Cloud Key Management Service

在 Google Cloud Platform 上管理加密密钥

免费试用

加密密钥管理

Cloud KMS 是一项在云端托管的密钥管理服务,可让您使用与内部部署时相同的方式为云端服务管理加密。您可以生成、使用、轮替和销毁 AES256 加密密钥。Cloud KMS 已与 IAM 和 Cloud Audit Logging 集成,因而您可以管理各个密钥的权限并监控它们的使用方式。使用 Cloud KMS 保护您需要在 Google Cloud Platform 中存储的机密和其他敏感信息。

可扩展、自动化、速度快

您可以保有多至数百万个加密密钥,因此可自行选择要以哪种级别的精细程度来加密数据。如果将密钥设置为定期自动轮替,您就可以定期使用新的主版本密钥来加密数据,限制使用任一密钥版本可访问的数据范围。您可以根据需要保留任意多个有效的密钥版本。我们的低延迟性能确保您可以快速访问密钥。

更好地管理密钥使用方式

管理 IAM 权限,以便分别设置各个密钥的用户级权限并按情况为用户和服务帐号授予权限。借助 Cloud KMS 集中筛选您最敏感的数据的访问权限,通过 Cloud Audit Logging 查看管理员活动和密钥使用日志。监控日志以确保对密钥的使用没有不当之处。

轻松加密 Secret

通过封装 Secret(最大可达 64KiB),您能够像保护用户凭据和 API 令牌一样保护 Secret。使用 Cloud KMS API 从源代码、部署管理器、容器和元数据中去除纯文本 Secret,并在用户和服务帐号需要访问这些信息时对其进行解密。

实现信封加密

使用由 Cloud KMS 中的密钥加密密钥 (KEK) 保护的本地数据加密密钥 (DEK) 实现一个密钥层次结构。不管密钥是用于加密您在应用层的数据、保存在存储系统中的数据、托管在 Google 的数据还是其他任何位置的数据,都可对其进行管理。

Cloud KMS 特性

在 Google Cloud Platform 上管理加密密钥

AES256 密钥
Cloud KMS 支持创建、使用、轮替、自动轮替和销毁 AES256 对称加密密钥。
通过 API 进行加密和解密
Cloud KMS 是一个 REST API,可使用密钥对存储的数据(例如 Secret)进行加密或解密。
自动轮替和按需轮替
Cloud KMS 允许您根据需要轮替密钥,也支持设置一个轮替计划以便按固定的时间间隔来生成新的密钥版本。一个密钥在任何时间都可存在多个版本以用于解密,但只有一个主密钥版本用于加密新数据。
为密钥销毁设置延迟
Cloud KMS 为密钥材料销毁内置了 24 小时的延迟,以防止意外丢失数据或因恶意行为而丢失数据。
全球高可用性
Cloud KMS 在全球多个位置提供服务,方便您将服务置于所需位置以缩短延迟时间。

“Google 对其默认加密方式持公开透明的态度,Cloud KMS 则令实施最佳做法变得简单。自动密钥轮替等功能使我们能够频繁地轮替密钥而不产生额外开销,并满足我们的内部合规性需求。Cloud KMS 的延迟时间很低,因此我们可以将其用于频繁执行的操作。这使我们能够扩展要加密的数据的范围,从敏感数据到不需要编入索引的运营数据。”

- Leonard Austin,Ravelin 首席技术官

Cloud KMS 定价

Cloud KMS 的定价方案包含每个密钥版本的固定费率以及密钥操作的使用费率。了解详情

密钥版本 价格
有效密钥版本 每月 $0.06

如果您使用非美元货币支付,则请参阅在 Cloud Platform SKU 上以您的币种列出的价格。

密钥操作 价格
密钥使用操作(加密/解密) 每一万次操作 $0.03
密钥管理操作 免费
如果您使用非美元货币支付,则请参阅在 Cloud Platform SKU 上以您的币种列出的价格。