Autoschlüssel – Übersicht

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel on demand generiert. Dienstkonten, die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Übersicht über die von Autokey erstellten Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.

Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die Branchenstandards und empfohlenen Praktiken für die Datensicherheit einhalten, einschließlich HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüsselspezifität. Mit Autokey werden Schlüssel erstellt, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp für Google Cloud -Dienste spezifisch sind, die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, funktionieren Schlüssel, die mit Autokey angefordert wurden, identisch mit anderen Cloud HSM-Schlüsseln mit denselben Einstellungen.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da keine Infrastruktur als Code mit erhöhten Berechtigungen zum Erstellen von Schlüsseln ausgeführt werden muss.

Wenn Sie Autokey verwenden möchten, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Für mit Autokey erstellte Schlüssel gelten dieselben Preise wie für alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.

So funktioniert Autokey

In diesem Abschnitt wird die Funktionsweise von Cloud KMS Autokey erläutert. Die folgenden Nutzerrollen sind an diesem Prozess beteiligt:

Sicherheitsadministrator
Der Sicherheitsadministrator ist ein Nutzer, der für die Verwaltung der Sicherheit auf Ordner- oder Organisationsebene verantwortlich ist.
Autokey-Entwickler
Der Autokey-Entwickler ist ein Nutzer, der für das Erstellen von Ressourcen mit Cloud KMS Autokey verantwortlich ist.
Cloud KMS-Administrator
Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei der Verwendung von Autokey weniger Aufgaben als bei der Verwendung manuell erstellter Schlüssel.

Die folgenden Dienst-Agents sind ebenfalls an diesem Prozess beteiligt:

Cloud KMS-Dienst-Agent
Der Dienst-Agent für Cloud KMS in einem bestimmten Schlüsselprojekt. Autokey ist darauf angewiesen, dass dieser Dienst-Agent erhöhte Berechtigungen hat, um Cloud KMS-Schlüssel und -Schlüsselbunde zu erstellen und die IAM-Richtlinie für die Schlüssel festzulegen, wodurch jedem Dienst-Agent für Ressourcen die Berechtigungen zum Verschlüsseln und Entschlüsseln erteilt werden.
Ressourcendienst-Agent
Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekt. Dieser Dienst-Agent muss die Berechtigungen zum Verschlüsseln und Entschlüsseln für jeden Cloud KMS-Schlüssel haben, bevor er diesen Schlüssel für den CMEK-Schutz einer Ressource verwenden kann. Autokey erstellt den Ressourcendienst-Agent bei Bedarf und gewährt ihm die erforderlichen Berechtigungen zur Verwendung des Cloud KMS-Schlüssels.

Sicherheitsadministrator aktiviert Cloud KMS Autokey

Bevor Sie Autokey verwenden können, muss der Sicherheitsadministrator die folgenden einmaligen Einrichtungsaufgaben ausführen:

  1. Aktivieren Sie Cloud KMS Autokey für einen Ressourcenordner und geben Sie das Cloud KMS-Projekt an, das Autokey-Ressourcen für diesen Ordner enthalten soll.

  2. Erstellen Sie den Cloud KMS-Dienst-Agent und gewähren Sie ihm dann Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

  3. Weisen Sie Autokey-Entwicklernutzerrollen zu.

Nach Abschluss dieser Konfiguration können Autokey-Entwickler die Erstellung von Cloud HSM-Schlüsseln bei Bedarf auslösen. Eine vollständige Einrichtungsanleitung für Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden Cloud KMS Autokey

Nachdem Autokey erfolgreich eingerichtet wurde, können autorisierte Autokey-Entwickler Ressourcen erstellen, die mit Schlüsseln geschützt sind, die bei Bedarf für sie erstellt werden. Die Details des Ressourcenerstellungsprozesses hängen davon ab, welche Ressource Sie erstellen. Der Prozess folgt jedoch diesem Ablauf:

  1. Der Autokey-Entwickler beginnt mit dem Erstellen einer Ressource in einem kompatiblenGoogle Cloud -Dienst. Beim Erstellen einer Ressource fordert der Entwickler einen neuen Schlüssel vom Autokey-Dienst-Agent an.

  2. Der Autokey-Dienst-Agent empfängt die Anfrage des Entwicklers und führt die folgenden Schritte aus:

    1. Erstellen Sie im Schlüsselprojekt am ausgewählten Speicherort einen Schlüsselbund, sofern dieser noch nicht vorhanden ist.
    2. Erstellen Sie einen Schlüssel im Schlüsselbund mit der entsprechenden Granularität für den Ressourcentyp, sofern ein solcher Schlüssel noch nicht vorhanden ist.
    3. Erstellen Sie das Dienstkonto pro Projekt und Dienst, sofern es noch nicht vorhanden ist.
    4. Gewähren Sie dem dienstkontobezogenen Dienstkonto für das jeweilige Projekt Berechtigungen zum Ver- und Entschlüsseln des Schlüssels.
    5. Geben Sie dem Entwickler die wichtigsten Details an, damit er die Ressource erstellen kann.
  3. Nachdem der Autokey-Dienst-Agent die wichtigsten Details zurückgegeben hat, kann der Entwickler die Erstellung der geschützten Ressource sofort abschließen.

Cloud KMS Autokey erstellt Schlüssel mit den Attributen, die im nächsten Abschnitt beschrieben werden. Bei diesem Ablauf zum Erstellen von Schlüsseln wird die Aufgabentrennung beibehalten. Der Cloud KMS-Administrator hat weiterhin vollständigen Einblick in und die volle Kontrolle über Schlüssel, die von Autokey erstellt wurden.

