使用我的本地KMS,我每月轮换密钥。我也可以使用Cloud KMS吗?与我的本地使用相比,是否有更好的推荐频率?我在旋转密钥时是否重新加密数据?
答案 0 :(得分:2)
您所需的按键旋转频率取决于您的使用案例和威胁模型。您希望限制使用单个版本的加密密钥加密的非常敏感的数据量。
在Google Cloud Platform上,Google的Cloud KMS可以设置为每天自动轮换一次密钥。这意味着将自动生成新的密钥版本,并使主要版本用于加密新数据。大多数客户通常会根据业务需求选择30或90天的轮换周期。
旋转密钥时不会重新加密数据 - 相反,新密钥版本用于加密任何新数据,但旧数据不会重新加密。您可以通过解密和重新加密数据来手动执行此操作。
有关Cloud KMS中密钥轮换的进一步讨论:https://cloud.google.com/kms/docs/key-rotation#frequency_of_key_rotation
使用gcloud run:
设置键上的旋转周期gcloud beta kms cryptokeys set-rotation-schedule CRYPTOKEY_NAME \
--location LOCATION --keyring KEYRING_NAME \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME