Управление ключами
С помощью Key Management Service вы можете создавать, ротировать и удалять симметричные ключи шифрования.
Создать ключ
Чтобы создать новый ключ:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите кнопку Создать и задайте атрибуты ключа:
- Имя и опциональное описание в свободной форме.
- Алгоритм шифрования, например AES-256.
- Период ротации (частота смены версии ключа по умолчанию).
- Нажмите кнопку Создать.
Вместе с ключом создается его первая версия: нажмите на ключ в списке, чтобы открыть страницу с его атрибутами.
Выполните команду со следующими параметрами:
name— имя ключа.default-algorithm— алгоритм шифрования:aes-128,aes-192илиaes-256.rotation-period— период ротации ключа. Чтобы создать ключ без автоматической ротации, не указывайте параметрrotation-period.
$ yc kms symmetric-key create \
--name example-key \
--default-algorithm aes-256 \
--rotation-period 24h
Вместе с ключом создается его первая версия. Она указана в поле primary_version.
Воспользуйтесь методом create для ресурса SymmetricKey.
Изменить ключ
После создания ключа вы можете изменить любой из его атрибутов. Если вы измените алгоритм шифрования, то новый алгоритм будет использоваться начиная со следующей версии ключа. Чтобы сразу создать новую версию и сделать ее версией по умолчанию, ротируйте ключ.
Чтобы изменить ключ:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами, и нажмите кнопку Изменить.
- Изменив атрибуты ключа, нажмите кнопку Сохранить.
Выполните команду со следующими параметрами:
name— имя ключа. Если в каталоге есть несколько ключей с одинаковыми именами, используйте идентификатор ключа.new-name— новое имя ключа.default-algorithm— алгоритм шифрования:aes-128,aes-192илиaes-256.rotation-period— период ротации ключа. Чтобы отключить автоматическую ротацию измененного ключа, не указывайте параметрrotation-period.
$ yc kms symmetric-key update \
--name example-key \
--new-name example-key-2 \
--default-algorithm aes-128 \
--rotation-period 48h
Воспользуйтесь методом update для ресурса SymmetricKey.
Ротировать ключ
При ротации ключа генерируется новая версия, которая сразу назначается версией по умолчанию. Вы можете настроить автоматическую периодическую ротацию, но также можете ротировать ключ вручную в любой момент.
Чтобы ротировать ключ:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
- Нажмите кнопку Ротировать и подтвердите ротацию (убедитесь, что смена версии по умолчанию не повредит вашей работе).
Выполните команду, указав идентификатор или имя ключа:
$ yc kms symmetric-key rotate example-key
Воспользуйтесь методом rotate для ресурса SymmetricKey.
Удалить ключ
При удалении ключа также удаляются все его версии. Ключ невозможно удалить сразу: версии помеченного на удаление ключа переходят в статус Scheduled For Destruction на 3 дня. В это время версии ключей продолжают тарифицироваться. В течение этих 3 дней по запросу в техническую поддержку можно восстановить ключ вместе с его версиями.
Внимание
Через 3 дня после запроса на удаление ключа сам ключ и его версии удаляются безвозвратно: если у вас остались зашифрованные с помощью этого ключа данные, расшифровать их будет невозможно.
Чтобы удалить ключ:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
- Нажмите кнопку Удалить и подтвердите удаление.
Выполните команду, указав идентификатор или имя ключа:
$ yc kms symmetric-key delete example-key
Воспользуйтесь методом delete для ресурса SymmetricKey.