Cloud Key Management Service

Verschlüsselungsschlüssel auf der Google Cloud Platform verwalten

Kostenlos testen

Kryptografische Schlüssel verwalten

Cloud KMS ist ein in der Cloud gehosteter Schlüsselverwaltungsdienst, der es Ihnen möglich macht, kryptografische Schlüssel Ihrer Clouddienste genauso wie lokal zu verwalten. Sie können kryptografische Schlüssel der Varianten AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 und EC P384 generieren, verwenden, rotieren und löschen. Cloud KMS ist in das Cloud-IAM- und Cloud-Audit-Logging integriert. Sie haben dadurch die Möglichkeit, Berechtigungen für einzelne Schlüssel zu verwalten und die Verwendung dieser Schlüssel zu überwachen. Mit Cloud KMS können Sie Secrets und andere sensible Daten auf der Google Cloud Platform schützen.

Skalierbar, automatisiert, schnell

Sie können Millionen von kryptografischen Schlüsseln verwalten und dabei detaillierte Vorgaben machen, wie Ihre Daten verschlüsselt werden sollen. Es besteht die Möglichkeit, die Schlüssel automatisch regelmäßig zu rotieren. Daten werden dann nur noch mit der jeweils gültigen Hauptversion verschlüsselt und die mit einem Schlüssel zugängliche Menge Daten eingeschränkt. Sie können beliebig viele aktive Schlüsselversionen verwalten. Dank niedriger Latenz können Sie jederzeit schnell auf Ihre Schlüssel zugreifen.

Verbesserte Verwaltung anhand der Schlüsselnutzung

Sie können auf der Nutzerebene Cloud IAM-Berechtigungen für individuelle Schlüssel verwalten und sowohl einzelnen Nutzern als auch Dienstkonten Zugriff gewähren. Mit Cloud-Audit-Logging lassen sich Administratoraktivitäten und Schlüsselnutzungslogs anzeigen. Sie können dabei Cloud KMS als zentralen Dienst nutzen, um den Zugriff auf Ihre sensibelsten Daten zu filtern. Die ordnungsgemäße Nutzung Ihrer Schlüssel überwachen Sie mit Logs.

Daten einfach verschlüsseln und signieren

Mit Cloud KMS können Sie Ihre Daten mit einem von Ihnen verwalteten symmetrischen oder asymmetrischen Schlüssel verschlüsseln – das ermöglicht besonders hohe Flexibilität. Außerdem können Sie zur Signatur sowohl RSA- als auch elliptische Kurven-Schlüssel mit unterschiedlicher Länge verwenden.

Umschlagverschlüsselung implementieren

Sie können in Cloud KMS eine Schlüsselhierarchie implementieren, indem Sie einen lokalen Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) durch einen Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) schützen. Dies ermöglicht es Ihnen, die verwendeten Schlüssel zum Verschlüsseln Ihrer Daten auf der Anwendungsebene, in Ihren Speichersystemen, bei Google oder an beliebigen anderen Orten zu verwalten.

Compliance-Anforderungen besser erfüllen

Mit Cloud KMS können Sie über vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) die Verschlüsselungsschlüssel verwalten, mit denen Sie sensible Daten auf der GCP schützen. Bei Complianceanforderungen, die vorschreiben, dass Schlüssel und kryptografische Operationen innerhalb einer Hardwareumgebung durchgeführt werden, ist es dank der Integration von Cloud KMS mit Cloud HSM ganz einfach, einen Schlüssel zu erstellen, der durch ein Gerät mit FIPS 140-2 Level 3 geschützt ist.

Vorteile von Cloud KMS

Kryptografische Schlüssel auf der Google Cloud Platform verwalten

Unterstützung von symmetrischen und asymmetrischen Schlüsseln
Mit Cloud KMS können Sie symmetrische kryptografische Schlüssel der Variante AES256 und asymmetrische Schlüssel der Varianten RSA 2048, RSA 3072, RSA 4096, EC P256 und EC P384 generieren, verwenden, rotieren, automatisch rotieren und löschen.
Ver- und Entschlüsselung über API
Cloud KMS ist eine REST-API. Zu speichernde Daten, wie etwa Secrets, können mit einem Schlüssel ver- oder entschlüsselt und signiert werden.
Manuelle und automatische Schlüsselrotation
Mit Cloud KMS können Sie einen Schlüssel manuell rotieren sowie einen Rotationsplan für symmetrische Schlüssel festlegen, sodass in festen Zeitabständen automatisch eine neue Schlüsselversion generiert wird. Es ist jederzeit möglich, mehrere Versionen eines symmetrischen Schlüssels für die Verschlüsselung zu aktivieren, wobei für neue Daten nur eine Primärschlüsselversion verwendet wird.
Verzögerte Schlüssellöschung
Schlüssel werden in Cloud KMS mit einer Verzögerung von 24 Stunden gelöscht, um einen versehentlichen oder durch böswillige Aktivitäten verursachten Datenverlust zu vermeiden.
Hohe globale Verfügbarkeit
Cloud KMS ist weltweit an mehreren Standorten und regionenübergreifend verfügbar. Sie können Ihren Dienst daher so platzieren, dass eine möglichst geringe Latenz und hohe Verfügbarkeit gegeben ist.

"Google ist transparent hinsichtlich seines Verschlüsselungsverfahrens und Cloud KMS vereinfacht das Umsetzen von Best Practices. Dank Funktionen wie der automatischen Schlüsselrotation können wir unsere Schlüssel regelmäßig automatisch und ohne Zeitaufwand rotieren, um unsere internen Compliance-Anforderungen zu erfüllen. Durch die geringe Latenz von Cloud KMS können wir den Dienst für häufig ausgeführte Vorgänge nutzen. So können wir außerdem den Umfang der zu verschlüsselnden Daten von sensiblen Daten auf Betriebsdaten erweitern, die nicht indexiert werden müssen."

– Leonard Austin, CTO bei Ravelin

Kosten von Cloud KMS

Die Cloud KMS-Preise umfassen einen Pauschalpreis für Schlüsselversionen und eine Nutzungsgebühr für Schlüsselvorgänge. Weitere Informationen

Schlüsselversionen Preis
Aktive Schlüsselversionen 0,06 $ pro Monat

Wenn Sie in einer anderen Währung als USD bezahlen, gelten die Preise, die in Cloud Platform SKUs in Ihrer Währung angegeben sind.

Schlüsselvorgänge Preis
Schlüsselnutzungsvorgänge (Ver-/Entschlüsseln) 0,03 $ pro 10.000 Vorgänge
Schlüsselverwaltungsvorgänge Kostenlos
Wenn Sie in einer anderen Währung als US-Dollar bezahlen, gelten die Preise, die in Cloud Platform SKUs in Ihrer Währung angegeben sind.

Feedback geben zu...