使用 Cloud KMS 金鑰保護資源

本文說明如何使用手動建立的 Cloud Key Management Service Cloud KMS 金鑰,加密磁碟和其他儲存空間相關資源。在 Cloud KMS 中管理的金鑰稱為「客戶管理的加密金鑰 (CMEK)」

您可以使用 CMEK 加密 Compute Engine 資源,例如磁碟機器映像檔即時快照標準快照

如要進一步瞭解如何使用客戶提供的加密金鑰 (CSEK) 加密磁碟和其他儲存空間資源,請參閱使用客戶提供的加密金鑰來加密磁碟

進一步瞭解磁碟加密

事前準備

  • 瞭解磁碟映像檔永久磁碟快照虛擬機器 (VM) 執行個體

  • 決定您要在相同的 Google Cloud 專案還是不同的專案中執行 Compute Engine 和 Cloud KMS。如要瞭解 Google Cloud 專案 ID 和專案編號,請參閱「識別專案」。

  • 針對執行 Cloud KMS 的 Google Cloud 專案,請完成下列步驟:

    1. Enable the Cloud KMS API.

      Enable the API

  • + 如要在機密模式下建立新的 Hyperdisk Balanced 磁碟區,請先查看相關限制支援的區域,確認您的用途符合規定。
  • 如果尚未設定驗證,請先完成設定。 「驗證」是指驗證身分的程序,確認您有權存取 Google Cloud 服務和 API。如要從本機開發環境執行程式碼或範例,請選取下列其中一個選項,向 Compute Engine 進行驗證:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

      1. After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      2. Set a default region and zone.

        3. REST

        如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。

          After installing the Google Cloud CLI, initialize it by running the following command: 

          gcloud init

          If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

        詳情請參閱 Google Cloud 驗證說明文件中的「Authenticate for using REST」。

必要的角色

為確保 Compute Engine 服務代理人擁有必要權限,可使用 Cloud KMS 金鑰保護資源,請要求管理員授予 Compute Engine 服務代理人專案的 Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM 角色。

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

管理員或許也能透過自訂角色或其他預先定義的角色,授予 Compute Engine 服務代理程式必要權限。

Compute Engine 服務代理的格式如下:

service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

您可以使用 Google Cloud CLI 指派角色:

gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
    --member serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

更改下列內容:

  • KMS_PROJECT_ID:執行 Cloud KMS 的Google Cloud 專案 ID (即使這個專案就是執行 Compute Engine 的專案)
  • PROJECT_NUMBER:執行 Compute Engine 資源的專案編號 (非 Google Cloud 專案 ID) Google Cloud

加密規格

Compute Engine 中用來保護您資料的 Cloud KMS 金鑰是 AES-256 金鑰。這類金鑰是金鑰加密金鑰,可對加密您資料的資料加密金鑰進行加密,而非資料本身。

磁碟上的資料會使用 Google-owned and Google-managed encryption keys加密。如要瞭解 Google Cloud預設加密的相關規格,請參閱安全性說明文件中的「預設靜態資料加密」。

使用 Hyperdisk Balanced 機密模式和 Cloud HSM 時,資料加密金鑰 (DEK) 會透過硬體支援的封閉區,取得額外的安全屬性。

限制

  • 您無法使用 CMEK 加密現有資源。您只能在建立磁碟、映像檔和快照時,使用 CMEK 加密。

  • 從以 CMEK 加密的即時快照建立磁碟時,您必須指定用於加密來源磁碟的金鑰。使用其他以 CMEK 加密的資源 (例如磁碟副本和標準快照) 時,您不必指定金鑰。

  • (預先發布版) 從以 CMEK 加密的磁碟建立地區範圍快照時,您必須使用與快照位於相同位置的地區 CMEK 建立快照。這可確保快照的區域隔離,並提高快照的可靠性。

  • 您無法在本機 SSD 磁碟使用自有金鑰,因為金鑰是由 Google Cloud 基礎架構代管,VM 終止後就會刪除。

  • 地區資源 (磁碟) 只能由下列其中一個 Cloud KMS 位置的金鑰加密:

