Cloud Key Management Service

Verschlüsselungsschlüssel auf der Google Cloud Platform verwalten

Dokumentation für dieses Produkt ansehen

Logo: Cloud KMS – Übersicht

Kryptografische Schlüssel verwalten

Cloud KMS ist ein in der Cloud gehosteter Schlüsselverwaltungsdienst, mit dem Sie kryptografische Schlüssel Ihrer Cloud-Dienste genauso wie lokal bei Ihnen vor Ort verwalten können. Sie können kryptografische Schlüssel der Varianten AES-256, RSA-2048, RSA-3072, RSA-4096, EC-P256 und EC-P384 erstellen, verwenden, rotieren und löschen. Cloud KMS ist in Cloud Identity and Access Management und Cloud-Audit-Logging eingebunden. So können Sie Berechtigungen für einzelne Schlüssel verwalten und die Verwendung der Schlüssel im Blick behalten. Mit Cloud KMS können Sie Secrets und andere sensible Daten auf der Google Cloud Platform schützen.

Symbol: Skalierbar, automatisiert, schnell

Skalierbar, automatisiert, schnell

Sie können Millionen von kryptografischen Schlüsseln verwalten und dabei detaillierte Vorgaben machen, wie Ihre Daten verschlüsselt werden sollen. Es besteht die Möglichkeit, die Schlüssel automatisch regelmäßig zu rotieren. Daten werden dann nur noch mit der jeweils gültigen Hauptversion verschlüsselt und die mit einem Schlüssel zugängliche Menge an Daten eingeschränkt. Sie können beliebig viele aktive Schlüsselversionen verwalten. Dank niedriger Latenz können Sie jederzeit schnell auf Ihre Schlüssel zugreifen.

Symbol: Verbesserte Verwaltung der Schlüsselnutzung

Verbesserte Verwaltung der Schlüsselnutzung

Sie können auf der Nutzerebene Cloud IAM-Berechtigungen für individuelle Schlüssel verwalten und sowohl einzelnen Nutzern als auch Dienstkonten Zugriff gewähren. Mit Cloud-Audit-Logging lassen sich Administratoraktivitäten und Schlüsselnutzungslogs aufrufen. Sie können dabei Cloud KMS als zentralen Dienst nutzen, um den Zugriff auf sensible Daten zu filtern. Die ordnungsgemäße Nutzung Ihrer Schlüssel überwachen Sie mit Logs.

Symbol: Daten einfach verschlüsseln und signieren

Daten einfach verschlüsseln und signieren

Mit Cloud KMS können Sie Ihre Daten wahlweise mit einem von Ihnen verwalteten symmetrischen oder asymmetrischen Schlüssel verschlüsseln. Außerdem können Sie zur Signatur sowohl RSA- als auch Elliptische-Kurven-Schlüssel mit unterschiedlicher Länge verwenden.

Symbol: Umschlagverschlüsselung implementieren

Umschlagverschlüsselung implementieren

Sie können in Cloud KMS eine Schlüsselhierarchie implementieren, indem Sie einen lokalen Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) durch einen Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) schützen. Dadurch können Sie die verwendeten Schlüssel zum Verschlüsseln Ihrer Daten auf der Anwendungsebene, in Ihren Speichersystemen, bei Google oder an beliebigen anderen Orten verwalten.

Symbol: Complianceanforderungen besser erfüllen

Complianceanforderungen besser erfüllen

Mit Cloud KMS können Sie über vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) die Verschlüsselungsschlüssel verwalten, mit denen Sie sensible Daten auf der GCP schützen. Bei Compliance-Anforderungen, die vorschreiben, dass Schlüssel- und kryptografische Vorgänge innerhalb einer Hardwareumgebung durchgeführt werden, ist es dank der Einbindung von Cloud KMS in Cloud HSM ganz einfach, einen Schlüssel zu erstellen, der durch ein Gerät mit FIPS 140-2 Level 3 geschützt ist.

Features

Unterstützung von symmetrischen und asymmetrischen Schlüsseln

Mit Cloud KMS können Sie symmetrische kryptografische Schlüssel der Variante AES-256 und asymmetrische Schlüssel der Varianten RSA-2048, RSA-3072, RSA-4096, EC-P256 und EC-P384 erzeugen, verwenden, rotieren, automatisch rotieren und löschen.

Verzögerte Schlüssellöschung

Schlüssel werden in Cloud KMS mit einer Verzögerung von 24 Stunden gelöscht, um einen versehentlichen oder durch böswillige Aktivitäten verursachten Datenverlust zu vermeiden.

Ver- und Entschlüsselung per API

Cloud KMS ist eine REST API. Zu speichernde Daten, wie etwa Secrets, können mit einem Schlüssel ver- oder entschlüsselt und signiert werden.

Hohe globale Verfügbarkeit

Cloud KMS ist weltweit an mehreren Standorten und regionenübergreifend verfügbar. Sie können Ihren Dienst daher so platzieren, dass eine möglichst geringe Latenz und hohe Verfügbarkeit gegeben ist.

Manuelle und automatische Schlüsselrotation

Mit Cloud KMS können Sie einen Schlüssel manuell rotieren sowie einen Rotationsplan für symmetrische Schlüssel festlegen, sodass in festen Zeitabständen automatisch eine neue Schlüsselversion generiert wird. Es ist jederzeit möglich, mehrere Versionen eines symmetrischen Schlüssels für die Entschlüsselung zu aktivieren. Für die Verschlüsselung neuer Daten wird nur eine Primärschlüsselversion verwendet.

Einbindung in GKE

Mit in Cloud KMS verwalteten Schlüsseln können Sie Kubernetes-Secrets auf der Anwendungsebene in GKE verschlüsseln.

Google ist hinsichtlich seines Verfahrens zur standardmäßigen Verschlüsselung transparent und Cloud KMS vereinfacht das Umsetzen von Best Practices. Dank Features wie der automatischen Schlüsselrotation können wir unsere Schlüssel regelmäßig automatisch und ohne Zeitaufwand rotieren, um unsere internen Complianceanforderungen zu erfüllen. Durch die geringe Latenz von Cloud KMS lässt sich der Dienst für häufig ausgeführte Vorgänge nutzen. Das ermöglicht uns außerdem, den Umfang der zu verschlüsselnden Daten von sensiblen Daten auf Betriebsdaten zu erweitern, die nicht indexiert werden müssen.

Leonard Austin, CTO, Ravelin

Ressourcen

Preise

Die Cloud KMS-Preise umfassen einen Pauschalpreis für Schlüsselversionen und eine Nutzungsgebühr für Schlüsselvorgänge. Weitere Informationen

Schlüsselversionen Preis
Aktive Schlüsselversionen 0,06 $ pro Monat

Wenn Sie in einer anderen Währung als US-Dollar bezahlen, gelten die Preise, die unter Cloud Platform SKUs für Ihre Währung angegeben sind.

Schlüsselvorgänge Preis
Schlüsselnutzungsvorgänge (Ver-/Entschlüsseln) 0,03 $ pro 10.000 Vorgänge
Schlüsselverwaltungsvorgänge Kostenlos

Wenn Sie in einer anderen Währung als US-Dollar bezahlen, gelten die Preise, die unter Cloud Platform SKUs für Ihre Währung angegeben sind.

Gleich loslegen

Profitieren Sie von einer Gutschrift über 300 $, um Google Cloud und mehr als 20 immer kostenlose Produkte kennenzulernen.

Benötigen Sie Hilfe beim Einstieg?
Unterstützung durch Google Cloud-Partner