Autoschlüssel – Übersicht

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselringe und Schlüssel auf Anfrage generiert. Dienstkonten, die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Sichtbarkeit über von Autokey erstellte Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.

Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die Branchenstandards und empfohlenen Praktiken für die Datensicherheit konsequent einhalten, einschließlich des HSM-Schutzniveaus, der Aufgabentrennung, der Schlüsselrotation, des Speicherorts und der Schlüsselspezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Cloud KMS Autokey eingebunden sind. Nach der Erstellung werden Schlüssel, die mit der Autokey-Funktion angefordert werden, genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen behandelt.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da Infrastruktur-als-Code nicht mehr mit erhöhten Berechtigungen zur Schlüsselerstellung ausgeführt werden muss.

Wenn Sie Autokey verwenden möchten, benötigen Sie eine Organisationsressource mit einer Ordnerressource. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Die Verwendung von Cloud KMS Autokey ist kostenlos. Mit Autokey erstellte Schlüssel kosten genauso viel wie andere Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.

So funktioniert Autoschlüssel

In diesem Abschnitt wird erläutert, wie Cloud KMS Autokey funktioniert. An diesem Prozess sind die folgenden Nutzerrollen beteiligt:

Sicherheitsadministrator

Der Sicherheitsadministrator ist ein Nutzer, der für die Verwaltung der Sicherheit auf Ordner- oder Organisationsebene verantwortlich ist.

Autokey-Entwickler

Der Autokey-Entwickler ist ein Nutzer, der für das Erstellen von Ressourcen mit Cloud KMS Autokey verantwortlich ist.

Cloud KMS-Administrator

Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei der Verwendung von Autokey weniger Aufgaben als bei der Verwendung von manuell erstellten Schlüsseln.

Die folgenden Kundenservicemitarbeiter sind ebenfalls an diesem Prozess beteiligt:

Cloud KMS-Dienst-Agent

Der Dienst-Agent für Cloud KMS in einem bestimmten Schlüsselprojekt. Autokey setzt voraus, dass dieser Dienst-Agent erweiterte Berechtigungen hat, um Cloud KMS-Schlüssel und Schlüsselringe zu erstellen und IAM-Richtlinien für die Schlüssel festzulegen, die Verschlüsselungs- und Entschlüsselungsberechtigungen für jeden Ressourcen-Dienst-Agenten gewähren.

Ressourcendienst-Agent

Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekt. Dieser Dienst-Agent muss Berechtigungen zum Verschlüsseln und Entschlüsseln für jeden Cloud KMS-Schlüssel haben, bevor er diesen Schlüssel für den CMEK-Schutz einer Ressource verwenden kann. Autokey erstellt bei Bedarf den Ressourcen-Dienst-Agent und gewährt ihm die erforderlichen Berechtigungen zur Verwendung des Cloud KMS-Schlüssels.

Sicherheitsadministrator aktiviert Cloud KMS Autokey

Bevor Sie Autokey verwenden können, muss der Sicherheitsadministrator die folgenden einmaligen Einrichtungsaufgaben ausführen:

1. Aktivieren Sie Cloud KMS Autokey für einen Ressourcenordner und geben Sie das Cloud KMS-Projekt an, das Autokey-Ressourcen für diesen Ordner enthalten soll.

2. Erstellen Sie den Cloud KMS-Dienst-Agent und gewähren Sie ihm Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

3. Weisen Sie Autokey-Entwicklernutzern Autokey-Nutzerrollen zu.

Sobald diese Konfiguration abgeschlossen ist, können Autokey-Entwickler die Erstellung von Cloud HSM-Schlüsseln jetzt bei Bedarf auslösen. Eine vollständige Anleitung zur Einrichtung von Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden Cloud KMS Autokey

Nach der erfolgreichen Einrichtung von Autokey können autorisierte Autokey-Entwickler jetzt Ressourcen erstellen, die mit Schlüsseln geschützt sind, die für sie auf Anfrage erstellt wurden. Die Details des Ressourcenerstellungsprozesses hängen davon ab, welche Ressource Sie erstellen. Der Prozess verläuft jedoch so:

1. Der Autokey-Entwickler beginnt mit dem Erstellen einer Ressource in einem kompatiblen Google Cloud-Dienst. Beim Erstellen von Ressourcen fordert der Entwickler einen neuen Schlüssel vom Autokey-Dienst-Agent an.

2. Der Autoschlüssel-Kundenservicemitarbeiter erhält die Anfrage des Entwicklers und führt die folgenden Schritte aus:

   1. Erstellen Sie im Schlüsselprojekt am ausgewählten Standort einen Schlüsselbund, sofern dieser nicht bereits vorhanden ist.
   2. Erstellen Sie einen Schlüssel im Schlüsselbund mit der entsprechenden Detailebene für den Ressourcentyp, sofern noch kein solcher Schlüssel vorhanden ist.
   3. Erstellen Sie ein Dienstkonto pro Projekt und Dienst, sofern dieses Dienstkonto noch nicht vorhanden ist.
   4. Gewähren Sie dem projekt- und dienstspezifischen Dienstkonto Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.
   5. Geben Sie dem Entwickler die wichtigsten Details, damit er die Ressource fertigstellen kann.

3. Nachdem der Autokey-Dienstmitarbeiter die Schlüsseldetails zurückgegeben hat, kann der Entwickler sofort mit dem Erstellen der geschützten Ressource fortfahren.

