Управление ключом

Получить список ключей

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.

Откроется список симметричных ключей.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.

Выполните запрос:

1
mws kms crypto-key list

1
+-----------------------+---------------------------------------+---------+-------------------+
2
|          ID           |           PRIMARY VERSION             | ENABLED | DEFAULT ALGORITHM |
3
+-----------------------+---------------------------------------+---------+-------------------+
4
| <идентификатор ключа> | <идентификатор основной версии ключа> | true    | AES_128_GCM       |
5
+-----------------------+---------------------------------------+---------+-------------------+

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.
Выполните запрос:
bash
```
1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"
```
Если запрос был успешно принят, вы получите ответ с кодом 200 OK. В ответе будет выведен список ключей с детализацией параметров.

Получить информацию об отдельном ключе

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на имя ключа.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```

Выполните запрос:

1
mws kms crypto-key get <идентификатор ключа>

1
kind: kms/v1/cryptoKey
2
metadata:
3
    id: kms/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>
4
    name: <идентификатор ключа>
5
    displayName: <отображаемое имя>
6
    labels: {}
7
    annotations: {}
8
    createTime: "2025-10-02T08:37:29Z"
9
    updateTime: "2025-10-02T08:37:29Z"
10
    etag: 7af760e7926343d091f7912f9517fee3
11
    description: ""
12
spec:
13
    defaultAlgorithm: AES_256_GCM
14
    destructionPolicy:
15
        destructionProtected: false
16
        defaultDestructionIntervalDays: 1
17
    usagePolicy:
18
        enabled: true
19
    rotationPolicy:
20
        enabled: false
21
        rotationIntervalDays: 1
22
status:
23
    ready:
24
        state: OK
25
    rotation:
26
        lastTime: "2025-10-02T08:37:29Z"
27
        primaryKeyVersionRef: projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<версия ключа>

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Выполните запрос:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Если запрос был успешно принят, вы получите ответ с кодом 200 OK. В ответе будут выведены параметры ключа.

Создать ключ

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите кнопку Создать.
Укажите параметры нового ключа:
- (опционально) Измените автоматически сгенерированное имя ключа. Позже это имя (name) и созданный из него идентификатор (ID) нельзя изменить, меняется только отображаемое имя (display name) ключа.
- Алгоритм шифрования — выберите алгоритм шифрования.
- Период ротации — выберите или укажите периодичность ротации ключа.
- (опционально) Добавьте описание ключа.
Нажмите кнопку Создать.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.

Выполните запрос:

1
mws kms crypto-key create <идентификатор ключа> \
2
  --default-algorithm=<алгоритм шифрования — AES_128_GCM, AES_192_GCM или AES_256_GCM> \
3
  --enabled=<true или false> \
4
  --rotation-enabled=<автоматическая ротация ключа, true или false> \
5
  --rotation-interval-days=<интервал автоматической ротации, в днях>

1
kind: kms/v1/cryptoKey
2
metadata:
3
    id: kms/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>
4
    name: <идентификатор ключа>
5
    displayName: <отображаемое имя>
6
    labels: {}
7
    annotations: {}
8
    createTime: "2025-10-02T08:37:29Z"
9
    updateTime: "2025-10-02T08:37:29Z"
10
    etag: 7af760e7926343d091f7912f9517fee3
11
    description: ""
12
spec:
13
    defaultAlgorithm: AES_256_GCM
14
    destructionPolicy:
15
        destructionProtected: false
16
        defaultDestructionIntervalDays: 1
17
    usagePolicy:
18
        enabled: true
19
    rotationPolicy:
20
        enabled: false
21
        rotationIntervalDays: 1
22
status:
23
    ready:
24
        state: OK
25
    rotation:
26
        lastTime: "2025-10-02T08:37:29Z"
27
        primaryKeyVersionRef: projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<версия ключа>

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Выполните запрос:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<имя нового ключа>" \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
     "spec": {
6
        "defaultAlgorithm": "<алгоритм шифрования — AES_128_GCM, AES_192_GCM или AES_256_GCM>"
7
     }
8
  }'

Если запрос был успешно принят, вы получите ответ с кодом 200 OK. В ответе будут выведены параметры нового ключа.

Деактивировать ключ

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на значок ... для нужного ключа и выберите Деактивировать.
Подтвердите действие.

Также эту операцию вы можете выполнить на странице ключа.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```
Передайте в запросе новый статус ключа:
bash
```
1
mws kms crypto-key update <идентификатор ключа> --enabled=false
```
Если команда была выполнена успешно, в ответе будут выведены обновленные параметры ключа.

