【发布时间】:2018-03-16 13:01:18
【问题描述】:
如果我不手动生成,KMS 会在一段时间后自动生成新的密钥版本吗?如果我创建一个密钥并将其用于加密(并且没有指定轮换周期或下一个轮换时间),相同的密钥是否会永远存在而不创建新版本?
我记得几天前在文档的某个地方阅读它会自动执行此操作,但现在我找不到该页面。
【问题讨论】:
标签: google-cloud-platform google-cloud-kms
【发布时间】:2018-03-16 13:01:18
【问题描述】:
没有义务进行轮换。如果您不指定轮换计划,除非您手动轮换,否则您的密钥不会更改。
如果您确实使用轮换(自动或手动),旧的密钥版本将无限期地可用于解密,除非您将其删除。
您找不到的页面可能是Key rotation | Cloud KMS Documentation | Google Cloud Platform。
【讨论】:
-
如果你不介意,你能告诉我是否有规定在“旋转”密钥时指定要调用的 URL?我们在 GAE 上运行我们的应用程序,我们需要在生成新版本并销毁旧版本时使用新密钥重新加密我们的秘密(因此我们也节省了价格)。
-
没有,但我会提出功能请求。您可以实现一个 cron 作业,该作业以某种频率调用 projects.locations.keyRings.cryptoKeys.get 并检查主要 CryptoKeyVersion 是否已更改,如果是,则触发重新加密。 (您也可以使用 nextRotationTime 来安排自动轮换,但轮询对于安排更改和手动轮换非常有效。)感谢您使用 Cloud KMS!
-
感谢您的功能请求!我想知道您的建议将如何扩展,因为我们计划创建无限数量的密钥。不过我下周试试,谢谢你的回复。
-
Kumar,我很乐意为您提供有关您的问题以及如何与 Cloud KMS 一起使用的设计咨询。您可以通过 cloudkms-feedback@google.com 给我们发送电子邮件吗?谢谢。
-
谢谢你,但我想剩下的唯一小问题是密钥轮换后的重新加密,我已经考虑过修复它。我们现在才开始研究这个功能,目前只计划创建大约 10 个密钥,在不久的将来会增加到数千个。我最初的想法是预先开发一个完全可扩展且万无一失的解决方案,这在相当长的一段时间内是不必要的。如果我们在扩展方面需要您的帮助,我一定会联系该电子邮件。