Cloud Key Management Service

在 Google Cloud Platform 上管理加密密钥

免费试用

加密密钥管理

Cloud KMS 是一项在云端托管的密钥管理服务,可让您使用与本地部署时相同的方式为云服务管理加密密钥。您可以生成、使用、轮替和销毁 AES256、RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 加密密钥。Cloud KMS 已与 Cloud IAM 和 Cloud Audit Logging 集成,因而您可以管理各个密钥的权限并监控它们的使用方式。您可以使用 Cloud KMS 保护您要存储在 Google Cloud Platform 之中的密钥和其他敏感数据。

可扩缩、自动化、速度快

您可以保有多达数百万个加密密钥,因此可自行选择要以怎样的精细程度来加密数据。如果将密钥设置为定期自动轮替,您就可以定期使用新的主版本密钥来加密数据,还可以限制使用任一密钥版本可访问的数据范围。您可以根据需要保留任意多个有效的密钥版本。我们的低延迟能确保您可以快速访问密钥。

更好地管理密钥的使用

管理 Cloud IAM 权限,以便分别设置各个密钥的用户级权限,并为用户和服务帐号授予访问权限。借助 Cloud KMS 集中过滤您最敏感的数据的访问权限,通过 Cloud Audit Logging 查看管理员活动和密钥使用日志。监控日志以确保对密钥的使用没有不当之处。

轻松对数据进行加密和签名

Cloud KMS 让您可以灵活地使用对称或不对称密钥来加密数据,而且保证一切都尽在您掌控之中。您还可以使用各种长度的 RSA 和椭圆曲线密钥执行签名操作。

实现信封加密

使用由 Cloud KMS 中的密钥加密密钥 (KEK) 保护的本地数据加密密钥 (DEK) 实现密钥层次结构。不管密钥是用于加密您在应用层的数据、保存在存储系统中的数据、托管在 Google 的数据还是其他任何位置的数据,都可对其进行管理。

帮助满足法规遵从需求

借助 Cloud KMS,您可以利用客户托管的加密密钥 (CMEK),管理用于保护 GCP 内驻留的敏感数据的加密密钥。如果法规要求您在硬件环境内执行密钥和加密操作,Cloud KMS 与 Cloud HSM 的集成让您可以轻松创建由 FIPS 140-2 3 级设备保护的密钥。

Cloud KMS 特性

在 Google Cloud Platform 上管理加密密钥。

对称和不对称密钥支持
Cloud KMS 支持创建、使用、轮替、自动轮替、销毁 AES256 对称加密密钥,以及 RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 不对称加密密钥。
通过 API 进行加密和解密
Cloud KMS 是一种 REST API,可使用密钥对数据(例如存储空间的密钥)进行加密或解密。
自动轮替和按需轮替
Cloud KMS 允许您根据需要轮替密钥,也支持为对称密钥设置轮替计划,以便按固定的时间间隔来生成新的密钥版本。一个对称密钥在任何时间都可存在多个有效版本以用于解密,但只有一个主密钥版本用于加密新数据。
为密钥销毁设置延迟
Cloud KMS 为密钥的实质性销毁内置了 24 小时的延迟,以防止意外丢失数据或因恶意行为而造成数据丢失。
全球高可用性
Cloud KMS 在全球多个位置、多个区域提供服务,方便您将服务置于所需位置以缩短延迟时间、提高可用性。

“Google 的默认加密方式是公开透明的,Cloud KMS 则令实施最佳做法变得简单。自动密钥轮替等功能使我们能够频繁地轮替密钥而不产生额外开销,并满足我们的内部合规性需求。Cloud KMS 的延迟时间很低,因此我们可以将其用于频繁执行的操作。这使我们能够扩展要加密的数据的范围,从敏感数据到不需要编入索引的运营数据。”

- Leonard Austin,Ravelin 首席技术官

Cloud KMS 价格

Cloud KMS 的定价方案包含每个密钥版本的固定费率以及密钥操作的用量费率。了解详情

密钥版本 价格
有效密钥版本 每月 $0.06

如果您使用非美元货币付费,则请参阅在 Cloud Platform SKU 上以您的币种列出的价格。

密钥操作 价格
密钥使用操作(加密/解密) 每一万次操作 $0.03
密钥管理操作 免费
如果您使用非美元货币付费,则请参阅在 Cloud Platform SKU 上以您的币种列出的价格。

发送以下问题的反馈:

此网页
Cloud KMS