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Выполните запрос:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>?updateOnly=true" \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
      "spec": {
6
        "usagePolicy": {
7
          "enabled": false
8
        }
9
      }
10
  }'

Если запрос был успешно принят, вы получите ответ с кодом 200 OK. В ответе будут выведены обновленные параметры ключа.

Статус ключа изменится на Disabled. Статусы версий этого ключа изменятся согласно правилам наследования.

Активировать ключ

Активировать можно только деактивированный (Disabled) ключ.

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на значок ... для нужного ключа и выберите Активировать.

Также эту операцию вы можете выполнить на странице ключа.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```
Передайте в запросе новый статус ключа:
bash
```
1
mws kms crypto-key update <идентификатор ключа> --enabled=true
```
Если команда была выполнена успешно, в ответе будут выведены обновленные параметры ключа.

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Выполните запрос:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>?updateOnly=true" \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
      "spec": {
6
        "usagePolicy": {
7
          "enabled": true
8
        }
9
      }
10
  }'

Статус ключа изменится на Enabled. Статусы версий ключа изменятся согласно правилам наследования.

Ротировать ключ

Ротация доступна только для активного ключа.

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на значок ... для нужного ключа и выберите Ротировать.
Подтвердите действие.

Также эту операцию вы можете выполнить на странице ключа.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```

Выполните запрос:

1
mws kms crypto-key rotate <идентификатор ключа>

В результате выполнения команды будет выведена информация о текущей версии ключа и дата предыдущей и следующей ротации:

1
...
2
status:
3
    ready:
4
        state: OK
5
    rotation:
6
        lastTime: "2025-10-03T10:22:37Z"
7
        nextTime: "2025-10-04T10:22:37Z"
8
        primaryKeyVersionRef: projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<новая версия ключа>

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Выполните запрос:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>:rotate" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json"

Если запрос был успешно принят, вы получите ответ с кодом 200 OK. В ответе будет выведена информация о текущей версии ключа и дата предыдущей и следующей ротации:

1
...
2
"status" : {
3
    "ready" : {
4
    "state" : "OK"
5
    },
6
    "rotation" : {
7
    "lastTime" : "2025-10-09T04:08:05.398421Z",
8
    "nextTime" : "2025-10-10T04:08:05.398421Z",
9
    "primaryKeyVersionRef" : "projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<идентификатор версии ключа>"
10
    }
11
  }
12
}

В списке версий ключа появится новая версия.

Редактировать ключ

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на имя ключа.
Нажмите на значок редактирования для нужного параметра и внесите изменение. Вы можете изменить:
- Имя ключа.
- Алгоритм шифрования. Все новые версии ключа будут использовать новый алгоритм шифрования. Алгоритм шифрования для уже созданных версий ключа не изменится.
- Период ротации.
- Описание ключа.
Нажмите кнопку Сохранить.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```
Получите информацию о текущих настройках ключа:
bash
```
1
mws kms crypto-key get <идентификатор ключа>
```

Передайте в запросе изменяемые параметры, например:

Изменить отображаемое имя ключа:

1
mws kms crypto-key update <идентификатор ключа> \
2
  --display-name <новое отображаемое имя ключа>

Включить защиту от удаления:

1
mws kms crypto-key update <идентификатор ключа> --body '
2
spec:
3
  destructionPolicy:
4
    destructionProtected: true
5
'

Изменить алгоритм шифрования:

1
mws kms crypto-key update <идентификатор ключа> \
2
  --default-algorithm=<алгоритм шифрования — AES_128_GCM, AES_192_GCM или AES_256_GCM>

Включить или выключить ротацию ключа:

1
mws kms crypto-key update <идентификатор ключа> \
2
  --rotation-enabled=<true или false>

Изменить период ротации ключа:

1
mws kms crypto-key update <идентификатор ключа> \
2
  --rotation-interval-days=<интервал автоматической ротации, в днях>

В случае успешного выполнения команд в ответе будут выведены обновленные параметры ключа.

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Получите информацию о текущих настройках ключа:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Передайте в запросе изменяемые параметры, например:

Изменить отображаемое имя ключа:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>?updateOnly=true" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json" \
4
    -d '{
5
    "metadata": {
6
      "displayName": "<новое отображаемое имя ключа>"
7
    }
8
    }'

Включить защиту от удаления:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>?updateOnly=true" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json" \
4
    -d '{
5
    "spec": {
6
    "destructionPolicy": {
7
        "destructionProtected": true
8
        }
9
    }
10
    }'

Запланировать удаление ключа

При удалении ключа удалятся все его версии.

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на значок ... для удаляемого ключа и выберите Запланировать удаление.
Укажите время до удаления ключа.
Нажмите кнопку Запланировать удаление.

