使用我的本地 KMS,我每月轮换密钥。我也可以使用 Cloud KMS 做到这一点吗?与我的本地使用相比,是否有更好的推荐频率?轮换密钥时是否会重新加密数据?
问问题
3627 次
1 回答
3
您所需的密钥轮换频率取决于您的用例和威胁模型。您希望限制使用单个版本的加密密钥加密的非常敏感数据的数量。
在 Google Cloud Platform 上,可以将 Google 的 Cloud KMS 设置为每天自动轮换一次密钥。这意味着自动生成一个新的密钥版本,并作为主要版本用于加密新数据。大多数客户通常会根据业务需求选择 30 天或 90 天的轮换周期。
轮换密钥时不会重新加密数据 - 相反,新密钥版本用于加密任何新数据,但不会重新加密旧数据。您可以通过解密和重新加密数据手动执行此操作。
有关 Cloud KMS 中密钥轮换的进一步讨论:https ://cloud.google.com/kms/docs/key-rotation#frequency_of_key_rotation
要设置密钥的轮换周期,请使用 gcloud 运行:
gcloud beta kms cryptokeys set-rotation-schedule CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME
于 2017-01-11T17:08:21.253 回答