0
使用我的内部KMS,我每月旋转按键。我也可以使用Cloud KMS来做到这一点吗?与我的内部使用相比,是否有更好的推荐频率?旋转密钥时数据是否被重新加密?我应该多久旋转我的加密密钥?我可以使用云端KMS自动旋转密钥吗?
使用我的内部KMS,我每月旋转按键。我也可以使用Cloud KMS来做到这一点吗?与我的内部使用相比,是否有更好的推荐频率?旋转密钥时数据是否被重新加密?我应该多久旋转我的加密密钥?我可以使用云端KMS自动旋转密钥吗?
您想要的密钥轮换频率取决于您的用例和威胁模型。您想要限制使用单个版本的加密密钥加密的非常敏感的数据量。
在Google云端平台上,Google的Cloud KMS可以设置为每天一次自动轮换密钥。这意味着会自动生成一个新的密钥版本,并使主要版本用于加密新数据。根据业务需求,大多数客户通常会选择30或90天的轮换周期。
旋转密钥时不会重新加密数据,而是使用新密钥版本来加密任何新数据,但旧数据不会被重新加密。您可以通过解密和重新加密数据来手动执行此操作。
有关云的密钥轮换进一步讨论KMS:https://cloud.google.com/kms/docs/key-rotation#frequency_of_key_rotation
要设置旋转周期上的一个键,使用gcloud运行:
gcloud beta kms cryptokeys set-rotation-schedule CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME