作为“合作伙伴主权控制”客户,您需要使用不同的工作流程来管理 Cloud External Key Manager (Cloud EKM) 密钥。您无需自行设置和管理外部密钥管理器, Google Cloud 而是由合作伙伴为您处理这些步骤。这意味着,合作伙伴会根据您的要求管理您的密钥和密钥版本。
本页介绍了如何在合作伙伴管理的 Cloud Key Management Service 项目(通常称为密钥管理项目)中提交常见密钥操作的请求。
准备工作
您需要拥有至少包含一个密钥的密钥环,然后才能发出密钥操作请求。
获取密钥的资源名称
对于任何密钥操作请求,您都需要提供要修改的密钥或密钥版本的资源名称。
- 您需要提供密钥资源名称才能创建版本或轮换密钥。
- 您需要提供密钥版本资源名称,才能更新或销毁密钥版本。
问题跟踪器请求
问题跟踪器是 Google 及其合作伙伴用来跟踪专业项目请求的工具。对于合作伙伴管理的 Cloud Key Management Service 项目,您可以使用问题跟踪器向合作伙伴提交请求,然后合作伙伴会在您的 Cloud Key Management Service 项目中完成请求,并在外部密钥管理器中管理您的密钥。
您可以在欢迎电子邮件中找到指向贵组织的问题跟踪器的链接。
常见密钥操作
创建密钥版本
使用问题跟踪器提交新密钥版本请求。如果新密钥版本是第一个密钥版本,或者没有其他密钥版本,则会将其设置为主密钥版本。
在问题跟踪器中,选择创建密钥版本,然后提供密钥的资源名称。点击创建以提交您的要求。
轮替密钥
在问题跟踪器中,在工单正文中指明轮换密钥,并提供密钥的资源名称。点击创建以提交您的要求。
轮替密钥时,合作伙伴会在 EKM 中生成新的密钥材料,在您的 Cloud Key Management Service 项目中创建新的密钥版本,然后将新的密钥版本设置为主版本。
轮替密钥版本会导致受该密钥保护的所有新创建的数据都使用新的密钥材料进行加密。使用之前的密钥材料保护的数据不会重新加密。因此,您之前的密钥材料需要保持可用状态。
停用密钥版本
您可以使用 Google Cloud 控制台、Google Cloud CLI 或 Cloud KMS 客户端库来停用处于已启用状态的密钥版本。停用密钥版本后,其状态会更改为已停用。如需了解详情,请参阅 Cloud KMS 文档中的启用和停用密钥版本。
销毁密钥版本
如需销毁密钥版本,请在 Cloud KMS 中安排销毁密钥版本。此操作会销毁 Cloud KMS 密钥,并且无法再访问使用该密钥加密的数据。
如果您还想销毁合作伙伴 EKM 中的密钥,请执行以下操作:
- 安排销毁密钥版本。
- 在 Issue Tracker 中,选择工单正文中的 Destroy key version,并提供您要销毁的密钥版本的资源名称。
- 点击创建以提交您的要求。
合作伙伴会在继续操作之前与您确认密钥销毁请求。确认销毁后,合作伙伴会提供密钥销毁的日期和时间。您可以在销毁之前恢复密钥。
在密钥被销毁之前的这段时间内,如果您恢复密钥版本,Cloud KMS 密钥和合作伙伴 EKM 中的密钥都将保留。
如果销毁操作按计划继续进行,则系统会先删除 Cloud KMS 密钥,然后再删除合作伙伴 EKM 中的密钥。
响应时间
请仅将问题跟踪器用于常规密钥管理操作。提交问题跟踪器请求后,您会在一个工作日内收到合作伙伴的回复。
另请参阅
- 查看支持的产品列表