使用 KMS Autopilot 自动预配和分配客户管理的加密密钥。非公开预览版已推出。立即注册
跳转到
Cloud Key Management

Cloud Key Management

在 Google Cloud 上管理加密密钥。

  • 实现规模灵活、集中化的快速云端密钥管理

  • 帮助满足合规性、隐私权和安全性需求

  • 轻松为您最敏感的数据采用硬件安全模块 (HSM)

  • 使用外部 KMS 保护您在 Google Cloud 中的数据,并将数据与密钥相隔离

  • 根据清晰准确的理由批准或拒绝任何对您的加密密钥的请求

优势

在全球规模保障安全

借力于 Google 的全球网络拓展您应用的覆盖面,同时让 Google 负责密钥管理事宜,包括管理冗余、延迟时间和数据驻留等问题。

帮助满足合规性要求

使用由软件支持的加密密钥、经 FIPS 140-2 3 级验证的 HSM、客户提供的密钥或 External Key Manager 轻松加密云中的数据。

充分利用 Google Cloud 产品集成功能

使用 CMEK 控制跨多种 Google Cloud 产品的数据加密,同时受益于 Google Cloud IAM 和审核日志等其他安全功能。

主要特性

核心功能

集中管理加密密钥

这是一项在云端托管的密钥管理服务,使您可以像在本地一样为云服务管理对称和非对称加密密钥。您可以生成、使用、轮替和销毁 AES256、RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 加密密钥。

利用 HSM 实现硬件密钥安全

只需点击一个按钮,就可切换使用软件保护的加密密钥与硬件保护的加密密钥。在经 FIPS 140-2 3 级验证的 HSM 中托管加密密钥以及执行加密操作。借助这项全代管式服务,您可以保护最敏感的工作负载,而无需操心管理 HSM 集群的运营开销。

利用 EKM 提供对外部密钥的支持

使用部署在 Google 基础架构之外的第三方密钥管理系统中存储和管理的加密密钥来加密集成的 Google 服务中的数据。使用 External Key Manager,您可以隔离存储中的数据与加密密钥,同时仍可利用云的各项功能进行计算和分析。

完全控制对您的数据的访问权限

Key Access Justifications 与 Cloud EKM 搭配使用,大幅提高了您对数据的控制力。它是唯一一款具备以下功能的产品:让您能够清晰了解对加密密钥的每一个请求、该请求的理由,并提供在该请求的情境下批准或拒绝解密的机制。这些控制功能由 Google 的完整性承诺范围涵盖。

查看所有功能

文档

文档

Google Cloud Basics

Cloud Key Management Service 文档

了解如何在单个集中式云服务中创建、导入和管理加密密钥以及执行加密操作。
Google Cloud Basics

Cloud HSM 文档

概要了解 Cloud HSM,了解如何在 Cloud Key Management Service 中创建和使用由 HSM 保护的加密密钥。
Google Cloud Basics

Cloud External Key Manager 文档

查看 Cloud External Key Manager (Cloud EKM) 的概览。
Whitepaper

Cloud Key Management Service 深度解释

详细了解 Cloud KMS 平台的内部工作原理,以及该平台如何帮助您保护 Google Cloud 中存储的密钥和其他敏感数据。

Best Practice

搭配使用 CMEK 与 GKE

了解如何在 Google Kubernetes Engine (GKE) 上使用 CMEK。
Google Cloud Basics

搭配使用 CMEK 与 Cloud SQL

利用 CMEK 功能,您可以为存储在 Cloud SQL(包括 MySQL、PostgreSQL 和 SQL Server)中的静态数据使用自己的加密密钥。
Google Cloud Basics

搭配使用 CMEK 与 Dataproc

了解如何使用 CMEK 加密与 Dataproc 集群中的虚拟机关联的永久性磁盘中的数据和/或集群元数据。
Google Cloud Basics

搭配使用 CMEK 与 Data Fusion

了解 CMEK 如何为 Cloud Data Fusion 流水线写入的数据提供用户控制机制。

没有看到您需要的内容?

使用场景

使用场景

使用场景
支持法规合规性

Cloud KMS 搭配 Cloud HSM 及 Cloud EKM,支持需要特定密钥管理程序和技术的多种合规性要求。它采用可伸缩的云原生方式实现这一目的,并且不会削弱云实现的敏捷性。各种必须遵守的合规性要求包括使用硬件加密 (HSM)、密钥与数据隔离 (EKM),或者安全地处理密钥(KMS 整体)。密钥管理符合 FIPS 140-2 要求。

使用场景
通过安全的硬件管理加密密钥

需要遵守合规性法规的客户可能需要在经 FIPS 140-2 3 级验证的设备中存储其密钥以及执行加密操作。如果客户能够在经 FIPS 验证的 HSM 中存储其密钥,便能够满足其监管机构的要求并在云端维护合规性。对于那些希望能保证云服务提供商无法看到或者导出密钥材料的客户而言,这同样至关重要。

使用场景
在云之外管理加密密钥

受法规或地区级安全要求约束的客户需要采用云计算,同时将加密密钥保留在自己的管辖范围内。External Key Manager 使他们能够隔离存储中的数据与加密密钥,同时仍能利用云的各项功能进行计算和分析。这是通过完全了解谁可以访问密钥、何时使用了密钥以及密钥位于何处实现的。

EKM 参考架构:密钥流从 Google Cloud 用户到 BigQuery 和 Compute Engine,然后三者均依次流经密钥管理工具 Key Management Service 和 External Key Manager Service,最后流入第三方密钥管理器 External Key Manager。
使用场景
Key Access Justifications 和 EKM 数据流

Key Access Justifications 使 Google Cloud 客户能够清晰了解对加密密钥的每一个请求、该请求的理由,并提供在该请求的情境下批准或拒绝解密的机制。这些用例重点关注数据访问权限的实施和可见性。

