借助客户管理的加密密钥 (CMEK),您可以使用自己在 Cloud KMS 中控制的加密密钥来保护受支持的Cloud de Confiance 服务中的数据。您可以按设定的时间表配置自动密钥轮替,也可以手动轮替密钥。本文档介绍了在 CMEK 集成服务中,当底层 Cloud KMS 密钥轮替时会发生什么情况。
密钥轮换如何与 CMEK 搭配使用
在 Cloud KMS 中轮替密钥时,Cloud KMS 会创建该密钥的新版本。新密钥版本将成为主版本,可用于加密保护您数据的数据加密密钥 (DEK)。之前的密钥版本会保持有效,并且可用于解密使用这些密钥加密的 DEK。此流程可确保您始终可以访问旧数据。
不同的 CMEK 集成服务处理密钥轮替的方式各不相同,但主要有以下三种模式:
- 新密钥版本保护所有数据:当服务检测到新密钥版本已成为主密钥版本时,该服务会自动重新加密使用之前密钥版本加密的 DEK。用于保护新数据和现有数据的 DEK 会使用当前主密钥版本进行加密。重新加密现有 DEK 可能需要一些时间才能完成,但之后将不再使用之前的密钥版本。
- 今后使用新密钥版本:当服务检测到新密钥版本已成为主密钥版本时,后续加密请求将使用新密钥版本。用于保护相应资源的数据的 DEK 使用当前和之前的密钥版本。
- 不使用新密钥版本:无论是否存在新的主密钥版本,服务都会继续使用创建资源时配置的原始密钥版本来加密 DEK。
密钥轮替后的服务特定行为
下表显示了 Cloud de Confiance by S3NS中提供的服务(即使是 Cloud de Confiance by S3NS中未提供的资源)的服务专用轮播行为。 下表介绍了每种资源类型或每组资源类型的轮换详细信息:- 可继承密钥:资源是否可以从父资源继承密钥。
- 可以使用唯一键:资源是否可以使用自己的唯一键,而不是从父资源继承的键。
- 可更改密钥:在更新资源时,是否可以选择新的 CMEK 来保护资源。
- 新数据:新 DEK 是使用主密钥版本加密,还是使用为资源配置 CMEK 时的主密钥版本加密。
- 现有数据:现有 DEK 是使用主密钥版本重新加密,还是继续使用在为资源配置 CMEK 时的主密钥版本加密。
| 服务和资源 | 可以继承车钥匙 | 可以使用唯一键 | 可以更改密钥 | 新数据 | 现有数据 |
|---|---|---|---|---|---|
Cloud Storage
|
否 | 是 | 是 | 使用新的主密钥版本 | 使用原始密钥版本 |
Cloud Storage
|
是 | 是 | 否 | 不适用:此资源不可变。 | 使用原始密钥版本 |
Pub/Sub
|
否 | 是 | 是 | 使用新的主密钥版本 | 使用原始密钥版本 |
后续步骤
- 了解如何轮替密钥。
- 阅读客户管理的加密密钥 (CMEK) 概览。