In Compute Engine werden inaktive Kundeninhalte standardmäßig verschlüsselt. Diese Verschlüsselung wird von Compute Engine durchgeführt und verwaltet. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird als von Google verwaltete Verschlüsselung bezeichnet.
Mit Schlüsselverschlüsselungsschlüsseln können Sie die Verschlüsselung anpassen, die Compute Engine für Ihre Ressourcen verwendet. Schlüsselverschlüsselungsschlüssel verschlüsseln nicht direkt Ihre Daten, sondern die von Google generierten Schlüssel, die Compute Engine zum Verschlüsseln Ihrer Daten verwendet.
Sie haben zwei Möglichkeiten, Schlüsselverschlüsselungsschlüssel bereitzustellen:
Empfohlen. Mit dem Cloud Key Management Service (Cloud KMS) in Compute Engine können Sie Schlüsselverschlüsselungsschlüssel erstellen und verwalten.
Vom Cloud Key Management Service verwaltete Schlüssel werden als vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) bezeichnet. Nachdem Sie einen Schlüssel erstellt haben, können Sie ihn als Schlüsselverschlüsselungsschlüssel eines Laufwerks verwenden.
Sie können CMEKs direkt erstellen oder sie mit Cloud KMS Autokey automatisch erstellen. Weitere Informationen finden Sie unter Cloud KMS mit Autokey.
In den meisten Fällen müssen Sie den Schlüssel nach dem Erstellen eines CMEK-verschlüsselten Laufwerks nicht angeben, wenn Sie mit dem Laufwerk arbeiten, da Cloud Key Management Service weiß, welchen Schlüssel Sie verwendet haben. Eine Ausnahme besteht darin, ein Laufwerk aus einem CMEK-verschlüsselten Instant Snapshot zu erstellen.
Sie können Ihre eigenen Schlüsselverschlüsselungsschlüssel außerhalb von Compute Engine verwalten und den Schlüssel beim Erstellen oder Verwalten eines Laufwerks bereitstellen. Diese Option wird als vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs) bezeichnet. Wenn Sie CSEK-verschlüsselte Ressourcen verwalten, müssen Sie immer den Schlüssel angeben, den Sie beim Verschlüsseln der Ressource verwendet haben.
Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel und Vom Kunden bereitgestellte Verschlüsselungsschlüssel.
Unterstützte Laufwerktypen
In diesem Abschnitt werden die unterstützten Verschlüsselungstypen für Laufwerke und andere Speicheroptionen aufgeführt, die von Compute Engine angeboten werden.
Persistent Disk-Volumes unterstützen die Standardverschlüsselung von Google, CMEKs und CSEKs.
Google Cloud Hyperdisk unterstützt CMEKs und die Standardverschlüsselung von Google. Sie können keine CSEKs zum Verschlüsseln von Hyperdisks verwenden.
Lokale SSD-Laufwerke unterstützen nur die Standardverschlüsselung von Google. Sie können keine CSEKs oder CMEKs zum Verschlüsseln lokaler SSD-Laufwerke verwenden.
Laufwerksklone und Maschinen-Images unterstützen die Standardverschlüsselung von Google, CMEKs und CSEKs.
Standard-Snapshots und Instant Snapshot unterstützen die Standardverschlüsselung von Google, CMEKs und CSEKs.
Laufwerke mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Weitere Informationen zur Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) zum Verschlüsseln von Laufwerken und anderen Compute Engine-Ressourcen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.
Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln
Informationen zum Verschlüsseln von Laufwerken und anderen Compute Engine-Ressourcen mithilfe von vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) finden Sie unter Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln.
Informationen zur Verschlüsselung eines Laufwerks aufrufen
Laufwerke in Compute Engine werden entweder mit von Google verwalteten, vom Kunden verwalteten oder mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsselt. Die von Google verwaltete Verschlüsselung ist die Standardeinstellung.
Zum Aufrufen des Verschlüsselungstyps eines Laufwerks können Sie die gcloud CLI, die Google Cloud Console oder die Compute Engine API verwenden.
Console
Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.
Klicken Sie in der Spalte Name auf den Namen des Laufwerks.
