Обязательна ли ротация ключей в Cloud KMS?

Будет ли KMS автоматически генерировать новые версии ключей через некоторое время, если я не сделаю это вручную? Если я создам ключ и буду использовать его для шифрования (и не укажу период ротации или время следующей ротации), будет ли этот ключ существовать вечно без создания новых версий?

Я помню, как читал, что он сделает это автоматически где-то в документации несколько дней назад, и теперь я не могу найти эту страницу.


google-cloud-platform google-cloud-kms
person Kumar    schedule 16.03.2018    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Нет никаких обязательств по ротации. Если вы не укажете расписание ротации, ваш ключ не изменится, пока вы не поменяете его вручную.

Если вы используете ротацию (автоматическую или ручную), старые версии ключей будут доступны для расшифровки неограниченное время, пока вы их не удалите.

Страница, которую вы не можете найти, может быть чередованием ключей  | Документация по облачному KMS  | Облачная платформа Google.

person Tim Dierks    schedule 16.03.2018
comment
Если вы не возражаете, не могли бы вы сказать мне, есть ли возможность указать URL-адрес, который будет вызываться при повороте ключа? Мы запускаем наше приложение на GAE, и нам нужно, чтобы наши секреты повторно шифровались новыми ключами при создании новых версий и уничтожали старые (поэтому мы также экономим на цене). - person Kumar; 16.03.2018
comment
Нет, но я подам запрос функции. Вы можете реализовать задание cron, которое с некоторой частотой вызывает projects.locations.keyRings.cryptoKeys.get и проверяет, изменилась ли первичная версия CryptoKeyVersion, и если да, запускает повторное шифрование. (Вы также можете использовать nextRotationTime, чтобы запланировать автоматическую ротацию, но опрос будет устойчив к запланированным изменениям и ручной ротации.) Благодарим за использование Cloud KMS! - person Tim Dierks; 17.03.2018
comment
Спасибо за этот запрос функции! Мне интересно, как ваше предложение будет масштабироваться, поскольку мы планируем создать неограниченное количество ключей. Но на следующей неделе попробую, спасибо за ответ. - person Kumar; 17.03.2018
comment
Кумар, я был бы рад предоставить вам консультацию по дизайну вашей проблемы и тому, как она может работать с Cloud KMS. Вы можете написать нам по адресу [email protected]? Спасибо. - person Tim Dierks; 19.03.2018
comment
Спасибо за это, но я думаю, что единственная оставшаяся крошечная проблема — это повторное шифрование после смены ключа, и я подумал об ее исправлении. Мы только начали работать над этой функцией и планируем создать только около 10 ключей, в ближайшем будущем их число увеличится до тысяч. Моя первоначальная идея состояла в том, чтобы заранее разработать полностью масштабируемое и надежное решение, в котором уже давно нет необходимости. Я обязательно свяжусь с этим письмом, если нам понадобится ваша помощь в масштабировании. - person Kumar; 19.03.2018