Autokey – Übersicht

Der Autoschlüssel von Cloud KMS vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs), indem die Bereitstellung und Zuweisung automatisiert wird. Mit Autokey müssen Ihre Schlüsselbunde, Schlüssel und Dienstkonten nicht geplant und bereitgestellt werden, bevor sie benötigt werden. Stattdessen generiert Autokey Ihre Schlüssel bei Bedarf, wenn Ihre Ressourcen erstellt werden. Dabei werden delegierte Berechtigungen anstelle von Cloud KMS-Administratoren verwendet.

Die Verwendung von Schlüsseln, die von Autokey generiert werden, kann helfen, die Branchenstandards und empfohlenen Praktiken für die Datensicherheit einheitlich zu gestalten, einschließlich des HSM-Schutzniveaus, der Aufgabentrennung, der Schlüsselrotation, des Standorts und der Schlüsselspezifikation. Der Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Cloud KMS Autokey eingebunden sind. Nach dem Erstellen funktionieren die mit der Autokey-Funktion angeforderten Schlüssel genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen.

Mit Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfacht werden. Dadurch ist es nicht mehr erforderlich, Infrastructure as Service mit erweiterten Berechtigungen zur Schlüsselerstellung auszuführen.

Wenn Sie den Autokey verwenden möchten, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Der Cloud KMS-Autoschlüssel ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung des Cloud KMS-Autoschlüssels fallen keine zusätzlichen Kosten an. Mit dem Autokey erstellte Schlüssel haben denselben Preis wie alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.

So funktioniert der Autokey

In diesem Abschnitt wird die Funktionsweise von Cloud KMS-Autoschlüssel erläutert. Die folgenden Nutzerrollen sind an diesem Prozess beteiligt:

Sicherheitsadministrator

Der Sicherheitsadministrator ist ein Nutzer, der für die Sicherheit auf Ordner- oder Organisationsebene verantwortlich ist.

Autokey-Entwickler

Der Autokey-Entwickler ist ein Nutzer, der für das Erstellen von Ressourcen mit Cloud KMS Autokey verantwortlich ist.

Cloud KMS-Administrator

Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei der Verwendung von Autokey weniger Verantwortlichkeiten als bei manuell erstellten Schlüsseln.

Die folgenden Dienst-Agents sind ebenfalls an diesem Prozess beteiligt:

Cloud KMS-Dienst-Agent

Der Dienst-Agent für Cloud KMS in einem bestimmten Schlüsselprojekt. Der Autokey hängt davon ab, dass dieser Dienst-Agent erhöhte Berechtigungen zum Erstellen von Cloud KMS-Schlüsseln und -Schlüsselbunden hat, zum Festlegen einer IAM-Richtlinie für die Schlüssel und zum Erteilen von Verschlüsselungs- und Entschlüsselungsberechtigungen für jeden Ressourcendienst-Agent.

Ressourcendienst-Agent

Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekt. Dieser Dienst-Agent muss Berechtigungen zum Verschlüsseln und Entschlüsseln für jeden Cloud KMS-Schlüssel haben, bevor er diesen Schlüssel für den CMEK-Schutz für eine Ressource verwenden kann. Autokey erstellt bei Bedarf den Ressourcendienst-Agent. Er gewährt ihm die erforderlichen Berechtigungen zur Verwendung des Cloud KMS-Schlüssels.

Sicherheitsadministrator aktiviert Cloud KMS Autokey

Bevor Sie den Autokey verwenden können, muss der Sicherheitsadministrator die folgenden einmaligen Einrichtungsaufgaben ausführen:

1. Aktivieren Sie den Cloud KMS-Autokey für einen Ressourcenordner und ermitteln Sie das Cloud KMS-Projekt, das Autokey-Ressourcen für diesen Ordner enthalten soll.