KAJ 图表:左侧的灰色矩形显示“External Key Manager 加密后的访问”和四个堆叠的框:客户访问、管理员访问、二进制访问和客户数据(加密)。前三个流经过“示例理由”列,这 3 个流分别标记为 (1) CUSTOMER_INITIATED_ACCESS,(2) CUSTOMER_INITIATED_SUPPORT、GOOGLE_INITIATED_SERVICE、THIRD_PARTY_DATA_REQUEST、GOOGLE_INITIATED_REVIEW 和 (3) GOOGLE_INITIATED_SYSTEM_OPERATION。这 3 个流最终进入“客户”列中的“客户的外部密钥管理器”框。
使用场景
广泛的数据加密

使用外部密钥管理解决方案以无缝方式加密发送到云端的数据,这样一来,只有机密虚拟机服务才能解密和计算数据。

外部密钥管理器解密后,从左到右的访问流程。客户外部密钥管理器的客户访问流程。客户 EKM 的管理访问(客户发起的支持、Google 发起的服务、第三方数据请求或 Google 发起的审核)流程。客户 EKM 的二进制访问(Google 发起的系统操作)流程。加密的客户数据保持未访问状态。

所有特性

所有特性

支持对称和不对称密钥
Cloud KMS 支持创建、使用、轮替、自动轮替和销毁 AES256 对称加密密钥,以及 RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 不对称加密密钥。利用 HSM,通过 AES-256 对称加密密钥和 RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 不对称加密密钥进行加密、解密和签名。
使用 EKM 创建外部密钥
使用以下任一外部密钥管理器生成您的外部密钥:Equinix、Fortanix、Ionic、Thales、Unbound。关联外部密钥与 Cloud KMS 后,您可以用它来保护 BigQuery 和 Compute Engine 中的静态数据。
密钥销毁延迟
Cloud KMS 为密钥材料销毁内置了 24 小时的延迟,以防止意外丢失数据或因恶意行为而丢失数据。
通过 API 进行加密和解密
Cloud KMS 是一种 REST API,可使用密钥对数据进行加密、解密或签名(例如对存储的数据使用密文)。
全球高可用性
Cloud KMS 在全球多个位置提供跨多个地区的服务,方便您将服务置于所需位置以缩短延迟时间、提高可用性。
自动轮替和按需轮替
Cloud KMS 允许您为对称密钥设置轮替时间表,从而以固定的时间间隔自动生成新的密钥版本。一个对称密钥在任何时间都可存在多个有效版本以用于解密,但只有一个主密钥版本用于加密新数据。使用 EKM,直接从 Cloud KSM 控制台创建外部管理的密钥。
使用 HSM 进行语句证明
利用 Cloud HSM,通过为密钥创建操作生成的证明令牌验证密钥是在 HSM 中创建的。
与 GKE 集成
在 GKE 中利用您在 Cloud KMS 中管理的密钥,实现应用层 Kubernetes secret 加密。此外,您可以使用 Secret Manager 存储系统来存储 API 密钥、密码、证书和其他敏感数据。
隔离密钥与数据
隔离存储中的数据和加密密钥,同时仍可利用云的各项功能进行计算和分析。
密钥数据驻留
如果使用 Cloud KMS,您的加密密钥将与您部署的资源存储于同一地区。您也可以将这些密钥存储在位于您使用 Cloud HSM 选择的地区中的物理硬件安全模块中。
密钥导入
您可能正在使用在本地或外部密钥管理系统中创建的现有加密密钥。您可以将它们导入至 Cloud HSM 密钥,或将软件密钥导入至 Cloud KMS。
正当访问
利用 Key Access Justifications,对于每一个会将您的数据从“存储中”状态更改为“使用中”状态的解密请求,都获知清晰的理由。
自动执行政策
Key Access Justifications 使您可以设置自动执行的政策,根据特定的理由批准或拒绝对密钥的访问。Google Cloud 技术合作伙伴提供的外部密钥管理器会处理好其余工作。
完整性承诺
Key Access Justifications 提供的控制措施由 Google 的完整性承诺范围涵盖,因此您尽可放心无忧。

价格

价格

Cloud Key Management Service 按使用量收费,但针对以下产品的价格各不相同:Cloud Key Management Service、Cloud External Key Manager、Cloud HSM。

产品
价格(美元)
Cloud KMS:活跃密钥版本
每月 $0.06
Cloud KMS:密钥使用操作(加密/解密)
每 10000 次操作 $0.03
Cloud KMS:密钥管理操作
免费
Cloud HSM:密钥版本(AES256、RSA2048)
每月 $1.00
Cloud HSM:密钥版本(RSA 3072、RSA 4096)

0-2,000 个密钥版本:每月 $2.50

2,001 及更多个密钥版本:每月 $1.00

Cloud HSM:密钥版本(EC P256、EC P384)

0-2,000 个密钥版本:每月 $2.50

2,001 及更多个密钥版本:每月 $1.00

Cloud EKM:密钥版本
每月 $3.00
Cloud EKM:密钥使用操作
每 10000 次操作 $0.03

如果您使用非美元货币付费,请参阅 Google Cloud SKU 上以您的币种列出的价格。

合作伙伴

合作伙伴

通过以下行业领先的密钥管理供应商之一实现 External Key Manager。

更进一步

获享 $300 赠金以及 20 多种提供“始终免费”用量的产品,开始在 Google Cloud 上构建项目。

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
控制台
  • 利用我们透明的定价方法节省资金
  • Google Cloud 的随用随付价格方案会根据预付费资源的每月用量和折扣费率自动为您节省费用。请立即联系我们,获取报价。
Google Cloud