Diese Seite wurde von der Cloud Translation API übersetzt.

Informationen zur Laufwerksverschlüsselung

In Compute Engine werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Compute Engine durchgeführt. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Sie können die Verschlüsselung, die die Compute Engine für Ihre Ressourcen verwendet, jedoch anpassen, indem Sie Schlüsselverschlüsselungsschlüssel (KEKs) angeben. Schlüsselverschlüsselungsschlüssel verschlüsseln nicht direkt Ihre Daten, sondern die von Google generierten Schlüssel, die die Compute Engine zum Verschlüsseln Ihrer Daten verwendet.

Sie haben zwei Möglichkeiten, Schlüsselverschlüsselungsschlüssel bereitzustellen:

Empfohlen. Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Cloud KMS mit der Compute Engine. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Sie können CMEKs manuell erstellen oder Cloud KMS Autokey verwenden, um sie automatisch in Ihrem Namen erstellen zu lassen.

In den meisten Fällen müssen Sie nach dem Erstellen eines CMEK-verschlüsselten Laufwerks den Schlüssel nicht angeben, wenn Sie mit dem Laufwerk arbeiten.
Sie können Ihre eigenen Verschlüsselungsschlüssel außerhalb der Compute Engine verwalten und den Schlüssel angeben, wenn Sie ein Laufwerk erstellen oder verwalten. Diese Option wird als vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs) bezeichnet. Wenn Sie mit CSEK-verschlüsselten Ressourcen arbeiten, müssen Sie immer den Schlüssel angeben, den Sie bei der Verschlüsselung der Ressource verwendet haben.

Weitere Informationen zu den einzelnen Verschlüsselungstypen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel und Vom Kunden bereitgestellte Verschlüsselungsschlüssel.

Wenn Sie Ihren Hyperdisk Balanced-Laufwerken eine zusätzliche Sicherheitsebene hinzufügen möchten, aktivieren Sie den Vertraulichen Modus. Im vertraulichen Modus werden Ihre Hyperdisk Balanced-Laufwerke hardwarebasiert verschlüsselt.

Unterstützte Laufwerktypen

In diesem Abschnitt werden die unterstützten Verschlüsselungstypen für Laufwerke und andere Speicheroptionen aufgeführt, die von der Compute Engine angeboten werden.

Persistent Disk-Volumes unterstützen die Standardverschlüsselung von Google, CMEKs und CSEKs.
Google Cloud Hyperdisk unterstützt CMEKs und die Standardverschlüsselung von Google. Sie können CSEKs nicht zum Verschlüsseln von Hyperdisks verwenden.
Lokale SSD-Laufwerke unterstützen nur die Standardverschlüsselung von Google. Sie können keine CSEKs oder CMEKs zum Verschlüsseln lokaler SSD-Laufwerke verwenden.
Laufwerkskopien und Maschinen-Images unterstützen die Standardverschlüsselung von Google, CMEKs und CSEKs.
Standard-Snapshots und Instant Snapshots unterstützen die Standardverschlüsselung von Google, CMEKs und CSEKs.

CMEK mit Cloud KMS Autokey

Wenn Sie Cloud KMS-Schlüssel zum Schutz Ihrer Compute Engine-Ressourcen verwenden möchten, können Sie CMEKs entweder manuell erstellen oder Cloud KMS Autokey verwenden. Mit Autokey werden Schlüsselringe und Schlüssel bei der Ressourcenerstellung in der Compute Engine auf Anfrage generiert. Falls noch nicht vorhanden, werden Dienst-Agenten erstellt, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden. Sie erhalten dann die erforderlichen IAM-Rollen (Identity and Access Management). Weitere Informationen finden Sie unter Übersicht: Autokey.

Informationen zum Schutz Ihrer Compute Engine-Ressourcen mit CMEKs, die von Cloud KMS Autokey erstellt wurden, finden Sie unter Autokey mit Compute Engine-Ressourcen verwenden.