Informationen dazu, wie Sie Autokey nach der Aktivierung für einen Ordner verwenden, finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

Von Autokey erstellte Schlüssel

Schlüssel, die von Cloud KMS Autokey erstellt wurden, haben die folgenden Attribute:

  • Schutzniveau:HSM.
  • Algorithmus:AES‑256 GCM.
  • Rotationszeitraum:ein Jahr.

    Nachdem ein Schlüssel von Autokey erstellt wurde, kann ein Cloud KMS-Administrator den Rotationszeitraum vom Standardwert ändern.

  • Aufgabentrennung:
    • Dem Dienstkonto für den Dienst werden automatisch Berechtigungen zum Verschlüsseln und Entschlüsseln für den Schlüssel erteilt.
    • Cloud KMS-Administratorberechtigungen gelten wie gewohnt für Schlüssel, die von Autokey erstellt wurden. Cloud KMS-Administratoren können von Autokey erstellte Schlüssel aufrufen, aktualisieren, aktivieren oder deaktivieren und löschen. Cloud KMS-Administratoren erhalten keine Berechtigungen zum Verschlüsseln und Entschlüsseln.
    • Autokey-Entwickler können nur die Erstellung und Zuweisung von Schlüsseln anfordern. Sie können keine Schlüssel ansehen oder verwalten.
  • Schlüsselspezifität oder Granularität:Die von Autokey erstellten Schlüssel haben eine Granularität, die je nach Ressourcentyp variiert. Dienstspezifische Details zur Schlüsselgranularität finden Sie auf dieser Seite unter Kompatible Dienste.
  • Standort:Autokey erstellt Schlüssel am selben Standort wie die zu schützende Ressource.

    Wenn Sie CMEK-geschützte Ressourcen an Standorten erstellen müssen, an denen Cloud HSM nicht verfügbar ist, müssen Sie den CMEK manuell erstellen.

  • Status der Schlüsselversion:Neu erstellte Schlüssel, die mit Autokey angefordert werden, werden als Primärschlüsselversion im Status „Aktiviert“ erstellt.
  • Benennung von Schlüsselbunden:Alle von Autokey erstellten Schlüssel werden in einem Schlüsselbund namens autokey im Autokey-Projekt am ausgewählten Standort erstellt. Schlüsselbunde in Ihrem Autokey-Projekt werden erstellt, wenn ein Autokey-Entwickler den ersten Schlüssel an einem bestimmten Standort anfordert.
  • Schlüsselbenennung:Schlüssel, die von Autokey erstellt werden, folgen dieser Namenskonvention: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  • Schlüsselexport:Wie alle Cloud KMS-Schlüssel können auch Schlüssel, die von Autokey erstellt wurden, nicht exportiert werden.
  • Schlüssel-Tracking:Wie alle Cloud KMS-Schlüssel, die in CMEK-integrierten Diensten verwendet werden, die mit Schlüssel-Tracking kompatibel sind, werden von Autokey erstellte Schlüssel im Cloud KMS-Dashboard verfolgt.

Autokey erzwingen

Wenn Sie die Verwendung von Autokey in einem Ordner erzwingen möchten, können Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden die Berechtigungen zum Erstellen von Schlüsseln für andere Principals als den Autokey-Dienst-Agent entfernt. Außerdem wird festgelegt, dass alle Ressourcen mit CMEK mithilfe des Autokey-Schlüsselprojekts geschützt werden müssen. Eine detaillierte Anleitung zum Erzwingen der Verwendung von Autokey finden Sie unter Autokey-Verwendung erzwingen.

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst Geschützte Ressourcen Schlüsselgranularität
Artifact Registry
  • artifactregistry.googleapis.com/Repository

Autokey erstellt Schlüssel während der Repository-Erstellung, die für alle gespeicherten Artefakte verwendet werden.

Ein Schlüssel pro Ressource
BigQuery
  • bigquery.googleapis.com/Dataset

Mit Autokey werden Standardschlüssel für Datasets erstellt. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden den Standardschlüssel des Datasets.

Mit Autokey werden keine Schlüssel für andere BigQuery-Ressourcen als Datasets erstellt. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.

Ein Schlüssel pro Ressource
Bigtable
  • bigtable.googleapis.com/Cluster

Mit Autokey werden Schlüssel für Cluster erstellt.

Autokey erstellt keine Schlüssel für andere Bigtable-Ressourcen als Cluster.

Bigtable ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder dem Google Cloud SDK erstellt werden.

Ein Schlüssel pro Cluster
AlloyDB for PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

AlloyDB for PostgreSQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
Ein Schlüssel pro Standort in einem Projekt
Cloud SQL
  • sqladmin.googleapis.com/Instance

Mit Autokey werden keine Schlüssel für Cloud SQL-BackupRun-Ressourcen erstellt. Wenn Sie eine Sicherung einer Cloud SQL-Instanz erstellen, wird die Sicherung mit dem vom Kunden verwalteten Schlüssel der primären Instanz verschlüsselt.

Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Cloud Storage
  • storage.googleapis.com/Bucket

Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Mit Autokey werden keine Schlüssel für storage.object-Ressourcen erstellt.

Ein Schlüssel pro Bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen. Mit Autokey werden keine Schlüssel für compute.snapshot-Ressourcen erstellt.

Ein Schlüssel pro Ressource
Pub/Sub
  • pubsub.googleapis.com/Topic
Ein Schlüssel pro Ressource
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Standort in einem Projekt
Spanner
  • spanner.googleapis.com/Database

Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Dataflow
  • dataflow.googleapis.com/Job
Ein Schlüssel pro Ressource

Beschränkungen

  • Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
  • Schlüssel-Handles sind nicht in Cloud Asset Inventory enthalten.

Nächste Schritte