    • 與磁碟位於相同區域的金鑰
    • 與磁碟位於相同地理位置的多區域金鑰
    • 全域位置中的金鑰。

    舉例來說,us-west1-a 區域中的磁碟可由位於 global 位置、us-west1 區域或 us 多區域的金鑰加密。

    全球資源 (例如映像檔和快照) 則可由任何位置的金鑰加密。詳情請參閱「Cloud KMS 的位置類型」。

  • 使用金鑰加密磁碟、快照或映像檔後,加密作業將永久生效。您無法從資源中移除加密、變更加密類型或變更使用的金鑰。如要移除加密或變更加密金鑰,唯一的方法是建立資源副本,同時指定新的加密選項。舉例來說,如要將磁碟從使用 Google 產生的金鑰改為使用 CMEK,請按照下列步驟操作:

    1. 建立磁碟的快照
    2. 使用快照建立新磁碟。 建立新磁碟時,請選取所需的加密類型。

    詳情請參閱「變更磁碟類型」。

手動或自動建立金鑰

您可以手動建立 Cloud KMS 金鑰,也可以使用 Cloud KMS Autokey。Autokey 會自動佈建及指派金鑰,簡化 Cloud KMS 金鑰的建立和管理流程。使用 Autokey 時,您不需要事先佈建金鑰環、金鑰和服務帳戶。而是會在建立 Compute Engine 資源時,依需求產生。詳情請參閱「Autokey 總覽」。

手動建立金鑰環和金鑰

針對執行 Cloud KMS 的 Google Cloud 專案,按照建立金鑰環和金鑰一文的指示建立金鑰環和金鑰。

使用 CMEK 加密新的永久磁碟

您可以在建立 VM 或磁碟時提供金鑰,藉此加密新的永久磁碟。

控制台

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 按一下 [Create disk] (建立磁碟),然後輸入新磁碟的屬性。
  3. 在「Encryption」(加密) 底下,選取 [Customer-managed key] (客戶管理的金鑰)。
  4. 在下拉式選單中,選取要用來加密這個磁碟的 Cloud KMS 金鑰。
  5. 如要建立磁碟,請按一下「建立」

gcloud

使用 gcloud compute disks create 指令建立加密磁碟,並使用 --kms-key 旗標指定金鑰。

gcloud compute disks create DISK_NAME \
  --kms-key projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

更改下列內容:

  • DISK_NAME:新磁碟的名稱
  • KMS_PROJECT_ID:擁有 Cloud KMS 金鑰的專案
  • REGION:金鑰所在的區域
  • KEY_RING:包含金鑰的金鑰環名稱
  • KEY:用於加密磁碟的金鑰名稱

REST

建構對 instances.insert 方法POST 要求。如要加密磁碟,請使用 diskEncryptionKey 屬性和 kmsKeyName 屬性。舉例來說,您可以在建立 VM 時使用下列項目,透過 Cloud KMS 金鑰加密新磁碟:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
"machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
"disks": [
 {
  "type": "PERSISTENT",
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
  "initializeParams": {
   "sourceImage": "SOURCE_IMAGE"
  },
  "boot": true
 }
],
...
}

更改下列內容:

  • PROJECT_ID:執行 Compute Engine 的專案 IDGoogle Cloud
  • ZONE:要在其中建立 VM 的可用區
  • MACHINE_TYPE:機器類型,例如 c3-standard-4
  • KMS_PROJECT_ID:擁有 Cloud KMS 金鑰的專案
  • REGION:磁碟所在的區域
  • KEY_RING:包含金鑰的金鑰環名稱
  • KEY:用於加密磁碟的金鑰名稱
  • SOURCE_IMAGE:建立 VM 時要使用的映像檔,例如 projects/debian-cloud/global/images/debian-11-bullseye-v20231115

同樣地,您可以使用 disks.insert 方法建立新的獨立式永久磁碟,並使用您的 Cloud KMS 金鑰對其進行加密:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks?sourceImage=SOURCE_IMAGE
{
 "name": "DISK_NAME",
 "diskEncryptionKey": {
   "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
 "type": "projects/PROJECT_ID/zones/ZONE/diskTypes/DISK_TYPE"
}

更改下列內容:

  • PROJECT_ID:執行 Compute Engine 的專案 IDGoogle Cloud
  • ZONE:要在其中建立磁碟的可用區
  • SOURCE_IMAGE:建立磁碟時要使用的映像檔,例如 projects/debian-cloud/global/images/debian-11-bullseye-v20231115
  • DISK_NAME:新磁碟的名稱
  • KMS_PROJECT_ID:擁有 Cloud KMS 金鑰的專案
  • REGION:磁碟所在的區域
  • KEY_RING:包含金鑰的金鑰環名稱
  • KEY:用於加密磁碟的金鑰名稱
  • DISK_TYPE:要建立的磁碟類型