Snapshots

Wenn Sie Autokey zum Erstellen von Schlüsseln zum Schutz Ihrer Compute Engine-Ressourcen verwenden, erstellt Autokey keine neuen Schlüssel für Snapshots. Sie müssen einen Snapshot mit demselben Schlüssel verschlüsseln, der auch zum Verschlüsseln des Quelllaufwerks verwendet wurde. Wenn Sie einen Snapshot mit der Google Cloud Console erstellen, wird der vom Laufwerk verwendete Verschlüsselungsschlüssel automatisch auf den Snapshot angewendet. Wenn Sie einen Snapshot mit der gcloud CLI, Terraform oder der Compute Engine API erstellen, müssen Sie die Ressourcen-ID des Schlüssels abrufen, mit dem das Laufwerk verschlüsselt wurde, und dann den Snapshot mit diesem Schlüssel verschlüsseln.

Laufwerke mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln

Weitere Informationen zum Verschlüsseln von Laufwerken und anderen Compute Engine-Ressourcen mit manuell erstellten vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.

Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln

Informationen zum Verschlüsseln von Laufwerken und anderen Compute Engine-Ressourcen mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln finden Sie unter Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln.

Informationen zur Verschlüsselung eines Laufwerks ansehen

Laufwerke in der Compute Engine werden entweder mit von Google verwalteten, vom Kunden verwalteten oder vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsselt. Die von Google verwaltete Verschlüsselung ist die Standardeinstellung.

Sie können den Verschlüsselungstyp eines Laufwerks mit der gcloud CLI, der Google Cloud Console oder der Compute Engine API aufrufen.

Console

Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

Zur Seite „Laufwerke“
Klicken Sie in der Spalte Name auf den Namen des Laufwerks.
In der Tabelle Attribute, gibt die Zeile mit der Bezeichnung Verschlüsselung den Typ der Verschlüsselung an: von Google verwaltet, vom Kunden verwaltet oder vom Kunden bereitgestellt.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Führen Sie folgenden gcloud compute disks describe-Befehl aus:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Ersetzen Sie Folgendes:
- PROJECT_ID: durch Ihre Projekt-ID.
- ZONE: durch die Zone, in der sich der nichtflüchtige Speicher befindet.
- DISK_NAME: der Name des Laufwerks
  
  Befehlsausgabe
  
  Wenn die Ausgabe null ist, wird für das Laufwerk die von Google verwaltete Verschlüsselung verwendet.
  
  Andernfalls ist die Ausgabe ein JSON-Objekt.
  
  Wenn das JSON-Objekt ein Feld namens diskEncryptionKey enthält, ist das Laufwerk verschlüsselt. Das diskEncryptionKey-Objekt enthält Informationen dazu, ob das Laufwerk CMEK- oder CSEK-verschlüsselt ist:
  - Wenn das Attribut diskEncryptionKey.kmsKeyName vorhanden ist, ist das Laufwerk CMEK-verschlüsselt. Die Eigenschaft kmsKeyName gibt den Namen des Schlüssels an, der für die Verschlüsselung des Laufwerks verwendet wird:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Wenn das Attribut diskEncryptionKey.sha256 vorhanden ist, ist das Laufwerk CSEK-verschlüsselt. Die sha256-Eigenschaft ist der SHA-256-Hash des vom Kunden bereitgestellten Verschlüsselungsschlüssels, mit dem das Laufwerk geschützt wird.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

API

Stellen Sie eine POST-Anfrage an die Methode compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: durch Ihre Projekt-ID.
ZONE: durch die Zone, in der sich der nichtflüchtige Speicher befindet.
DISK_NAME: Name des Laufwerks

Anfrageantwort

Wenn die Antwort null ist, wird für das Laufwerk die von Google verwaltete Verschlüsselung verwendet.

Andernfalls ist die Antwort ein JSON-Objekt.

