Hardwaresicherheitsmodule – API-Übersicht

Die HSM-API (Hardware Security Modules) bietet die Ressourcen, mit denen der Plattformadministrator (PA) die Sicherheitsschlüssel in seiner Organisation steuern kann. Speichersysteme in Google Distributed Cloud (GDC) Air-Gapped, z. B. Serverschlüssel für die Festplattenverschlüsselung und Software zur Verwaltung von Speicherdaten für Blockspeicher, erstellen die Schlüssel und stellen sie als Ressourcen dar.

Der PA ruft die Schlüssel ab, zieht die zugehörigen Audit-Logs und löscht sie, um Daten grafisch zu löschen. Der PA kann keine Schlüssel direkt erstellen. Die Speichersysteme erstellen sie nach Bedarf.

GDC verschlüsselt alle inaktiven Daten. Das HSM wird für alle inaktiven Daten und alle Server verwendet. Da Sie Zugriff auf die Ressourcen für Schlüssel haben, können Sie die Schlüssel verwalten, mit denen Ihre ruhenden Daten geschützt werden. Weitere Informationen zur Verschlüsselung in GDC finden Sie unter Verschlüsselung inaktiver Daten.

Dienstendpunkt und Discovery-Dokument

Verwenden Sie den Befehl kubectl proxy, um in Ihrem Browser auf den folgenden HSM API-Endpunkt zuzugreifen und das Discovery-Dokument für die KMS API abzurufen:

https://MANAGEMENT_API_SERVER_ENDPOINT/apis/hsm.gdc.goog/v1

Ersetzen Sie MANAGEMENT_API_SERVER_ENDPOINT durch den Endpunkt des Management API-Servers.

Mit dem Befehl kubectl proxy wird ein Proxy zum Kubernetes API-Server auf Ihrem lokalen Computer geöffnet. Während der Befehl ausgeführt wird, können Sie über die folgende URL auf das Dokument zugreifen:

http://127.0.0.1:8001/apis/hsm.gdc.goog/v1