在機密模式下建立 Hyperdisk Balanced 磁碟

您可以使用Google Cloud console、Google Cloud CLI 或 REST,在機密模式下建立新的 Hyperdisk Balanced 磁碟。如要建立非機密模式的磁碟,請按照「使用以 CMEK 加密的快照建立永久磁碟」一文中的步驟操作。

控制台

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 按一下 [Create disk] (建立磁碟),然後輸入新磁碟的屬性。
  3. 在「磁碟設定」部分中,選擇「Hyperdisk Balanced」做為磁碟類型。
  4. (選用步驟) 變更磁碟的預設「大小」、「佈建的 IOPS」和「佈建的總處理量」設定。
  5. 在「Encryption」(加密) 區段中,選取「Cloud KMS key」(Cloud KMS 金鑰)
  6. 在金鑰清單中,選取要用來加密這個磁碟的 Cloud HSM 金鑰。
  7. 在「機密運算」部分,選取「啟用機密運算服務」
  8. 如要建立磁碟,請按一下「建立」

gcloud

使用 gcloud compute disks create 指令,以 Hyperdisk Balanced 機密模式加密新磁碟。使用 --confidential-compute 旗標啟用機密模式,並使用 --kms-key 旗標指定金鑰。

gcloud compute disks create DISK_NAME \
  --type=hyperdisk-balanced \
  --kms-key projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY \
  --confidential-compute

更改下列內容:

  • DISK_NAME:新磁碟的名稱
  • KMS_PROJECT_ID:擁有 Cloud HSM 金鑰的專案
  • REGION:金鑰所在的區域
  • KEY_RING:包含金鑰的金鑰環名稱
  • KEY:用於加密磁碟的金鑰名稱

REST

建構對 instances.insert 方法POST 要求。如要使用 Hyperdisk Balanced 機密模式加密磁碟,請使用 diskEncryptionKey 屬性和 kmsKeyName 屬性,並設定 enableConfidentialCompute 標記。舉例來說,您可以使用下列項目,在建立 VM 時以 Cloud HSM 金鑰加密新磁碟:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
"machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
"disks": [
 {
  "type": "DISK_TYPE",
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
  "initializeParams": {
   "sourceImage": "SOURCE_IMAGE",
   "enableConfidentialCompute": true
  },
  "boot": true
 }
],
"networkInterfaces": [
  {
   "network": "global/networks/default"
  }
]
}

更改下列內容:

  • DISK_TYPE:要建立的磁碟類型,例如 hyperdisk-balanced
  • PROJECT_ID:執行 Compute Engine 的 Google Cloud 專案 ID
  • ZONE:要在其中建立 VM 的可用區
  • MACHINE_TYPE:機器類型,例如 n2d-standard-4
  • KMS_PROJECT_ID:擁有 Cloud HSM 金鑰的專案
  • REGION:磁碟所在的區域
  • KEY_RING:包含金鑰的金鑰環名稱
  • KEY:用於加密磁碟的金鑰名稱
  • SOURCE_IMAGE:建立 VM 時使用的機密 VM 支援映像檔,例如 projects/debian-cloud/global/images/debian-11-bullseye-v20231115

同樣地,您可以使用 disks.insert 方法建立新的 Hyperdisk Balanced 機密模式:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks?sourceImage=SOURCE_IMAGE
{
 "name": "DISK_NAME",
 "diskEncryptionKey": {
   "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
 "type": "projects/PROJECT_ID/zones/ZONE/diskTypes/DISK_TYPE",
 "enableConfidentialCompute": true
}

更改下列內容:

  • PROJECT_ID:執行 Compute Engine 的專案 IDGoogle Cloud
  • ZONE:要在其中建立磁碟的可用區
  • SOURCE_IMAGE:建立磁碟時支援機密 VM 的映像檔,例如: projects/debian-cloud/global/images/debian-11-bullseye-v20231115
  • DISK_NAME:新磁碟的名稱
  • KMS_PROJECT_ID:擁有 Cloud HSM 金鑰的專案
  • REGION:磁碟所在的區域
  • KEY_RING:包含金鑰的金鑰環名稱
  • KEY:用於加密磁碟的金鑰名稱
  • DISK_TYPE:要建立的磁碟類型,例如 hyperdisk-balanced

