支持密钥管理的合规性
本页面介绍了如何支持密钥管理合规性 对 Assured Workloads 进行加密。
概览
加密密钥管理有助于支持 Google Cloud 资源的监管合规性。Assured Workloads 通过加密 方法:
CJIS 或 ITAR:规定的客户管理的密钥和职责分离;以及 对于 Impact Level 4 (IL4) 和 Impact Level 5 (IL5) 则为可选。
其他控制软件包(包括 IL4 和 IL5):Google 拥有的密钥和 Google 管理的密钥以及 加密选项
- Google 拥有的密钥和 Google 管理的密钥提供 默认启用,经 FIPS 140-2 验证的传输加密和静态加密 所有 Google Cloud 服务
- Cloud Key Management Service (Cloud KMS): Assured Workloads 支持 Cloud KMS。 Cloud KMS 涵盖所有 Google Cloud 产品和服务, 默认提供通过 FIPS 140-2 验证的传输加密 静态加密
- 客户管理的加密密钥 (CMEK):Assured Workloads 支持 CMEK。
- Cloud External Key Manager (Cloud EKM):Assured Workloads 支持 Cloud EKM。
- 密钥导入
加密策略
本部分介绍 Assured Workloads 加密策略。
Assured Workloads CMEK 创建
借助 CMEK,您可以通过 让您能够管理从创建到密钥的完整生命周期 删除。此功能对于支持云计算 SRG 中的加密擦除要求至关重要。
服务
与 CMEK 集成的服务
CMEK 涵盖以下服务,这些服务存储 CJIS 的客户数据。
其他服务:自定义密钥管理
适用于未与 CMEK 集成的服务,或拥有控制权的客户 不需要 CMEK,而 Assured Workloads 客户可以 选择使用 Google 管理的 Cloud Key Management Service 密钥。此选项是 以便为客户提供更多密钥管理选项, 满足您组织的需求如今,CMEK 集成限制为支持 CMEK 功能的范围内服务。由 Google 管理的 KMS 是可接受的加密方法 因为它默认涵盖所有 Google Cloud 产品和服务 已通过 FIPS 140-2 验证的加密 无论是传输中的还是静态存储的数据
如需了解 Assured Workloads 支持的其他产品,请参阅 控制套餐支持的产品。
密钥管理角色
管理员和开发者通常通过密钥管理和职责分离来支持合规性和安全最佳实践。例如,开发者可能有权访问 Assured Workloads 资源文件夹,而管理员则有权访问 CMEK 密钥管理项目。
管理员
管理员通常控制对加密项目的访问权限, 关键资源。管理员负责分配 密钥资源 ID 提供给开发者,用于加密资源。这种做法将密钥的管理与开发流程分开,可让安全管理员在 CMEK 项目中集中管理加密密钥。
安全管理员可以将以下加密密钥策略用于 Assured Workloads:
开发者
在开发期间,当您预配和配置范围内 Google Cloud 资源(需要使用 CMEK 加密密钥)时,应向管理员请求该密钥的资源 ID。如果您不使用 CMEK,我们建议您使用 Google 拥有的密钥和 Google 管理的密钥可确保数据加密。
请求方法由您的组织作为记录的安全流程和过程的一部分确定。
后续步骤
- 了解如何创建 Assured Workloads 文件夹。
- 了解哪些产品受支持 每个控制包