如果您是 Sovereign Controls by Partners 客戶,管理 Cloud External Key Manager (Cloud EKM) 金鑰時,請使用不同的工作流程。合作夥伴會代您設定及管理外部金鑰管理工具, Google Cloud 您不必自行處理這些步驟。也就是說,合作夥伴會應您的要求管理金鑰和金鑰版本。
本頁說明如何在合作夥伴管理的 Cloud Key Management Service 專案 (一般稱為「金鑰管理專案」) 中,提交常見金鑰作業的要求。
事前準備
您必須先擁有至少一組金鑰的金鑰環,才能提出金鑰作業要求。
取得金鑰的資源名稱
如要提出任何金鑰作業要求,您必須提供要修改的金鑰或金鑰版本的資源名稱。
- 您需要提供金鑰資源名稱,才能建立版本或輪替金鑰。
- 如要更新或刪除金鑰版本,請提供金鑰版本資源名稱。
Issue Tracker 要求
Issue Tracker 是 Google 和合作夥伴用來追蹤專案要求的一項工具。如果是合作夥伴管理的 Cloud Key Management Service 專案,您可以使用 Issue Tracker 向合作夥伴提交要求,合作夥伴會在您的 Cloud Key Management Service 專案中完成要求,並在外部金鑰管理工具中管理金鑰。
您可以在歡迎電子郵件中找到貴機構 Issue Tracker 的連結。
常見的金鑰操作
建立金鑰版本
使用 Issue Tracker 提交新金鑰版本的申請。如果這是第一個金鑰版本,或沒有其他金鑰版本,新金鑰版本就會設為主要版本。
在 Issue Tracker 中,選取「Create key version」(建立金鑰版本),並提供金鑰的資源名稱。按一下「建立」即可提交要求。
輪替金鑰
在 Issue Tracker 中,於案件內文指出「Rotate key」(輪替金鑰),並提供金鑰的資源名稱。按一下「建立」即可提交要求。
金鑰輪替時,合作夥伴會在 EKM 中產生新的金鑰內容,在 Cloud Key Management Service 專案中建立新的金鑰版本,然後將新金鑰版本設為主要版本。
輪替金鑰版本後,系統會使用新的金鑰內容,加密所有以該金鑰保護的新資料。使用先前金鑰內容保護的資料不會重新加密。因此,您必須保留先前的金鑰資料供日後使用。
停用金鑰版本
您可以使用 Google Cloud 控制台、Google Cloud CLI 或 Cloud KMS 用戶端程式庫,停用處於「已啟用」狀態的金鑰版本。停用金鑰版本後,其狀態會變更為「已停用」。詳情請參閱 Cloud KMS 說明文件中的「啟用及停用金鑰版本」。
刪除金鑰版本
如要銷毀金鑰版本,請在 Cloud KMS 中排定刪除金鑰版本的時間。這會銷毀 Cloud KMS 金鑰,且您將無法再存取以該金鑰加密的資料。
如要一併銷毀合作夥伴 EKM 中的金鑰:
- 排定刪除金鑰版本。
- 在 Issue Tracker 中,選取票證內文中的「Destroy key version」(銷毀金鑰版本),並提供要銷毀的金鑰版本資源名稱。
- 按一下「建立」即可提交要求。
合作夥伴會先與您確認金鑰銷毀要求,再繼續進行。確認刪除後,合作夥伴會提供金鑰的刪除日期和時間。您可以在銷毀前還原金鑰。
在金鑰刪除前,如果您還原金鑰版本,Cloud KMS 金鑰和合作夥伴 EKM 中的金鑰都會保留。
如果繼續按照排定的時程刪除金鑰,系統會先刪除 Cloud KMS 金鑰,然後刪除合作夥伴 EKM 中的金鑰。
回應時間
Issue Tracker 僅適用於例行金鑰管理作業。提交 Issue Tracker 要求後,合作夥伴應會在一個工作天內回覆。
另請參閱
- 查看支援的產品清單