透過以 CMEK 加密的磁碟建立快照

如要保護透過以 CMEK 加密的磁碟建立的快照,您必須使用用來加密磁碟的加密金鑰。

除非來源磁碟也使用 CMEK,否則您無法建立使用 CMEK 的快照。此外,除非您建立全新的磁碟映像檔和新的永久磁碟,否則無法將 CMEK 加密磁碟或快照轉換為使用Google Cloud 預設加密功能。

以 CMEK 加密的磁碟快照為增量快照。

控制台

  1. 前往 Google Cloud 控制台的「快照」頁面。

    前往「快照」

  2. 按一下 [Create snapshot] (建立快照)。
  3. 在「Source disk」(來源磁碟) 底下,選擇快照的來源磁碟。系統會自動以來源磁碟使用的金鑰對快照進行加密。

gcloud

如果是客戶管理的加密,系統也會使用加密磁碟的 Cloud KMS 金鑰來加密快照。

您可以在快照設定定義的儲存位置政策中建立快照,也可以使用所選的替代儲存位置。詳情請參閱選擇快照儲存位置

  • 如要在快照設定中指定的預先定義或自訂預設位置建立快照,請使用 gcloud compute snapshots create 指令

    gcloud compute snapshots create SNAPSHOT_NAME \
    --source-disk-zone=SOURCE_ZONE \
    --source-disk=SOURCE_DISK_NAME \
    --snapshot-type=SNAPSHOT_TYPE

  • 或者,如要覆寫快照設定,在自訂儲存位置建立快照,請加入 --storage-location 標記來指示快照的儲存位置。

    gcloud compute snapshots create SNAPSHOT_NAME \
    --source-disk-zone=SOURCE_ZONE \
    --source-disk=SOURCE_DISK_NAME \
    --snapshot-type=SNAPSHOT_TYPE \
    --storage-location=STORAGE_LOCATION

  • (預先發布版) 如要在允許的區域中建立區域範圍快照,請加入 --region 標記,指出快照的建立位置。

      gcloud beta compute snapshots create SNAPSHOT_NAME \
      --region=SNAPSHOT_SCOPE_REGION
      --source-disk=SOURCE_DISK_NAME \
      --source-disk-zone=SOURCE_ZONE \
      --snapshot-type=SNAPSHOT_TYPE \
      --kms-key=projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY

更改下列內容:

  • SNAPSHOT_NAME:快照的名稱。
  • SOURCE_ZONE:來源磁碟的可用區。
  • SOURCE_DISK_NAME:要建立快照的磁碟區名稱。
  • KMS_PROJECT_ID:包含儲存在 Cloud Key Management Service 中的加密金鑰的專案。
  • KEY_REGION:Cloud KMS 金鑰所在的區域。
  • KEY_RING:包含 Cloud KMS 金鑰的金鑰環名稱。
  • SNAPSHOT_KEY:用來加密來源磁碟的 Cloud KMS 金鑰名稱。
  • SNAPSHOT_TYPE:快照類型,可以是 STANDARDARCHIVE。 如果未指定快照類型,系統會建立 STANDARD 快照。

  • STORAGE_LOCATION:選用:如果是全域範圍的快照,則為您要儲存快照的 Cloud Storage 多地區Cloud Storage 地區。您只能指定一個儲存位置。

    只有在想覆寫快照設定中預先定義或自訂的預設儲存位置時,才使用 --storage-location 參數。

  • SNAPSHOT_SCOPE_REGION:選填:如果是區域範圍快照,則為快照的範圍所屬區域。如果加入這個參數,就無法使用 --storage-location 參數。系統會自動將 STORAGE_LOCATION 設為 SNAPSHOT_SCOPE_REGION

REST

您可以在快照設定定義的儲存位置政策中建立快照,也可以使用所選的替代儲存位置。詳情請參閱選擇快照儲存位置

  • 如要在快照設定中指定的預先定義或自訂預設位置建立快照,請對 snapshots.insert 方法發出 POST 要求:

    POST https://compute.googleapis.com/compute/v1/projects/DESTINATION_PROJECT_ID/global/snapshots
{
    "name": "SNAPSHOT_NAME",
    "sourceDisk": "projects/SOURCE_PROJECT_ID/zones/SOURCE_ZONE/disks/SOURCE_DISK_NAME",
    "snapshotEncryptionKey":  {
     "kmsKeyName": "projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY"
    },
    "snapshotType": "SNAPSHOT_TYPE"
}

