使用 BYOK 解决方案通过 GCP_KMS 管理密钥轮换
Managing key rotations with GCP_KMS with BYOK solution
我们在本地生成了 RSA 密钥对,并计划将它们同步到 GCP-KMS。有一个年度密钥轮换政策,将在本地完成,新的 key_versions 将同步到 KMS。我关心的是 KMS API.
问题:API 总是要求 'key_version' 作为 encrypt/decrypt 文件的参数。
期望的行为:在解密过程中,KMS 是否不可能看到证书指纹和 returns 适当的密钥版本来解密给定的加密文件?例如当提供给 KMS 时,用 RSA_public 包装的 DEK 会被正确版本的 RSA_Private(或 KEK)解密。
如果是,是否有详细说明此用例的文档?
根据文档,您可以使用 symmetric signature (no key version specified), but you can't with the asymetricDecrypt (key version is required in the URL path of the API)
我们在本地生成了 RSA 密钥对,并计划将它们同步到 GCP-KMS。有一个年度密钥轮换政策,将在本地完成,新的 key_versions 将同步到 KMS。我关心的是 KMS API.
问题:API 总是要求 'key_version' 作为 encrypt/decrypt 文件的参数。
期望的行为:在解密过程中,KMS 是否不可能看到证书指纹和 returns 适当的密钥版本来解密给定的加密文件?例如当提供给 KMS 时,用 RSA_public 包装的 DEK 会被正确版本的 RSA_Private(或 KEK)解密。
如果是,是否有详细说明此用例的文档?
根据文档,您可以使用 symmetric signature (no key version specified), but you can't with the asymetricDecrypt (key version is required in the URL path of the API)