar sua solicitação.
Quando uma chave é rotacionada, o parceiro gera um novo material de chave no EKM, cria uma nova versão de chave no projeto do Cloud Key Management Service e define a nova versão de chave como a principal.
A rotação de uma versão de chave faz com que todos os dados recém-criados protegidos com essa chave sejam criptografados com um novo material de chave. Os dados protegidos com o material de chave anterior não são recriptografados. Como resultado, seu material de chave anterior precisa permanecer disponível para uso.
Desativar uma versão de chave
Use o console Google Cloud , Google Cloud CLI ou uma biblioteca de cliente do Cloud KMS para desativar uma versão da chave no estado Ativada. Quando você desativa uma versão de chave, o estado dela muda para Desativado. Consulte Como ativar e desativar versões de chaves na documentação do Cloud KMS para mais informações.
Destruir uma versão de chave
Para destruir uma versão de chave, programe a destruição dela no Cloud KMS. Isso destrói a chave do Cloud KMS, e os dados criptografados por ela não poderão mais ser acessados.
Se você também quiser destruir a chave no EKM do parceiro:
- Programe a destruição da versão da chave.
- No Issue Tracker, selecione Destroy key version no corpo do tíquete e informe o nome do recurso da versão da chave que você quer destruir.
- Clique em Criar para enviar sua solicitação.
O parceiro confirma sua solicitação de destruição de chave antes de prosseguir. Quando a destruição é confirmada, o parceiro informa uma data e hora para a destruição da chave. É possível restaurar a chave antes da destruição.
No período antes da destruição da chave, se você restaurar a versão da chave, a chave do Cloud KMS e a chave no EKM do parceiro vão permanecer.
Se a destruição continuar conforme programado, a chave do Cloud KMS será excluída primeiro, e depois a chave no EKM do parceiro.
Tempo de resposta
Use o Issue Tracker apenas para operações rotineiras de gerenciamento de chaves. Depois que uma solicitação do Issue Tracker é enviada, você recebe uma resposta do parceiro em até um dia útil.
Consulte também
- Confira uma lista de produtos compatíveis