Управление версиями ключа
Версии ключей можно делать основными (основная версия ключа по умолчанию используется для шифрования и расшифровки) и удалять. Чтобы создать новую версию ключа, ротируйте его.
Сделать версию основной
Чтобы сделать версию основной:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
- Нажмите значок в строке нужной версии и выберите пункт меню Сделать основной.
-
Получите список версий нужного ключа:
$ yc kms symmetric-key list-versions example-key +----------------------+---------+--------+-----------+ | ID | PRIMARY | STATUS | ALGORITHM | +----------------------+---------+--------+-----------+ | abjhduu82ao0r0tkjlp2 | true | ACTIVE | AES_128 | | abj8cvn99nam26f0f4a3 | false | ACTIVE | AES_128 | | abjed9ciau8eatb0pg93 | false | ACTIVE | AES_256 | | abjvejjvfktqc4hsqpss | false | ACTIVE | AES_128 | +----------------------+---------+--------+-----------+ -
Смените версию ключа, указав идентификатор нужной версии:
$ yc kms symmetric-key set-primary-version example-key-1 \ --version-id abj8cvn99nam26f0f4a3
При следующем запросе на шифрование или расшифровку, в котором не указана конкретная версия ключа, будет использована новая основная версия.
Удалить версию ключа
Удалить версию сразу невозможно: вы можете только запланировать удаление, как минимум на следующий день.
Внимание
Когда наступает срок удаления, версия ключа удаляется безвозвратно: если у вас остались зашифрованные с помощью этой версии данные, расшифровать их будет невозможно.
Чтобы удалить версию:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
- Нажмите значок в строке нужной версии и выберите пункт меню Запланировать удаление.
Версия перейдет в статус Scheduled For Destruction, а в столбце Дата удаления будет указан срок, на который запланировано удаление.
Чтобы удалить версию:
-
Получите список версий нужного ключа:
$ yc kms symmetric-key list-versions example-key +----------------------+---------+--------+-----------+ | ID | PRIMARY | STATUS | ALGORITHM | +----------------------+---------+--------+-----------+ | abj8cvn99nam26f0f4a3 | true | ACTIVE | AES_128 | | abjed9ciau8eatb0pg93 | false | ACTIVE | AES_256 | | abjhduu82ao0r0tkjlp2 | false | ACTIVE | AES_128 | | abjvejjvfktqc4hsqpss | false | ACTIVE | AES_128 | +----------------------+---------+--------+-----------+ -
Запланируйте удаление нужной версии:
$ yc kms symmetric-key schedule-version-destruction example-key \ --version-id abjed9ciau8eatb0pg93Версия перейдет в статус
SCHEDULED_FOR_DESTRUCTION, а в полеdestroy_atбудет указано время, на которое запланировано удаление.
Отменить удаление версии
Если вы запланировали удаление версии ключа, то до запланированной даты вы можете отменить удаление:
- Войдите в консоль управления.
- Выберите сервис Key Management Service.
- На вкладке Ключи нажмите на нужный ключ в списке, чтобы открыть страницу с его атрибутами.
- Нажмите значок в строке нужной версии и выберите пункт меню Отменить удаление.
Версия вернется в статус Active.
-
Получите список версий нужного ключа:
$ yc kms symmetric-key list-versions example-key +----------------------+---------+---------------------------+-----------+ | ID | PRIMARY | STATUS | ALGORITHM | +----------------------+---------+---------------------------+-----------+ | abj8cvn99nam26f0f4a3 | true | ACTIVE | AES_128 | | abjed9ciau8eatb0pg93 | false | SCHEDULED_FOR_DESTRUCTION | AES_256 | | abjhduu82ao0r0tkjlp2 | false | ACTIVE | AES_128 | | abjvejjvfktqc4hsqpss | false | ACTIVE | AES_128 | +----------------------+---------+---------------------------+-----------+ -
Отмените удаление нужной версии:
$ yc kms symmetric-key cancel-version-destruction example-key \ --version-id abjed9ciau8eatb0pg93Версия вернется в статус
ACTIVE.