2. Erstellen Sie den Cloud KMS-Dienst-Agent und gewähren Sie dem Dienst-Agent dann Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

3. Gewähren Sie Nutzern von Autokey-Entwicklern Autokey-Nutzerrollen.

Wenn diese Konfiguration abgeschlossen ist, können Autokey-Entwickler jetzt bei Bedarf die Erstellung von Cloud HSM-Schlüsseln auslösen. Eine vollständige Anleitung zur Einrichtung von Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden den Cloud KMS-Autokey

Nachdem der Autokey erfolgreich eingerichtet wurde, können autorisierte Autokey-Entwickler jetzt Ressourcen erstellen, die mit für sie erstellten Schlüsseln bei Bedarf geschützt sind. Die Details der Ressourcenerstellung hängen davon ab, welche Ressource Sie erstellen. Der Prozess folgt jedoch diesem Ablauf:

1. Der Autokey-Entwickler beginnt, eine Ressource in einem kompatiblen Google Cloud-Dienst zu erstellen. Während der Ressourcenerstellung fordert der Entwickler vom Autokey-Dienst-Agent einen neuen Schlüssel an.

2. Der Autokey-Dienst-Agent empfängt die Anfrage des Entwicklers und führt die folgenden Schritte aus:

   1. Erstellen Sie einen Schlüsselbund im Schlüsselprojekt am ausgewählten Speicherort, sofern dieser Schlüsselbund nicht bereits vorhanden ist.
   2. Erstellen Sie im Schlüsselbund einen Schlüssel mit dem richtigen Detaillierungsgrad für den Ressourcentyp, sofern kein solcher Schlüssel bereits vorhanden ist.
   3. Erstellen Sie das Dienstkonto pro Projekt und pro Dienstkonto, sofern dieses Dienstkonto nicht bereits vorhanden ist.
   4. Gewähren Sie dem Schlüssel die Berechtigungen zum Verschlüsseln und Entschlüsseln pro Projekt und Dienstkonto.
   5. Stellen Sie dem Entwickler die wichtigsten Details zur Verfügung, damit er die Erstellung der Ressource abschließen kann.

3. Wenn die Schlüsseldetails vom Autokey-Dienst-Agent erfolgreich zurückgegeben wurden, kann der Entwickler die Erstellung der geschützten Ressource sofort abschließen.

Der Cloud KMS-Autoschlüssel erstellt Schlüssel mit den im nächsten Abschnitt beschriebenen Attributen. Bei diesem Schlüsselerstellungsablauf wird die Aufgabentrennung beibehalten. Der Cloud KMS-Administrator hat weiterhin vollständige Transparenz und Kontrolle über die von Autokey erstellten Schlüssel.

Wie Sie den Autokey nach der Aktivierung für einen Ordner verwenden können, erfahren Sie unter Geschützte Ressourcen mit dem Cloud KMS-Autokey erstellen.

Von Autokey erstellte Schlüssel

Von Cloud KMS Autokey erstellte Schlüssel haben die folgenden Attribute:

• Schutzniveau: HSM
• Algorithmus: AES-256 GCM

• Rotationszeitraum: ein Jahr

  Nachdem ein Schlüssel vom Autokey erstellt wurde, kann ein Cloud KMS-Administrator den standardmäßigen Rotationszeitraum bearbeiten.

• Aufgabentrennung:

  • Das Dienstkonto für den Dienst erhält automatisch Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.
  • Cloud KMS-Administratorberechtigungen gelten wie gewohnt für Schlüssel, die von Autokey erstellt wurden. Cloud KMS-Administratoren können von Autokey erstellte Schlüssel ansehen, aktualisieren, aktivieren oder deaktivieren. Cloud KMS-Administratoren haben keine Berechtigungen zum Verschlüsseln und Entschlüsseln.
  • Autokey-Entwickler können nur die Schlüsselerstellung und -zuweisung anfordern. Sie können keine Schlüssel ansehen oder verwalten.

• Spezifität oder Detaillierungsgrad: Die von Autokey erstellten Schlüssel haben einen Detaillierungsgrad, der je nach Ressourcentyp variiert. Dienstspezifische Details zum Detaillierungsgrad von Schlüsseln finden Sie auf dieser Seite unter Kompatible Dienste.

