KMS 密钥轮换时我的 Cloud SQL 实例会发生什么情况?

问题描述 投票:0回答:1

My Cloud SQL 由每年轮换的 CMEK(通过 Cloud KMS)加密。假设我的 SQL 实例保持正常运行一年多,那么当密钥轮换时我的数据库实例会发生什么情况? GCP 是否会自动使用新版本加密数据,还是我需要手动解密/重新加密实例?

我无法从 GCP 文档中找到答案。

google-cloud-platform cloud google-cloud-sql google-cloud-kms
1个回答
0
投票

当您使用客户管理的加密密钥 (CMEK) 创建 Cloud SQL 实例时,该实例将使用该密钥进行加密。

我们轮换密钥,SQL 实例没有任何反应。继续使用原来的密钥版本。

如果您想使用新的密钥版本重新加密,则必须手动重新加密。

CLI 支持以下命令链接

gcloud sql instances reencrypt INSTANCE_NAME

请参阅以下文档,了解使用控制台和 CLI 的详细步骤:

重新加密现有的启用 CMEK 的实例或副本

重新加密实例时,请注意以下限制:

  • 重新加密操作正在进行时,您无法对实例执行任何其他管理操作。
  • 重新加密操作会触发停机时间,具体取决于实例或副本大小。
  • 实例加密时,实例的副本不会重新加密。您需要分别重新加密每个副本。
  • 当您重新加密实例时,备份不会自动使用新密钥版本重新加密。要将备份或时间点恢复恢复到备份后的某个时间,您需要保留用于加密备份的 Cloud KMS 密钥版本。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.