  • 或者,如要覆寫快照設定,在自訂儲存位置建立快照,請對 snapshots.insert 方法發出 POST 要求,並在要求中加入 storageLocations 屬性:

    POST https://compute.googleapis.com/compute/v1/projects/DESTINATION_PROJECT_ID/global/snapshots
{
    "name": "SNAPSHOT_NAME",
    "sourceDisk": "projects/SOURCE_PROJECT_ID/zones/SOURCE_ZONE/disks/SOURCE_DISK_NAME",
    "snapshotEncryptionKey":  {
     "kmsKeyName": "projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY"
    },
    "snapshotType": "SNAPSHOT_TYPE",
    "storageLocations": [
        "STORAGE_LOCATION"
    ],
}

  • (預覽版) 如要在允許的區域中建立區域範圍快照,請對 snapshots.insert 方法發出 POST 要求,並定義建立區域:

    POST https://compute.googleapis.com/compute/beta/projects/DESTINATION_PROJECT_ID/regions/SNAPSHOT_SCOPE_REGION/snapshots
{
  "name": "SNAPSHOT_NAME",
  "sourceDisk": "projects/SOURCE_PROJECT_ID/regions/SOURCE_REGION/disks/SOURCE_DISK_NAME",
  "snapshotType": "SNAPSHOT_TYPE",
  "snapshotEncryptionKey": {
    "kmsKeyName":"projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY",
  },
}

更改下列內容:

  • DESTINATION_PROJECT_ID:要在其中建立快照的專案 ID。
  • SNAPSHOT_NAME:快照的名稱。
  • SOURCE_PROJECT_ID:來源磁碟專案的 ID。
  • SOURCE_ZONE:來源磁碟的可用區。
  • SOURCE_DISK_NAME:要建立快照的磁碟名稱。
  • KMS_PROJECT_ID:包含儲存在 Cloud Key Management Service 中的加密金鑰的專案。
  • KEY_REGION:Cloud KMS 金鑰所在的區域。
  • KEY_RING:包含 Cloud KMS 金鑰的金鑰環名稱。
  • SNAPSHOT_KEY:用來加密來源磁碟的 Cloud KMS 金鑰名稱。
  • SNAPSHOT_TYPE:快照類型,可以是 STANDARDARCHIVE。 如果未指定快照類型,系統會建立 STANDARD 快照。

  • STORAGE_LOCATION:選用:如果是全域範圍的快照,則為您要儲存快照的 Cloud Storage 多地區Cloud Storage 地區。您只能指定一個儲存位置。

    只有在想覆寫快照設定中預先定義或自訂的預設儲存位置時,才使用 storageLocations 參數。

  • SNAPSHOT_SCOPE_REGION:選填:如果是區域範圍快照,快照的範圍所屬區域。如果加入這個參數,就無法使用 storageLocations 參數。系統會自動將 STORAGE_LOCATION 設為 SNAPSHOT_SCOPE_REGION

使用 CMEK 加密匯入的映像檔

將自訂映像檔匯入至 Compute Engine 時,您可以為新的映像檔加密。匯入映像檔之前,您必須先建立並壓縮磁碟映像檔檔案,然後將該壓縮檔案上傳至 Cloud Storage

控制台

  1. 前往 Google Cloud 控制台的「Images」(映像檔) 頁面。

    前往「圖片」

  2. 按一下「建立映像檔」
  3. 在「Source disk」(來源磁碟) 底下,選取要建立映像檔的磁碟。
  4. 針對「Encryption」(加密),選取「Customer-managed key」(客戶管理的金鑰)
  5. 在下拉式選單中,選取要用來加密這個映像檔的 Cloud KMS 金鑰。
  6. 繼續執行映像檔建立程序。

gcloud

如要匯入及加密圖片,請使用 gcloud compute images create 指令。如要使用客戶管理加密,請指定映像檔的 Cloud KMS 金鑰。

gcloud compute images create IMAGE_NAME \
    --source-disk=SOURCE_DISK  \
    --kms-key projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

更改下列內容:

  • IMAGE_NAME:您要建立的映像檔名稱
  • SOURCE_DISK:要建立快照的磁碟名稱
  • KMS_PROJECT_ID:包含 Cloud KMS 金鑰的專案
  • REGION:Cloud KMS 金鑰所在的區域
  • KEY_RING:包含 Cloud KMS 金鑰的金鑰環
  • KEY:用於加密新磁碟的金鑰名稱

