Управление ключевыми парами шифрования
С помощью Key Management Service вы можете создавать, изменять и удалять асимметричные ключевые пары шифрования.
Создать ключевую пару шифрования
- В консоли управления
выберите каталог, в котором будет создана ключевая пара. - В списке сервисов выберите Key Management Service.
- На панели слева выберите Асимметричные ключи.
- В правом верхнем углу нажмите кнопку Создать ключ. В открывшемся окне:
- Укажите имя и при необходимости описание в свободной форме.
- В поле Тип выберите
Шифрование
. - В поле Алгоритм выберите нужный алгоритм шифрования.
- При необходимости включите защиту от удаления.
- Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для создания ключевой пары шифрования:
yc kms asymmetric-encryption-key create --help
-
Получите идентификатор каталога, в котором нужно создать ключевую пару.
-
Создайте ключевую пару:
yc kms asymmetric-encryption-key create \ --name <имя_ключевой_пары> \ --encryption-algorithm <алгоритм_шифрования> \ --folder-id <идентификатор_каталога>
Где:
-
--name
— имя ключевой пары шифрования. -
--folder-id
— идентификатор каталога, в котором будет создана ключевая пара. -
--encryption-algorithm
— алгоритм шифрования. Доступные варианты:rsa-2048-enc-oaep-sha-256
rsa-3072-enc-oaep-sha-256
rsa-4096-enc-oaep-sha-256
Результат:
id: abjfmo5enqlr******** folder_id: b1gt6g8ht345******** created_at: "2023-08-16T18:10:03Z" name: sample-encryption-key status: ACTIVE encryption_algorithm: RSA_2048_ENC_OAEP_SHA_256
-
Чтобы создать ключевую пару шифрования, воспользуйтесь вызовом gRPC API AsymmetricEncryptionKeyService/Create.
Изменить ключевую пару шифрования
После создания ключевой пары шифрования вы можете изменить ее имя, описание, метки, а также включить или выключить защиту от удаления.
- В консоли управления
выберите каталог, в котором находится нужная ключевая пара. - В списке сервисов выберите Key Management Service.
- На панели слева выберите Асимметричные ключи.
- Перейдите на вкладку Шифрование.
- В строке с нужной ключевой парой нажмите значок
и выберите Редактировать. В открывшемся окне:- Измените необходимые атрибуты ключевой пары.
- Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для изменения ключевой пары шифрования:
yc kms asymmetric-encryption-key update --help
-
Получите идентификатор каталога, в котором находится ключевая пара.
-
Получите идентификатор нужной ключевой пары шифрования, указав идентификатор каталога:
yc kms asymmetric-encryption-key list \ --folder-id <идентификатор_каталога>
Результат:
+----------------------+-----------------------+---------------------------+---------------------+--------+ | ID | NAME | ENCRYPTION ALGORITHM | CREATED AT | STATUS | +----------------------+-----------------------+---------------------------+---------------------+--------+ | abjfmo5enqlr******** | sample-encryption-key | RSA_2048_ENC_OAEP_SHA_256 | 2023-08-16 18:10:03 | ACTIVE | +----------------------+-----------------------+---------------------------+---------------------+--------+
-
Измените ключевую пару:
yc kms asymmetric-encryption-key update \ --id <идентификатор_ключевой_пары> \ --new-name <новое_имя_ключевой_пары> \ --deletion-protection
Где:
--id
— идентификатор ключевой пары шифрования.--new-name
— новое имя ключевой пары.--deletion-protection
— флаг включения защиты от удаления. Чтобы отключить защиту ключевой пары от удаления, используйте флаг--no-deletion-protection
.
Результат:
id: abjfmo5enqlr******** folder_id: b1gt6g8ht345******** created_at: "2023-08-16T18:10:03Z" name: new-encryption-key status: ACTIVE encryption_algorithm: RSA_2048_ENC_OAEP_SHA_256 deletion_protection: true
Команда изменила имя ключевой пары шифрования и включила защиту от удаления.
Чтобы изменить ключевую пару шифрования, воспользуйтесь вызовом gRPC API AsymmetricEncryptionKeyService/Update.
Удалить ключевую пару шифрования
- В консоли управления
выберите каталог, в котором находится нужная ключевая пара. - В списке сервисов выберите Key Management Service.
- На панели слева выберите Асимметричные ключи.
- Перейдите на вкладку Шифрование.
- В строке с нужной ключевой парой нажмите значок
и выберите Удалить. - Подтвердите удаление.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для удаления ключевой пары шифрования:
yc kms asymmetric-encryption-key delete --help
-
Получите идентификатор каталога, в котором находится ключевая пара.
-
Получите идентификатор нужной ключевой пары шифрования, указав идентификатор каталога:
yc kms asymmetric-encryption-key list \ --folder-id <идентификатор_каталога>
Результат:
+----------------------+-----------------------+---------------------------+---------------------+--------+ | ID | NAME | ENCRYPTION ALGORITHM | CREATED AT | STATUS | +----------------------+-----------------------+---------------------------+---------------------+--------+ | abjfmo5enqlr******** | sample-encryption-key | RSA_2048_ENC_OAEP_SHA_256 | 2023-08-16 18:10:03 | ACTIVE | +----------------------+-----------------------+---------------------------+---------------------+--------+
-
Удалите ключевую пару, указав ее идентификатор:
yc kms asymmetric-encryption-key delete \ --id <идентификатор_ключевой_пары>
Результат:
id: abjfmo5enqlr******** folder_id: b1gt6g8ht345******** created_at: "2023-08-16T18:10:03Z" name: new-encryption-key encryption_algorithm: RSA_2048_ENC_OAEP_SHA_256
Чтобы удалить ключевую пару шифрования, воспользуйтесь вызовом gRPC API AsymmetricEncryptionKeyService/Delete.