客戶管理的加密金鑰 (CMEK) 可讓您使用在 Cloud KMS 中控管的加密編譯金鑰,保護支援的Cloud de Confiance 服務中的資料。您可以設定自動金鑰輪替時間表,也可以手動輪替金鑰。本文說明在整合 CMEK 的服務中,底層 Cloud KMS 金鑰輪替時會發生什麼情況。
金鑰輪替與 CMEK 的運作方式
在 Cloud KMS 中輪替金鑰時,Cloud KMS 會建立該金鑰的新版本。新金鑰版本會成為主要版本,可用於加密保護資料的資料加密金鑰 (DEK)。先前的金鑰版本會保持有效,可用於解密以這些版本加密的 DEK。這個程序可確保您隨時都能存取舊資料。
整合 CMEK 的服務處理金鑰輪替的方式各不相同,但主要有三種模式:
- 新金鑰版本會保護所有資料:當服務偵測到新的金鑰版本已成為主要版本時,服務會自動重新加密以舊金鑰版本加密的 DEK。保護新資料和現有資料的 DEK 會以目前的金鑰主要版本加密。重新加密現有 DEK 可能需要一段時間,但完成後就不會再使用先前的金鑰版本。
- 日後使用新金鑰版本:當服務偵測到新金鑰版本已成為主要版本時,後續的加密要求會使用新金鑰版本。保護這項資源資料的 DEK 會混合使用目前和先前的金鑰版本。
- 不使用新金鑰版本:無論是否有新的主要金鑰版本,服務都會繼續使用建立資源時設定的原始金鑰版本加密 DEK。
金鑰輪替後各項服務的行為
下表列出 Cloud de Confiance by S3NS中提供的服務,即使資源不適用於 Cloud de Confiance by S3NS,這些服務的輪播行為仍適用於下表。 下表說明各資源類型或一組資源類型的輪替詳細資料:- 可繼承金鑰:資源是否可從父項資源繼承金鑰。
- 可使用專屬金鑰:資源是否可使用自己的專屬金鑰,而非從父項資源繼承。
- 可變更金鑰:更新資源時,是否可以選取新的 CMEK 來保護資源。
- 新資料:新 DEK 是以主要金鑰版本加密,還是以資源設定 CMEK 時的主要金鑰版本加密。
- 現有資料:現有 DEK 是否會使用主要金鑰版本重新加密,或是繼續使用原始金鑰版本加密 (在為資源設定 CMEK 時,該版本是主要金鑰版本)。
| 服務與資源 | 可繼承金鑰 | 可使用專屬鍵 | 可變更金鑰 | 新資料 | 現有資料 |
|---|---|---|---|---|---|
Cloud Storage
|
否 | 是 | 是 | 使用新的主鍵版本 | 使用新的主要金鑰版本 |
Cloud Storage
|
是 | 是 | 否 | 不適用:這項資源不可變動。 | 使用原始金鑰版本 |
Pub/Sub
|
否 | 是 | 是 | 使用新的主鍵版本 | 使用原始金鑰版本 |
後續步驟
- 瞭解如何輪替金鑰。
- 請參閱客戶自行管理的加密金鑰 (CMEK) 總覽。