Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Решения
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Yandex Key Management Service
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Ключ
    • Версия ключа
    • Шифрование данных
  • Концепции
    • Обзор
    • Ключ
    • Версия ключа
    • Шифрование
    • Шифрование по схеме envelope encryption
    • Консистентность ключей
    • Квоты и лимиты
  • Сценарии использования
    • Все сценарии
    • Шифрование данных
      • Какой способ шифрования выбрать?
      • Шифрование с помощью CLI и API Yandex.Cloud
      • Шифрование с помощью SDK Yandex.Cloud
      • Шифрование с помощью AWS Encryption SDK
      • Шифрование с помощью Google Tink
    • Шифрование секретов в Managed Service for Kubernetes
    • Управление ключами KMS с Hashicorp Terraform
    • Шифрование секретов в Hashicorp Terraform
  • Управление доступом
  • Правила тарификации
  • Справочник API
    • Аутентификация в API
    • gRPC
      • Обзор
      • SymmetricCryptoService
      • SymmetricKeyService
      • OperationService
    • REST
      • Обзор
      • SymmetricCrypto
        • Обзор
        • decrypt
        • encrypt
        • generateDataKey
        • reEncrypt
      • SymmetricKey
        • Обзор
        • cancelVersionDestruction
        • create
        • delete
        • get
        • list
        • listAccessBindings
        • listOperations
        • listVersions
        • rotate
        • scheduleVersionDestruction
        • setAccessBindings
        • setPrimaryVersion
        • update
        • updateAccessBindings
  • Вопросы и ответы
  1. Пошаговые инструкции
  2. Ключ

Управление ключами

  • Создать ключ
  • Изменить ключ
  • Ротировать ключ
  • Удалить ключ

С помощью Key Management Service вы можете создавать, ротировать и удалять симметричные ключи шифрования.

Создать ключ

Чтобы создать новый ключ:

Консоль управления
CLI
API
  1. Войдите в консоль управления.
  2. Выберите сервис Key Management Service.
  3. На вкладке Ключи нажмите кнопку Создать и задайте атрибуты ключа:
    • Имя и опциональное описание в свободной форме.
    • Алгоритм шифрования, например AES-256.
    • Период ротации (частота смены версии ключа по умолчанию).
    • Нажмите кнопку Создать.

Вместе с ключом создается его первая версия: нажмите на ключ в списке, чтобы открыть страницу с его атрибутами.

Выполните команду со следующими параметрами:

  • name — имя ключа.
  • default-algorithm — алгоритм шифрования: aes-128, aes-192 или aes-256.
  • rotation-period — период ротации ключа. Чтобы создать ключ без автоматической ротации, не указывайте параметр rotation-period.
$ yc kms symmetric-key create \
  --name example-key \
  --default-algorithm aes-256 \
  --rotation-period 24h

Вместе с ключом создается его первая версия. Она указана в поле primary_version.

Воспользуйтесь методом create для ресурса SymmetricKey.

Изменить ключ

После создания ключа вы можете изменить любой из его атрибутов. Если вы измените алгоритм шифрования, то новый алгоритм будет использоваться начиная со следующей версии ключа. Чтобы сразу создать новую версию и сделать ее версией по умолчанию, ротируйте ключ.

Чтобы изменить ключ:

Консоль управления
CLI
API
  1. Войдите в консоль управления.
  2. Выберите сервис Key Management Service.
  3. На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами, и нажмите кнопку Изменить.
  4. Изменив атрибуты ключа, нажмите кнопку Сохранить.

Выполните команду со следующими параметрами:

  • name — имя ключа. Если в каталоге есть несколько ключей с одинаковыми именами, используйте идентификатор ключа.
  • new-name — новое имя ключа.
  • default-algorithm — алгоритм шифрования: aes-128, aes-192 или aes-256.
  • rotation-period — период ротации ключа. Чтобы отключить автоматическую ротацию измененного ключа, не указывайте параметр rotation-period.
$ yc kms symmetric-key update \
  --name example-key \
  --new-name example-key-2 \
  --default-algorithm aes-128 \
  --rotation-period 48h

Воспользуйтесь методом update для ресурса SymmetricKey.

Ротировать ключ

При ротации ключа генерируется новая версия, которая сразу назначается версией по умолчанию. Вы можете настроить автоматическую периодическую ротацию, но также можете ротировать ключ вручную в любой момент.

Чтобы ротировать ключ:

Консоль управления
CLI
API
  1. Войдите в консоль управления.
  2. Выберите сервис Key Management Service.
  3. На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
  4. Нажмите кнопку Ротировать и подтвердите ротацию (убедитесь, что смена версии по умолчанию не повредит вашей работе).

Выполните команду, указав идентификатор или имя ключа:

$ yc kms symmetric-key rotate example-key

Воспользуйтесь методом rotate для ресурса SymmetricKey.

Удалить ключ

При удалении ключа также удаляются все его версии. Ключ невозможно удалить сразу: версии помеченного на удаление ключа переходят в статус Scheduled For Destruction на 3 дня. В это время версии ключей продолжают тарифицироваться. В течение этих 3 дней по запросу в техническую поддержку можно восстановить ключ вместе с его версиями.

Внимание

Через 3 дня после запроса на удаление ключа сам ключ и его версии удаляются безвозвратно: если у вас остались зашифрованные с помощью этого ключа данные, расшифровать их будет невозможно.

Чтобы удалить ключ:

Консоль управления
CLI
API
  1. Войдите в консоль управления.
  2. Выберите сервис Key Management Service.
  3. На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
  4. Нажмите кнопку Удалить и подтвердите удаление.

Выполните команду, указав идентификатор или имя ключа:

$ yc kms symmetric-key delete example-key

Воспользуйтесь методом delete для ресурса SymmetricKey.

В этой статье:
  • Создать ключ
  • Изменить ключ
  • Ротировать ключ
  • Удалить ключ
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»