語境
我下面的存儲桶Storing Secrets GCP的指示後數據unencryption。在上傳到存儲桶之前,KMS用於file encryption。谷歌的密鑰管理系統:主要的旋轉
由於數據加密發生在Google的存儲之外,所以我對於密鑰輪換的一個方面有些困惑。
方案
讓我們考慮一個特定的場景:
- 在2017-01- 我創建了一個鑰匙環和一個關鍵
A
(這實際上是A_ver1
因爲密鑰版本)。此外,密鑰輪換政策設置爲觸發輪換每年。 - 在2017-01- 我運行一個命令
some_file.txt
與A_ver1
加密:curl -s -X POST "https://cloudkms.googleapis.com/v1/projects/my-project/<...>" \ -d "{\"plaintext\":\"<...SOME_FILE_CONTENT...>\"}" \ -H "Authorization:Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type:application/json"
。 - 我立即將加密結果保存到存儲桶中作爲
some_file.txt.encrypted
。 - 我什麼都不做,並且在 -01-01發生鑰匙旋轉。 據我所知,
,A_ver1
被禁用A_ver2
生成並激活。這兩個事件準準模擬地發生。 - 對2018-06 -01我意識到我需要取消加密
some_file.txt.encrypted
。我下載的文件,然後試圖運行一個命令使用A_ver2
來解密方法的文件...
問題
問題1:這是怎麼回事,當我嘗試解密方法的文件發生如果使用早期版本A_ver1
加密,則爲A_ver2
?
問題2:如果解密失敗,我應該怎麼做,以防止它呢?
謝謝瑪雅回答**兩個問題的深入。 –