解读

在国内金融、政企及互联网大厂的上云实践中，合规审计常把“密钥可撤销”作为硬性要求。面试官问“实时影响”，并非让你背诵文档，而是考察：

1. 你是否理解 Cloud SQL 的双层密钥体系（Google 内部密钥 + 客户层 CMEK）
2. 撤销动作发生后，正在跑的实例会不会立刻 Crash、断连或丢数据
3. 你是否能给出秒级恢复与业务连续性的权衡方案，符合国内等保 2.0 与《数据安全法》对“可用性不可无故中断”的条款

一句话：考官想看你在“合规必须撤销”与“业务不能停”之间如何取舍。

知识点

1. 双层加密模型

   • Google 内部密钥（Google-managed）：由 Google 自动轮替，客户不可撤销，撤销指令对其无效
   • 客户主密钥 CMEK（Cloud KMS 内的 CryptoKey）：客户拥有 IAM 权限，可禁用或销毁

2. 撤销路径

   • 禁用（Disable）：密钥变为不可用状态，新请求无法解密，但内存中已缓存的明文密钥仍存活
   • 销毁（Destroy）：密钥版本被彻底删除，任何数据不可恢复；国内合规场景下通常走“禁用”而非“销毁”

3. 实时影响时间窗

   • 禁用瞬间：
     – 控制面：Cloud SQL 的控制流 API（创建、变配、备份）立即失败，返回 KMS_KEY_DISABLED
     – 数据面：已建立的长连接仍可读写，因数据盘加密密钥 DEK 已加载到实例内存，不会立即踢出
   • 缓存失效后：
     – 默认** 5 分钟内，实例会尝试轮换 DEK** 或重启，若仍拿不到新密钥，则实例进入 SUSPENDED 状态，MySQL/PostgreSQL 进程被冻结，连接全部断开
   • 高可用场景：
     – 若开启高可用 HA（国内 Region 双可用区），主库冻结后 10~30 秒内触发切换，备库同样因密钥失效而拒绝启动，导致整个 HA 对失效，业务秒级中断

4. 国内特殊限制

   • 金融云专区：KMS 密钥禁用后，云管平台会强制关闭外网 SLB，即使实例本身还能跑，公网链路也会被切断，造成“双杀”
   • 等保测评：测评机构会要求现场演示“密钥撤销→业务中断→密钥恢复→业务自愈”全链路，中断时间不得超过 15 分钟，否则视为不合规

5. 可观测与告警

   • Cloud AuditLog 会记录 Decrypt 失败事件，延迟 30 秒内可触发云监控告警
   • 建议配置短信+飞书+语音电话三级通道，5 分钟内必须有人介入，否则按《证券基金经营机构信息技术管理办法》会被出具警示函

答案

“密钥撤销”在 Cloud SQL 中的实时影响分两层：

1. 控制面立即失效：任何需要 KMS 解密的运维 API（备份、扩容、故障切换）会立刻返回 KMS_KEY_DISABLED，无法新建连接或手动切换
2. 数据面延迟失效：运行中的实例因内存已缓存明文 DEK，读写不会瞬间中断；5 分钟后缓存过期，实例尝试重新解密失败，进程被冻结，所有长连接被强制断开，HA 备库亦无法启动，业务出现秒级到分钟级中断

在国内合规场景下，禁用密钥≠销毁数据，但中断时间必须可控；建议提前开启私网 HA + 应用层重试 + 密钥恢复 Runbook，确保15 分钟内可自动恢复，满足等保与《数据安全法》要求。

拓展思考

1. “热轮换”方案：利用 Cloud KMS 的主密钥版本化，在禁用旧版本前预创建新版本并更新实例密钥绑定，可实现零中断轮换，但需Terraform + Cloud Build 流水线提前验证，金融客户需向央行报备变更窗口
2. 双云容灾：国内大型券商采用“GCP 金融云 + 阿里云金融云”双活架构，密钥撤销仅作用于单云，通过DTS 双向同步保证另一朵云可秒级接管，RPO=0，RTO<30 秒，但需解决跨云统一身份与审计链难题
3. 合规沙盘：面试时可主动提出“密钥撤销演练”作为月度应急演练科目，把业务中断时间写入 SLA，与监管预沟通，既体现技术深度，又展示合规意识，容易拿到加分