A API de módulos de segurança de hardware (HSM) fornece os recursos que o administrador da plataforma (PA) usa para controlar as chaves de segurança na respetiva organização. Os sistemas de armazenamento no Google Distributed Cloud (GDC) isolados, como as chaves de servidor para encriptação de disco e o software de gestão de dados de armazenamento para armazenamento de blocos, criam as chaves e representam-nas como recursos.
O PA vê as chaves, extrai os respetivos registos de auditoria e elimina-os para apagar o gráfico de dados graficamente. O PA não pode criar chaves diretamente. Os sistemas de armazenamento criam-nos conforme necessário.
O GDC encripta todos os dados em repouso. Usa o HSM para todos os dados em repouso e todos os servidores. Uma vez que tem acesso ao recurso para chaves, pode gerir as chaves que protegem os seus dados em repouso. Para mais detalhes sobre a encriptação no GDC, consulte o artigo Encriptação em repouso.
Ponto final do serviço e documento de descoberta
Use o comando kubectl proxy para aceder ao seguinte ponto final da API HSM no seu navegador e obter o documento de deteção para a API KMS:
https://MANAGEMENT_API_SERVER_ENDPOINT/apis/hsm.gdc.goog/v1
Substitua MANAGEMENT_API_SERVER_ENDPOINT pelo ponto final do servidor da API Management.
O comando kubectl proxy abre um proxy para o servidor da API Kubernetes na sua máquina local. Quando o comando estiver em execução, aceda ao documento através do seguinte URL:
http://127.0.0.1:8001/apis/hsm.gdc.goog/v1