Cloud Key Management Service

在 Google Cloud Platform 上管理加密密钥

免费试用

加密密钥管理

Cloud KMS 是一项云托管式密钥管理服务,让您能够使用与本地部署时相同的方式为云服务管理加密密钥。您可以生成、使用、轮替和销毁 AES256、RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 加密密钥。Cloud KMS 已与 Cloud IAM 和 Cloud Audit Logging 集成,因而您可以管理各个密钥的权限并监控它们的使用情况。您可以使用 Cloud KMS 保护您要存储在 Google Cloud Platform 之中的密文和其他敏感数据。

可扩缩、自动化、速度快

您可以保有多达数百万个加密密钥,因此可自行选择要以怎样的精细程度来加密数据。如果将密钥设置为定期自动轮替,您就可以定期使用新的主版本密钥来加密数据,还可以限制使用任一密钥版本可访问的数据范围。您可以根据需要保留任意多个有效的密钥版本。我们的低延迟能确保您可以快速访问密钥。

更好地管理密钥的使用

管理 Cloud IAM 权限,以便分别设置各个密钥的用户级权限,并为用户和服务帐号授予访问权限。借助 Cloud KMS 集中过滤您最敏感的数据的访问权限,通过 Cloud Audit Logging 查看管理员活动和密钥使用日志。监控日志以确保对密钥的使用没有不当之处。

轻松对数据进行加密和签名

Cloud KMS 让您可以灵活地使用对称或不对称密钥来加密数据,而且保证一切都尽在您掌控之中。您还可以使用各种长度的 RSA 和椭圆曲线密钥执行签名操作。

实现信封加密

使用由 Cloud KMS 中的 KEK(密钥加密密钥)保护的本地 DEK(数据加密密钥)实现密钥层次结构。不管密钥是用于加密您在应用层的数据、保存在存储系统中的数据、托管在 Google 的数据还是其他任何位置的数据,都可对其进行管理。

帮助满足法规遵从需求

借助 Cloud KMS,您可以利用客户管理的加密密钥 (CMEK),管理用于保护 GCP 内驻留的敏感数据的加密密钥。如果法规要求您在硬件环境内执行密钥和加密操作,Cloud KMS 与 Cloud HSM 的集成让您可以轻松创建由 FIPS 140-2 3 级设备保护的密钥。

Cloud KMS 特性

在 Google Cloud Platform 上管理加密密钥。

对称和不对称密钥支持
Cloud KMS 支持创建、使用、轮替、自动轮替、销毁 AES256 对称加密密钥,以及 RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 不对称加密密钥。
通过 API 进行加密和解密
Cloud KMS 是一种 REST API,可使用密钥对存储的数据(例如密文)进行加密或解密。
自动轮替和按需轮替
Cloud KMS 允许您根据需要轮替密钥,也支持为对称密钥设置轮替计划,以便按固定的时间间隔来生成新的密钥版本。一个对称密钥在任何时间都可存在多个有效版本以用于解密,但只有一个主密钥版本用于加密新数据。
密钥销毁延迟
Cloud KMS 为密钥的实质性销毁内置了 24 小时的延迟,以防止意外丢失数据或因恶意行为而造成数据丢失。
全球高可用性
Cloud KMS 在全球多个位置、多个区域提供服务,方便您将服务置于所需位置以缩短延迟时间、提高可用性。
集成 GKE
在 GKE 中利用您在 Cloud KMS 中管理的密钥,实现应用层 Kubernetes 密文加密。

“Google 的默认加密方式是公开透明的,Cloud KMS 则令实施最佳做法变得简单。自动密钥轮替等功能使我们能够频繁地轮替密钥而不产生额外开销,并满足我们的内部合规性需求。Cloud KMS 的延迟时间很低,因此我们可以将其用于频繁执行的操作。这使我们能够扩展要加密的数据的范围,从敏感数据到不需要编入索引的运营数据,不一而足。”

- Leonard Austin,Ravelin 首席技术官

Cloud KMS 价格

Cloud KMS 的价格包含每个密钥版本的固定费用以及密钥操作的用量费用。了解详情

密钥版本 价格
有效密钥版本 每月 $0.06

如果您使用非美元货币付费,请参阅 Cloud Platform SKU 上以您的币种列出的价格。

密钥操作 价格
密钥使用操作(加密/解密) 每一万次操作 $0.03
密钥管理操作 免费
如果您使用非美元货币付费,请参阅 Cloud Platform SKU 上以您的币种列出的价格。

发送以下问题的反馈:

此网页
Cloud KMS