Связаться с намиПодключиться

Управление ключевыми парами шифрования

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

С помощью Key Management Service вы можете создавать, изменять и удалять асимметричные ключевые пары шифрования.

Создать ключевую пару шифрования

  1. В консоли управления выберите каталог, в котором будет создана ключевая пара.
  2. В списке сервисов выберите Key Management Service.
  3. На панели слева выберите Асимметричные ключи.
  4. В правом верхнем углу нажмите кнопку Создать ключ. В открывшемся окне:
    1. Укажите имя и при необходимости описание в свободной форме.
    2. В поле Тип выберите Шифрование.
    3. В поле Алгоритм выберите нужный алгоритм шифрования.
    4. При необходимости включите защиту от удаления.
    5. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для создания ключевой пары шифрования:

    yc kms asymmetric-encryption-key create --help

  2. Получите идентификатор каталога, в котором нужно создать ключевую пару.

  3. Создайте ключевую пару:

    yc kms asymmetric-encryption-key create \
  --name <имя_ключевой_пары> \
  --encryption-algorithm <алгоритм_шифрования> \
  --folder-id <идентификатор_каталога>

    Где:

    • --name — имя ключевой пары шифрования.

    • --folder-id — идентификатор каталога, в котором будет создана ключевая пара.

    • --encryption-algorithm — алгоритм шифрования. Доступные варианты:

      • rsa-2048-enc-oaep-sha-256
      • rsa-3072-enc-oaep-sha-256
      • rsa-4096-enc-oaep-sha-256

    Результат:

    id: abjfmo5enqlr********
folder_id: b1gt6g8ht345********
created_at: "2023-08-16T18:10:03Z"
name: sample-encryption-key
status: ACTIVE
encryption_algorithm: RSA_2048_ENC_OAEP_SHA_256

Чтобы создать ключевую пару шифрования, воспользуйтесь вызовом gRPC API AsymmetricEncryptionKeyService/Create.

Изменить ключевую пару шифрования

После создания ключевой пары шифрования вы можете изменить ее имя, описание, метки, а также включить или выключить защиту от удаления.

  1. В консоли управления выберите каталог, в котором находится нужная ключевая пара.
  2. В списке сервисов выберите Key Management Service.
  3. На панели слева выберите Асимметричные ключи.
  4. Перейдите на вкладку Шифрование.
  5. В строке с нужной ключевой парой нажмите значок и выберите Редактировать. В открывшемся окне:
    1. Измените необходимые атрибуты ключевой пары.
    2. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для изменения ключевой пары шифрования:

    yc kms asymmetric-encryption-key update --help

  2. Получите идентификатор каталога, в котором находится ключевая пара.

  3. Получите идентификатор нужной ключевой пары шифрования, указав идентификатор каталога:

    yc kms asymmetric-encryption-key list \
  --folder-id <идентификатор_каталога>

    Результат:

    +----------------------+-----------------------+---------------------------+---------------------+--------+
|          ID          |          NAME         |   ENCRYPTION ALGORITHM    |     CREATED AT      | STATUS |
+----------------------+-----------------------+---------------------------+---------------------+--------+
| abjfmo5enqlr******** | sample-encryption-key | RSA_2048_ENC_OAEP_SHA_256 | 2023-08-16 18:10:03 | ACTIVE |
+----------------------+-----------------------+---------------------------+---------------------+--------+

  4. Измените ключевую пару:

    yc kms asymmetric-encryption-key update \
  --id <идентификатор_ключевой_пары> \
  --new-name <новое_имя_ключевой_пары> \
  --deletion-protection

    Где:

    • --id — идентификатор ключевой пары шифрования.
    • --new-name — новое имя ключевой пары.
    • --deletion-protection — флаг включения защиты от удаления. Чтобы отключить защиту ключевой пары от удаления, используйте флаг --no-deletion-protection.

    Результат:

    id: abjfmo5enqlr********
folder_id: b1gt6g8ht345********
created_at: "2023-08-16T18:10:03Z"
name: new-encryption-key
status: ACTIVE
encryption_algorithm: RSA_2048_ENC_OAEP_SHA_256
deletion_protection: true

    Команда изменила имя ключевой пары шифрования и включила защиту от удаления.

Чтобы изменить ключевую пару шифрования, воспользуйтесь вызовом gRPC API AsymmetricEncryptionKeyService/Update.

Удалить ключевую пару шифрования

  1. В консоли управления выберите каталог, в котором находится нужная ключевая пара.
  2. В списке сервисов выберите Key Management Service.
  3. На панели слева выберите Асимметричные ключи.
  4. Перейдите на вкладку Шифрование.
  5. В строке с нужной ключевой парой нажмите значок и выберите Удалить.
  6. Подтвердите удаление.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для удаления ключевой пары шифрования:

    yc kms asymmetric-encryption-key delete --help

  2. Получите идентификатор каталога, в котором находится ключевая пара.

  3. Получите идентификатор нужной ключевой пары шифрования, указав идентификатор каталога:

    yc kms asymmetric-encryption-key list \
  --folder-id <идентификатор_каталога>

    Результат:

    +----------------------+-----------------------+---------------------------+---------------------+--------+
|          ID          |          NAME         |   ENCRYPTION ALGORITHM    |     CREATED AT      | STATUS |
+----------------------+-----------------------+---------------------------+---------------------+--------+
| abjfmo5enqlr******** | sample-encryption-key | RSA_2048_ENC_OAEP_SHA_256 | 2023-08-16 18:10:03 | ACTIVE |
+----------------------+-----------------------+---------------------------+---------------------+--------+

  4. Удалите ключевую пару, указав ее идентификатор:

    yc kms asymmetric-encryption-key delete \
  --id <идентификатор_ключевой_пары>

    Результат:

    id: abjfmo5enqlr********
folder_id: b1gt6g8ht345********
created_at: "2023-08-16T18:10:03Z"
name: new-encryption-key
encryption_algorithm: RSA_2048_ENC_OAEP_SHA_256

Чтобы удалить ключевую пару шифрования, воспользуйтесь вызовом gRPC API AsymmetricEncryptionKeyService/Delete.

Предыдущая
Права доступа к ключу шифрования
Следующая
Шифрование данных