Wenn das JSON-Objekt ein Feld namens diskEncryptionKey enthält, ist das Laufwerk verschlüsselt. Das diskEncryptionKey-Objekt enthält Informationen dazu, ob das Laufwerk CMEK- oder CSEK-verschlüsselt ist:

Wenn das Attribut diskEncryptionKey.kmsKeyName vorhanden ist, ist das Laufwerk CMEK-verschlüsselt. Die Eigenschaft kmsKeyName gibt den Namen des Schlüssels an, der für die Verschlüsselung des Laufwerks verwendet wird:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Wenn das Attribut diskEncryptionKey.sha256 vorhanden ist, ist das Laufwerk CSEK-verschlüsselt. Die sha256-Eigenschaft ist der SHA-256-Hash des vom Kunden bereitgestellten Verschlüsselungsschlüssels, mit dem das Laufwerk geschützt wird.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Wenn das Laufwerk CMEK-Verschlüsselung verwendet, können Sie detaillierte Informationen über den Schlüssel, den Schlüsselbund und den Speicherort finden, indem Sie die Schritte unter Schlüssel nach Projekt ansehen ausführen.

Wenn das Laufwerk CSEK-Verschlüsselung verwendet, wenden Sie sich an den Administrator Ihrer Organisation, um Details zum Schlüssel zu erhalten. Mit CMEK können Sie auch mithilfe des Trackings der Schlüsselnutzung sehen, welche Ressourcen mit diesem Schlüssel geschützt werden. Weitere Informationen finden Sie unter Nutzung von Schlüsseln ansehen.

Vertraulicher Modus für Hyperdisk Balanced

Wenn Sie Confidential Computing verwenden, können Sie die hardwarebasierte Verschlüsselung auf Ihre Hyperdisk Balanced-Volumes ausweiten, indem Sie den vertraulichen Modus aktivieren.

Mit dem Modus „Vertraulich“ für Ihre Hyperdisk Balanced-Volumes können Sie zusätzliche Sicherheit aktivieren, ohne die Anwendung neu strukturieren zu müssen. Der vertrauliche Modus ist eine Eigenschaft, die Sie beim Erstellen eines neuen Hyperdisk Balanced-Volumes angeben können.

Hyperdisk Balanced-Volumes im Modus „Vertraulich“ können nur mit Confidential VMs verwendet werden.

Informationen zum Erstellen eines Hyperdisk Balanced-Volumes im vertraulichen Modus finden Sie unter Vertraulichen Modus für Hyperdisk Balanced-Volumes aktivieren.

Unterstützte Maschinentypen für Hyperdisk Balanced-Volumes im vertraulichen Modus

Hyperdisk Balanced-Volumes im vertraulichen Modus können nur mit Confidential VMs verwendet werden, die den N2D-Maschinentyp verwenden.

Unterstützte Regionen für Hyperdisk Balanced-Volumes im vertraulichen Modus

Der vertrauliche Modus für Hyperdisk Balanced-Volumes ist in den folgenden Regionen verfügbar:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Einschränkungen für Hyperdisk Balanced-Volumes im vertraulichen Modus

Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML und Hyperdisk Balanced High Availability unterstützen den Modus „Vertraulich“ nicht.
Sie können eine VM, die Hyperdisk Balanced-Volumes im Vertraulichen Modus verwendet, nicht anhalten oder fortsetzen.
Sie können Hyperdisk Storage Pools nicht mit Hyperdisk Balanced-Volumes im vertraulichen Modus verwenden.
Sie können kein Maschinen-Image oder benutzerdefiniertes Image aus einem Hyperdisk Balanced-Volume im Modus „Vertraulich“ erstellen.

Nächste Schritte

Informationen zum Automatisieren der Erstellung von CMEKs finden Sie unter Cloud KMS mit Autokey (Vorschau).
Informationen zum Erstellen von CMEKs finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen.
Laufwerk mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln
Informationen zum Erstellen eines Hyperdisk Balanced-Volumes im vertraulichen Modus finden Sie unter Vertraulichen Modus für Hyperdisk Balanced-Volumes aktivieren.
Weitere Informationen zu Format und Spezifikation für CSEKs.