In der Tabelle Attribute, gibt die Zeile mit der Bezeichnung Verschlüsselung den Typ der Verschlüsselung an: von Google verwaltet, vom Kunden verwaltet oder vom Kunden bereitgestellt.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie folgenden
gcloud compute disks describe
-Befehl aus:gcloud compute disks describe DISK_NAME \ --zone=ZONE \ --format="json(diskEncryptionKey)"
Ersetzen Sie Folgendes:
PROJECT_ID
: durch Ihre Projekt-ID.ZONE
: durch die Zone, in der sich der nichtflüchtige Speicher befindet.DISK_NAME
: der Name des LaufwerksBefehlsausgabe
Wenn die Ausgabe
null
ist, verwendet das Laufwerk die von Google verwaltete Verschlüsselung, die die Standardeinstellung ist.Andernfalls ist die Ausgabe ein JSON-Objekt.
Wenn das JSON-Objekt ein Feld namens
diskEncryptionKey
enthält, wird das Laufwerk verschlüsselt. Das ObjektdiskEncryptionKey
enthält Informationen darüber, ob das Laufwerk CMEK- oder CSEK-verschlüsselt ist:- Wenn das Attribut
diskEncryptionKey.kmsKeyName
vorhanden ist, ist das Laufwerk CMEK-verschlüsselt. Das AttributkmsKeyName
gibt den Namen des spezifischen Schlüssels an, der zum Verschlüsseln des Laufwerks verwendet wurde:{ "diskEncryptionKey": { "kmsKeyName": "projects/my-proj/.." } }
- Wenn das Attribut
diskEncryptionKey.sha256
vorhanden ist, ist das Laufwerk CSEK-verschlüsselt. Das Attributsha256
ist der SHA-256-Hash des vom Kunden bereitgestellten Verschlüsselungsschlüssels, mit dem das Laufwerk geschützt wird.{ "diskEncryptionKey": { "sha256": "abcdefghijk134560459345dssfd" } }
- Wenn das Attribut
API
Stellen Sie eine POST
-Anfrage an die Methode compute.disks.get
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: durch Ihre Projekt-ID.ZONE
: durch die Zone, in der sich der nichtflüchtige Speicher befindet.DISK_NAME
: Name des Laufwerks
Anfrageantwort
Wenn die Antwort null
lautet, verwendet das Laufwerk die von Google verwaltete Verschlüsselung. Dies ist die Standardeinstellung.
Andernfalls ist die Antwort ein JSON-Objekt.
Wenn das JSON-Objekt ein Feld namens diskEncryptionKey
enthält, wird das Laufwerk verschlüsselt.
Das Objekt diskEncryptionKey
enthält Informationen darüber, ob das Laufwerk CMEK- oder CSEK-verschlüsselt ist:
- Wenn das Attribut
diskEncryptionKey.kmsKeyName
vorhanden ist, ist das Laufwerk CMEK-verschlüsselt. Das AttributkmsKeyName
gibt den Namen des spezifischen Schlüssels an, der zum Verschlüsseln des Laufwerks verwendet wurde:{ "diskEncryptionKey": { "kmsKeyName": "projects/my-proj/.." } }
- Wenn das Attribut
diskEncryptionKey.sha256
vorhanden ist, ist das Laufwerk CSEK-verschlüsselt. Das Attributsha256
ist der SHA-256-Hash des vom Kunden bereitgestellten Verschlüsselungsschlüssels, mit dem das Laufwerk geschützt wird.{ "diskEncryptionKey": { "sha256": "abcdefghijk134560459345dssfd" } }
Wenn das Laufwerk CMEK-Verschlüsselung verwendet, können Sie detaillierte Informationen über den Schlüssel, den Schlüsselbund und den Speicherort finden, indem Sie die Schritte unter Schlüssel nach Projekt ansehen ausführen.
Wenn das Laufwerk die CSEK-Verschlüsselung verwendet, wenden Sie sich an den Administrator Ihrer Organisation, um Details zum Schlüssel zu erhalten. Mit CMEK können Sie auch sehen, welche Ressourcen durch den Schlüssel durch Tracking der Schlüsselnutzung geschützt werden. Weitere Informationen finden Sie unter Schlüsselnutzung aufrufen.
Nächste Schritte
- Informationen zum Automatisieren der Erstellung von CMEKs finden Sie unter Cloud KMS mit Autokey (Vorschau).
- Informationen zum Erstellen von CMEKs finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen.
- Laufwerk mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsseln
- Weitere Informationen zu Format und Spezifikation für CSEKs.