Cloud KMS Autokey erstellt Schlüssel mit den im nächsten Abschnitt beschriebenen Attributen. Bei diesem Ablauf zum Erstellen von Schlüsseln wird die Aufgabentrennung gewahrt. Der Cloud KMS-Administrator hat weiterhin den vollen Überblick über und die volle Kontrolle über von Autokey erstellte Schlüssel.

Informationen zum Verwenden von Autokey, nachdem Sie es für einen Ordner aktiviert haben, finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

Von Autokey erstellte Schlüssel

Von Cloud KMS Autokey erstellte Schlüssel haben die folgenden Attribute:

• Schutzniveau:HSM
• Algorithmus:AES-256 GCM.

• Rotationszeitraum:Ein Jahr.

  Nachdem ein Schlüssel von Autokey erstellt wurde, kann ein Cloud KMS-Administrator den Rotationszeitraum vom Standardwert bearbeiten.

• Aufgabentrennung:
  • Dem Dienstkonto für den Dienst werden automatisch Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels gewährt.
  • Cloud KMS-Administratorberechtigungen gelten wie gewohnt für von Autokey erstellte Schlüssel. Cloud KMS-Administratoren können von Autokey erstellte Schlüssel aufrufen, aktualisieren, aktivieren oder deaktivieren und löschen. Cloud KMS-Administratoren erhalten keine Berechtigungen zum Verschlüsseln und Entschlüsseln.
  • Autokey-Entwickler können nur die Erstellung und Zuweisung von Schlüsseln anfordern. Sie können keine Schlüssel ansehen oder verwalten.
• Schlüsselspezifität oder Detaillierung:Die Detaillierung von Autokey-Schlüsseln variiert je nach Ressourcentyp. Dienstspezifische Details zur Schlüsselgranularität finden Sie auf dieser Seite unter Kompatible Dienste.

• Speicherort:Autokey erstellt Schlüssel am selben Speicherort wie die zu schützende Ressource.

  Wenn Sie CMEK-geschützte Ressourcen an Orten erstellen müssen, an denen Cloud HSM nicht verfügbar ist, müssen Sie CMEK manuell erstellen.

• Status der Schlüsselversion:Neu erstellte Schlüssel, die mit Autokey angefordert werden, werden als Primärschlüsselversion im aktivierten Status erstellt.
• Schlüsselbundbenennung:Alle von Autokey erstellten Schlüssel werden im Autokey-Projekt am ausgewählten Speicherort in einem Schlüsselbund namens autokey erstellt. Schlüsselringe in Ihrem Autokey-Projekt werden erstellt, wenn ein Autokey-Entwickler den ersten Schlüssel an einem bestimmten Standort anfordert.
• Schlüsselbenennung:Von Autokey erstellte Schlüssel folgen dieser Benennungskonvention: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Schlüsselexport:Wie alle Cloud KMS-Schlüssel können auch von Autokey erstellte Schlüssel nicht exportiert werden.
• Schlüssel-Tracking:Wie alle Cloud KMS-Schlüssel, die in CMEK-integrierten Diensten verwendet werden, die mit Schlüssel-Tracking kompatibel sind, werden von Autokey erstellte Schlüssel im Cloud KMS-Dashboard erfasst.

Autokey erzwingen

Wenn Sie die Verwendung von Autokey in einem Ordner erzwingen möchten, können Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden Berechtigungen zum Erstellen von Schlüsseln von anderen Hauptpersonen als dem Autokey-Dienstagenten entfernt und dann wird gefordert, dass alle Ressourcen mit CMEK unter Verwendung des Autokey-Schlüsselprojekts geschützt werden. Eine ausführliche Anleitung zum Erzwingen der Verwendung von Autokey finden Sie unter Verwendung von Autokey erzwingen.

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst	Geschützte Ressourcen	Detaillierungsgrad des Schlüssels
Cloud Storage	storage.googleapis.com/Bucket Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Autokey erstellt keine Schlüssel für storage.object-Ressourcen.	Ein Schlüssel pro Bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen. Autokey erstellt keine Schlüssel für compute.snapshot-Ressourcen.	Ein Schlüssel pro Ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey erstellt Standardschlüssel für Datensätze. Tabellen, Modelle, Abfragen und temporäre Tabellen innerhalb eines Datasets verwenden den Standardschlüssel des Datasets. Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.	Ein Schlüssel pro Ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Standort innerhalb eines Projekts
Cloud SQL	sqladmin.googleapis.com/Instance Autokey erstellt keine Schlüssel für Cloud SQL-BackupRun-Ressourcen. Wenn Sie eine Sicherung einer Cloud SQL-Instanz erstellen, wird die Sicherung mit dem vom Kunden verwalteten Schlüssel der primären Instanz verschlüsselt. Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Spanner	spanner.googleapis.com/Database Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource

Beschränkungen

• Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
• Schlüssel-Handles sind nicht in Cloud Asset Inventory enthalten.

Nächste Schritte

• Damit Sie Cloud KMS Autokey verwenden können, muss ein Sicherheitsadministrator Cloud KMS Autokey aktivieren.
• Wenn Entwickler Cloud KMS Autokey nach der Aktivierung verwenden möchten, können sie mit Autokey CMEK-geschützte Ressourcen erstellen.
• Best Practices für CMEK