REST

如要加密匯入的映像檔,請對 images.insert 方法建構 POST 要求。指定壓縮檔的 URI,將 imageEncryptionKey 屬性加到映像檔建立要求中,然後在 kmsKeyName 屬性中指定要用來加密映像檔的金鑰。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images

{
 "rawDisk": {
  "source": "http://storage.googleapis.com/example-image/example-image.tar.gz"
  },
 "name": "IMAGE_NAME",
 "sourceType": "RAW",
 "imageEncryptionKey": {
   "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
   }
}

更改下列內容:

  • PROJECT_ID:用於建立加密映像檔的專案
  • IMAGE_NAME:您要建立的映像檔名稱
  • KMS_PROJECT_ID:包含 Cloud KMS 金鑰的專案
  • REGION:Cloud KMS 金鑰所在的區域
  • KEY_RING:包含 Cloud KMS 金鑰的金鑰環
  • KEY:用於加密來源磁碟的金鑰名稱

透過以 CMEK 加密的快照建立磁碟

如要使用加密快照建立新磁碟,請按照下列步驟操作:

控制台

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 按一下 [Create disk] (建立磁碟),然後輸入新磁碟的屬性。
  3. 在「Source type」(來源類型) 部分,選取要使用的快照或映像檔。

  4. 選用步驟:如要指定新的加密金鑰,請在「加密」部分指定要使用的加密金鑰類型,然後提供加密金鑰資訊。

    如要移除客戶管理或客戶提供的加密金鑰,請在「Encryption」(加密) 中使用預設值 Google-managed encryption key

  5. 繼續執行磁碟建立程序。

gcloud

  • 如要從全域範圍的加密快照建立新磁碟,請使用 gcloud compute disks create 指令

    gcloud compute disks create DISK_NAME \
  --zone=ZONE \
  --source-snapshot=SNAPSHOT_NAME \
  --kms-key=projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

  • (預先發布) 如要從地區範圍的加密快照建立新磁碟,請使用 gcloud compute disks create 指令,並指定來源快照地區。

    gcloud compute disks create DISK_NAME \
  --zone=ZONE \
  --source-snapshot=SNAPSHOT_NAME \
  --source-snapshot-region=SOURCE_REGION \
  --kms-key=projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

更改下列內容:

  • DISK_NAME:新磁碟的名稱

  • SNAPSHOT_NAME:加密快照的名稱

    如要使用映像檔而非快照,請將 --source-snapshot SNAPSHOT_NAME 改成 --image IMAGE_NAME

  • KMS_PROJECT_ID:選用:包含 Cloud KMS 金鑰的專案

  • REGION:選用:Cloud KMS 金鑰所在的區域

  • SOURCE_REGION:來源快照的範圍所屬區域

  • ZONE:新磁碟所在的可用區

  • KEY_RING:選用:包含 Cloud KMS 金鑰的金鑰環

  • KEY:選用:用來加密新磁碟的 Cloud KMS 金鑰名稱

    如要加密新磁碟,請執行下列其中一項操作:

    • 如要指定新的客戶自行管理的加密金鑰,請使用 --kms-key 旗標。
    • 如要使用預設的 Google-owned and Google-managed encryption key,請勿加入 --kms-key 旗標。

REST

  • 如要使用全域範圍的加密快照建立新磁碟,請向 compute.disks.insert 方法建構 POST 要求。使用 sourceSnapshot 屬性指定快照。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks

{
  "name": "DISK_NAME",
  "sourceSnapshot": "projects/SNAPSHOT_PROJECT_ID/global/snapshots/SNAPSHOT_NAME",
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  }
}

  • (預先發布) 如要使用區域範圍的加密快照建立新磁碟,請對 compute.disks.insert 方法發出 POST 要求。使用 sourceSnapshot 屬性指定快照。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks

{
  "name": "DISK_NAME",
  "sourceSnapshot": "projects/SNAPSHOT_PROJECT_ID/regions/SOURCE_REGION/snapshots/SNAPSHOT_NAME",
  "type": "projects/PROJECT_ID/zones/ZONE/diskTypes/DISK_TYPE",
  "zone": "projects/PROJECT_ID/zones/ZONE"
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  }
}

更改下列內容:

  • PROJECT_ID:要在其中建立新磁碟的專案
  • ZONE:要在哪個可用區建立新磁碟
  • SOURCE_REGION:來源快照的範圍所屬區域
  • DISK_NAME:新磁碟的名稱
  • DISK_TYPE:磁碟類型的完整或部分網址,例如 PROJECT_ID/zones/ZONE/diskTypes/pd-ssd
  • SNAPSHOT_PROJECT_ID:包含快照的專案

  • SNAPSHOT_NAME:加密快照的名稱

    如要使用映像檔而非快照,請將 sourceSnapshot 改成 sourceImage

  • KMS_PROJECT_ID:選用:包含 Cloud KMS 金鑰的專案

  • REGION:選用:Cloud KMS 金鑰所在的區域

  • KEY_RING:選用:包含 Cloud KMS 金鑰的金鑰環

  • KEY:選用:用來加密新磁碟的 Cloud KMS 金鑰名稱

    如果加入 diskEncryptionKey,系統會使用指定的 Cloud KMS 金鑰加密磁碟。如未加入 diskEncryptionKey,系統會使用 Google-owned and Google-managed encryption key加密磁碟。

將以 CMEK 加密的開機磁碟連結至新的 VM

控制台

  1. 前往 Google Cloud 控制台的「Create an instance」(建立執行個體) 頁面。

    前往「建立執行個體」

  2. 指定 VM 詳細資料,然後在「開機磁碟」部分,按一下「變更」。然後執行下列操作:

    1. 按一下 [Existing disks] (現有磁碟)。
    2. 在「磁碟」清單中,選取要連結至 VM 的現有磁碟。
    3. 按一下 [選取]。

  3. 繼續執行 VM 建立程序。

gcloud

如要在建立新 VM 時連結加密磁碟,請使用 gcloud compute instances create 指令。使用 --disk 標記指定加密的開機磁碟,如下列範例所示:

gcloud compute instances create VM_NAME \
  ...
  --disk name=DISK_NAME,boot=yes

更改下列內容:

  • VM_NAME:您要建立的 VM 名稱
  • DISK_NAME:加密磁碟的名稱

REST

建構對 compute.instances.insert 方法POST 要求。使用 disks 屬性指定加密開機磁碟,如以下範例所示:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
  ...
  "disks": [
    {
      "deviceName": "DISK_ALIAS",
      "source": "projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME"
    }
  ]
}

更改下列內容:

  • PROJECT_ID:要在其中建立新 VM 的專案
  • ZONE:要在其中建立新 VM 的可用區
  • DISK_ALIAS:專屬裝置名稱,用做執行 Linux 作業系統的 VM /dev/disk/by-id/google-* 目錄中的磁碟別名。這個名稱可用於在執行個體中參照磁碟,以執行掛接或調整大小等作業。如未指定裝置名稱,虛擬機會選擇預設裝置名稱套用至這個磁碟,格式為 persistent-disk-x,其中 x 是 Compute Engine 指派的數字。這個欄位僅適用於永久磁碟卷。
  • DISK_NAME:加密磁碟的名稱

從永久磁碟中移除 Cloud KMS 加密金鑰

您可以解密加密磁碟的內容,並建立改用 Google Cloud 預設加密的新磁碟。根據預設, Google Cloud會加密所有靜態資料

  1. 建立加密磁碟的快照
  2. 使用新的加密快照來建立新的永久磁碟

建立新的永久磁碟後,該磁碟會使用 Google Cloud 預設加密選項保護磁碟內容。您透過該磁碟建立的所有快照也必須使用預設加密。

輪替磁碟的 Cloud KMS 加密金鑰

建立使用新 Cloud KMS 金鑰版本的新磁碟,即可輪替用於加密磁碟的金鑰。輪替金鑰是遵循標準化安全做法的最佳做法。如要輪替金鑰,請按照下列步驟操作:

  1. 輪替 Cloud KMS 金鑰
  2. 建立加密磁碟的快照
  3. 使用新的快照來建立新的磁碟,並使用上一步輪替的金鑰。
  4. 更換 VM 連接的磁碟,該磁碟使用舊的加密金鑰。

建立新磁碟時,系統會使用新金鑰版本進行加密。您透過該磁碟建立的所有快照都會使用最新的主要金鑰版本。

輪替金鑰時,系統不會自動重新加密以舊金鑰版本加密的資料。詳情請參閱「重新加密資料」。輪替金鑰不會自動停用刪除現有金鑰版本。

停用或刪除 CMEK

如果不再需要 CMEK 或想停用,請刪除停用金鑰。刪除、停用金鑰或移除金鑰的 IAM 權限,也稱為撤銷金鑰。

金鑰撤銷對加密資源的影響

撤銷加密金鑰後,受該金鑰保護的資源會受到下列影響:

