My Cloud SQL 由每年轮换的 CMEK(通过 Cloud KMS)加密。假设我的 SQL 实例保持正常运行一年多,那么当密钥轮换时我的数据库实例会发生什么情况? GCP 是否会自动使用新版本加密数据,还是我需要手动解密/重新加密实例?
我无法从 GCP 文档中找到答案。
当您使用客户管理的加密密钥 (CMEK) 创建 Cloud SQL 实例时,该实例将使用该密钥进行加密。
我们轮换密钥,SQL 实例没有任何反应。继续使用原来的密钥版本。
如果您想使用新的密钥版本重新加密,则必须手动重新加密。
CLI 支持以下命令链接:
gcloud sql instances reencrypt INSTANCE_NAME
请参阅以下文档,了解使用控制台和 CLI 的详细步骤:
重新加密实例时,请注意以下限制: