0
使用我的内部KMS,我每月旋转按键。我也可以使用Cloud KMS来做到这一点吗?与我的内部使用相比,是否有更好的推荐频率?旋转密钥时数据是否被重新加密?我应该多久旋转我的加密密钥?我可以使用云端KMS自动旋转密钥吗?
A
回答
0
您想要的密钥轮换频率取决于您的用例和威胁模型。您想要限制使用单个版本的加密密钥加密的非常敏感的数据量。
在Google云端平台上,Google的Cloud KMS可以设置为每天一次自动轮换密钥。这意味着会自动生成一个新的密钥版本,并使主要版本用于加密新数据。根据业务需求,大多数客户通常会选择30或90天的轮换周期。
旋转密钥时不会重新加密数据,而是使用新密钥版本来加密任何新数据,但旧数据不会被重新加密。您可以通过解密和重新加密数据来手动执行此操作。
有关云的密钥轮换进一步讨论KMS:https://cloud.google.com/kms/docs/key-rotation#frequency_of_key_rotation
要设置旋转周期上的一个键,使用gcloud运行:
gcloud beta kms cryptokeys set-rotation-schedule CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME
相关问题
- 1. Azure KeyVault密钥旋转
- 2. 我可以在DTLS-SRTP加密中指定我自己的加密密钥吗
- 3. 我应该加密我的Dropbox应用程序密钥/秘密吗?
- 4. 我可以在Android中使用AWS KMS加密进行客户端加密吗?
- 5. 我应该在我的iOS应用程序中加密Amazon S3密钥吗?
- 6. 我们可以在密钥库中加载多个证书和密钥吗?
- 7. 我应该象征密钥吗?
- 8. AWS:无法使用我自己的KMS密钥加密S3对象
- 9. 旋转密码加密不加密
- 10. 我应该多次使用相同的密钥吗?
- 11. 我应该让我的Blogger浏览器应用API密钥保密吗?
- 12. 我可以通过密码,公钥和我的加密密码来识别加密类型吗?
- 13. 我可以在Berkeley DB中使用多个密钥吗?
- 14. 转换密钥库 - Windows的我为JKS
- 15. 我可以使用一个密钥对连接到EC2实例,并转发另一个密钥对吗?
- 16. 我已经加密AES密钥的AES密钥存储在数据库中的密钥字符串,当我尝试解密密钥我得到:
- 17. GCM API密钥应该保密吗?
- 18. 我应该有多少个SSH密钥?我应该重用它们吗?
- 19. 使用我自己的密钥文件进行RSP加密
- 20. hmac消息加密,但使用我们自己的密钥
- 21. 我需要加密秘密访问密钥吗?
- 22. 我可以使用PBKDF2生成AES256密钥来加密和隐式验证吗?
- 23. 在这种情况下,我应该使用公钥/私钥加密吗?
- 24. 我应该使用哪个密钥在iOS钥匙串中存储密码?
- 25. 我应该让我的地理编码API密钥成为一个秘密吗?
- 26. 我想为我的git重建ssh密钥,我应该直接删除旧的ssh密钥文件吗?
- 27. 我应该为每列使用不同的密钥吗?
- 28. 我应该使用information_schema.referential_constraints或sys.foreign_keys检查密钥的存在吗?
- 29. MongoDB应该创建我自己的ID密钥列吗?
- 30. 我无法JSObject转换API密钥