  • 如果 VM 連結的任何磁碟有遭撤銷的金鑰,該 VM 就無法啟動。
  • 如果使用金鑰的磁碟已連結至正在執行的 VM,且您已為該 VM 啟用「金鑰撤銷時關閉 VM」,Compute Engine 就會在 7 小時內關閉 VM。
  • 您無法將金鑰遭撤銷的磁碟連結至 VM,也無法從該磁碟建立快照。
  • 您無法使用以已撤銷金鑰加密的映像檔或快照建立磁碟。

如果您停用金鑰,只要再次啟用,就不會再有上述影響。請注意,金鑰一經刪除即無法復原。

在 Cloud KMS 金鑰遭撤銷時設定 VM 關機

您可以將 VM 設為在撤銷 Cloud KMS 金鑰時自動關機,該金鑰用於保護連結至 VM 的磁碟。如要撤銷金鑰,可以停用刪除金鑰。啟用這項設定後,VM 會在金鑰撤銷後的 7 小時內關閉。

如果重新啟用金鑰,您就能重新啟動 VM,並使用金鑰保護連結的磁碟。啟用金鑰後,VM 不會自動重新啟動。

控制台

如要將 VM 設為在 Cloud KMS 金鑰遭到撤銷時關機,請按照下列步驟操作:

  1. 開始建立 VM,其中包含受 Cloud KMS 金鑰保護的磁碟。
  2. 開啟「網路、磁碟、安全性、管理、單一用戶群」選單。
  3. 展開「管理」部分。
  4. 在「客戶自行管理的加密金鑰 (CMEK) 撤銷政策」下方,選取「關閉」

gcloud

使用 gcloud compute instances create 指令建立 VM,並加入 --key-revocation-action-type=stop

gcloud compute instances create VM_NAME \
  --image IMAGE \
  --key-revocation-action-type=stop

REST

使用 instances.insert 方法建立 VM,並將 "keyRevocationActionType" 屬性設為 "STOP"。下列範例會從公開映像檔建立 VM。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
  "machineType": "zones/MACHINE_TYPE_ZONE/machineTypes/MACHINE_TYPE",
  "name": "VM_NAME",
  "disks": [
    {
      "initializeParams": {
        "sourceImage": "projects/IMAGE_PROJECT/global/images/IMAGE"
      },
      "boot": true
    }
  ],
  "keyRevocationActionType": "STOP"
}

或者,您也可以使用 Google Cloud CLI 或 REST,設定執行個體範本,建立在金鑰撤銷時關閉的 VM。

控制台

您可以透過執行個體範本建立 VM,在 Cloud KMS 金鑰遭到撤銷時關閉 VM。

  1. 開始建立新的執行個體範本,其中包含受 Cloud KMS 金鑰保護的磁碟。
  2. 開啟「網路、磁碟、安全性、管理、單一用戶群」選單。
  3. 展開「管理」部分。
  4. 在「客戶自行管理的加密金鑰 (CMEK) 撤銷政策」下方,選取「關閉」

gcloud

使用 gcloud compute instance-templates create 指令建立執行個體範本,並加入 --key-revocation-action-type=stop

gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \
  --key-revocation-action-type=stop

REST

instanceTemplates.insert 方法建構 POST 要求。您必須在要求主體中明確定義所有必要的設定欄位。如要讓透過這個範本建立的 VM 在金鑰遭撤銷時關機,請指定 "keyRevocationActionType":"STOP"。舉例來說,包含最少必要欄位的執行個體範本如下,這個範本會建立在金鑰撤銷時關閉的 VM:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instanceTemplates

{
  "name": "example-template",
  "properties": {
  "machineType": "e2-standard-4",
  "networkInterfaces": [
    {
      "network": "global/networks/default",
      "accessConfigs": [
        {
          "name": "external-IP",
          "type": "ONE_TO_ONE_NAT"
        }
      ]
    }
  ],
  "disks":
  [
    {
      "type": "PERSISTENT",
      "boot": true,
      "mode": "READ_WRITE",
      "initializeParams":
      {
        "sourceImage": "projects/debian-cloud/global/images/family/debian-11"
      }
    }
  ],
  "keyRevocationActionType": "STOP"
  }
}

建立設定為在 Cloud KMS 撤銷時關閉的 VM 後,請建立連結以 Cloud KMS 金鑰加密的永久磁碟。