• Speicherort: Der Autokey erstellt Schlüssel am selben Ort wie die zu schützende Ressource.

  Wenn Sie CMEK-geschützte Ressourcen an Standorten erstellen müssen, an denen Cloud HSM nicht verfügbar ist, müssen Sie Ihren CMEK manuell erstellen.

• Status der Schlüsselversion: Neu erstellte Schlüssel, die mit dem Autokey angefordert werden, werden als Primärschlüsselversion im aktivierten Status erstellt.

• Schlüsselbundbenennung: Alle von Autokey erstellten Schlüssel werden in einem Schlüsselbund namens autokey im Autokey-Projekt am ausgewählten Speicherort erstellt. Schlüsselbunde in Ihrem Autokey-Projekt werden erstellt, wenn ein Autokey-Entwickler den ersten Schlüssel an einem bestimmten Ort anfordert.

• Schlüsselbenennung: Der vom Autokey erstellte Schlüssel folgt dieser Namenskonvention:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Wie alle Cloud KMS-Schlüssel können von Autokey erstellte Schlüssel nicht exportiert werden.

• Wie alle Cloud KMS-Schlüssel, die in integrierten CMEK-Diensten verwendet werden, die mit dem Schlüssel-Tracking kompatibel sind, werden von Autokey erstellte Schlüssel im Cloud KMS-Dashboard erfasst.

Autokey erzwingen

Wenn Sie die Verwendung des Autokey in einem Ordner erzwingen möchten, können Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden Berechtigungen für die Schlüsselerstellung von anderen Hauptkonten als dem Autokey-Dienst-Agent entfernt. Anschließend müssen alle Ressourcen durch einen CMEK mit dem Autokey-Schlüsselprojekt geschützt werden. Eine ausführliche Anleitung zum Erzwingen der Autokey-Nutzung finden Sie unter Autokey-Nutzung erzwingen.

Kompatible Dienste

In der folgenden Tabelle sind die Dienste aufgeführt, die mit dem Cloud KMS-Autoschlüssel kompatibel sind:

Dienst	Geschützte Ressourcen	Detaillierungsgrad des Schlüssels
Cloud Storage	storage.googleapis.com/Bucket Objekte in einem Storage-Bucket verwenden den Bucket-Standardschlüssel. Der Autokey erstellt keine Schlüssel für storage.object Ressourcen.	Ein Schlüssel pro Bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen. Der Autokey erstellt keine Schlüssel für compute.snapshot Ressourcen.	Ein Schlüssel pro Ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey erstellt Standardschlüssel für Datasets. Für Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset wird der Dataset-Standardschlüssel verwendet. Der Autokey erstellt keine Schlüssel für BigQuery-Ressourcen außer Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.	Ein Schlüssel pro Ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager ist nur beim Erstellen von Ressourcen mit Terraform oder der REST API mit dem Autokey von Cloud KMS kompatibel.	Ein Schlüssel pro Standort innerhalb eines Projekts

Beschränkungen

• Sie können eine AutokeyConfig-Ressource nicht löschen. Sie können Autokey für den Ordner deaktivieren. Dazu aktualisieren Sie den AutokeyConfig, um enabled=false festzulegen. Das konfigurierte Schlüsselprojekt bleibt jedoch im AutokeyConfig. Sie können das konfigurierte Schlüsselprojekt ändern. Aktualisieren Sie dazu AutokeyConfig.
• Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
• Schlüssel-Aliasse sind nicht in Cloud Asset Inventory enthalten.

Nächste Schritte

• Damit Sie den Cloud KMS-Autoschlüssel verwenden können, muss ein Sicherheitsadministrator den Cloud KMS-Autoschlüssel aktivieren.
• Wenn ein Entwickler den Cloud KMS-Autoschlüssel nach seiner Aktivierung verwenden möchte, kann er mit dem Autoschlüssel CMEK-geschützte Ressourcen erstellen.