Также эту операцию вы можете выполнить на странице ключа.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```

Выполните запрос:

1
mws kms crypto-key schedule-destruction <идентификатор ключа> \
2
  --destruction-interval-days=1

Здесь destruction-interval-days — количество дней, через которое ключ будет безвозвратно удален. Параметр может принимать значение от 1 до 30.

1
kind: kms/v1/cryptoKey
2
metadata:
3
    id: kms/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>
4
    name: <идентификатор ключа>
5
    displayName: <отображаемое имя>
6
    labels: {}
7
    annotations: {}
8
    createTime: "2025-10-03T08:36:41Z"
9
    updateTime: "2025-10-06T02:41:11Z"
10
    etag: 283f0a3e269e4c30b0c0dc7cb211f7cc
11
    description: ""
12
spec:
13
    defaultAlgorithm: AES_256_GCM
14
    destructionPolicy:
15
        destructionProtected: false
16
        defaultDestructionIntervalDays: 1
17
        scheduledDestructionTime: "2025-10-07T02:41:11Z"
18
    usagePolicy:
19
        enabled: false
20
    rotationPolicy:
21
        enabled: false
22
        rotationIntervalDays: 1
23
    primaryKeyVersionRef: projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<версия ключа>
24
status:
25
    ready:
26
        state: PROCESSING
27
    rotation:
28
        lastTime: "2025-10-03T10:22:44Z"
29
        nextTime: "2025-10-04T10:22:44Z"
30
        primaryKeyVersionRef: projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<версия ключа>
31
    destruction:
32
        status: SCHEDULED_FOR_DESTRUCTION

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Выполните запрос:

1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>:scheduleDestruction?destructionIntervalDays=1" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json"

Параметр destructionIntervalDays — это количество дней, через которое ключ будет безвозвратно удален. Параметр может принимать значение от 1 до 30.

1
{
2
"kind" : "kms/v1/cryptoKey",
3
"metadata" : {
4
    "id" : "kms/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>",
5
    "name" : "<идентификатор ключа>",
6
    "displayName" : "<отображаемое имя ключа>",
7
    "labels" : { },
8
    "annotations" : { },
9
    "createTime" : "2025-10-08T09:02:46.064488Z",
10
    "updateTime" : "2025-10-09T04:18:04.466186Z",
11
    "etag" : "d7ff5c39945c4be9b17bac4cb9a84540",
12
    "description" : ""
13
},
14
"spec" : {
15
    "defaultAlgorithm" : "AES_256_GCM",
16
    "destructionPolicy" : {
17
    "destructionProtected" : false,
18
    "defaultDestructionIntervalDays" : 1,
19
    "scheduledDestructionTime" : "2025-10-16T04:18:04.465797Z"
20
    },
21
    "usagePolicy" : {
22
    "enabled" : false
23
    },
24
    "rotationPolicy" : {
25
    "enabled" : false,
26
    "rotationIntervalDays" : 1
27
    },
28
    "primaryKeyVersionRef" : "projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<версия ключа>"
29
},
30
"status" : {
31
    "ready" : {
32
    "state" : "PROCESSING"
33
    },
34
    "rotation" : {
35
    "lastTime" : "2025-10-09T04:08:05.398421Z",
36
    "nextTime" : "2025-10-10T04:08:05.398421Z",
37
    "primaryKeyVersionRef" : "projects/<имя проекта>/cryptoKeys/<идентификатор ключа>/cryptoKeyVersions/<версия ключа>"
38
    },
39
    "destruction" : {
40
    "status" : "SCHEDULED_FOR_DESTRUCTION"
41
    }
42
}
43
}

Статус ключа и всех его версий изменится на Scheduled for destruction. Через указанный срок ключ будет уничтожен.

Отменить удаление ключа

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите KMS.
Нажмите на значок ... для нужного ключа и выберите Отменить удаление.

Также эту операцию вы можете выполнить на странице ключа.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор ключа из списка:
bash
```
1
mws kms crypto-key list
```
Выполните запрос:
bash
```
1
mws kms crypto-key cancel-scheduled-destruction <идентификатор ключа>
```
В случае успешного выполнения команды ключ будет снова активирован, а его статус изменится на OK.

Убедитесь, что у вас есть IAM-токен для авторизации запроса. Если нет, получите его.

Узнайте идентификатор ключа из списка:

1
curl -X GET https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Выполните запрос:
bash
```
1
curl -X POST "https://kms.mwsapis.ru/kms/v1/projects/<имя проекта>/cryptoKeys/<идентификатор ключа>:cancelScheduledDestruction" \
2
    -H "Authorization: Bearer <IAM-токен>" \
3
    -H "Content-Type: application/json"
```
Если запрос был успешно принят, вы получите ответ с кодом 200 OK. В ответе будут выведены обновленные параметры: ключ будет снова активирован, а его статус изменится на OK.