Autokey – Übersicht

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch automatisierte Bereitstellung und Zuweisung. Mit Autokey müssen Ihre Schlüsselbunde, Schlüssel und Dienstkonten nicht vorab geplant und bereitgestellt werden. Stattdessen generiert Autokey Ihre Schlüssel nach Bedarf, während Ihre Ressourcen erstellt werden. Dabei werden delegierte Berechtigungen anstelle von Cloud KMS-Administratoren verwendet.

Die Verwendung von Autokey-Schlüsseln kann Ihnen dabei helfen, sich konsistent an Branchenstandards und empfohlene Praktiken für die Datensicherheit anzupassen, einschließlich HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüsselspezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien für den Ressourcentyp von Google Cloud-Diensten entsprechen, die in Cloud KMS Autokey eingebunden sind. Nach dem Erstellen funktionieren Schlüssel, die über Autokey angefordert werden, genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, sodass es nicht mehr notwendig ist, Infrastruktur als Code mit erweiterten Berechtigungen für die Schlüsselerstellung auszuführen.

Zur Verwendung von Autokey benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Nutzung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Mit Autokey erstellte Schlüssel haben denselben Preis wie andere Cloud HSM-Schlüssel. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.

So funktioniert Autokey

In diesem Abschnitt wird die Funktionsweise von Cloud KMS Autokey erläutert. An diesem Prozess sind die folgenden Nutzerrollen beteiligt:

Sicherheitsadministrator

Der Sicherheitsadministrator ist ein Nutzer, der für die Verwaltung der Sicherheit auf Ordner- oder Organisationsebene verantwortlich ist.

Autokey-Entwickler

Der Autokey-Entwickler ist ein Nutzer, der für das Erstellen von Ressourcen mit Cloud KMS Autokey verantwortlich ist.

Cloud KMS-Administrator

Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei Verwendung von Autokey weniger Aufgaben als bei manuell erstellten Schlüsseln.

Die folgenden Servicemitarbeiter sind ebenfalls an diesem Vorgang beteiligt:

Cloud KMS-Dienst-Agent

Der Dienst-Agent für Cloud KMS in einem bestimmten Schlüsselprojekt. Für Autokey ist es erforderlich, dass dieser Dienst-Agent erhöhte Berechtigungen zum Erstellen von Cloud KMS-Schlüsseln und -Schlüsselbunden und zum Festlegen der IAM-Richtlinie für die Schlüssel hat, um jedem Ressourcendienst-Agent Berechtigungen zum Verschlüsseln und Entschlüsseln zu gewähren.

Ressourcendienst-Agent

Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekt. Dieser Dienst-Agent muss Berechtigungen zum Verschlüsseln und Entschlüsseln für einen Cloud KMS-Schlüssel haben, bevor er diesen Schlüssel zum CMEK-Schutz für eine Ressource verwenden kann. Autokey erstellt den Dienst-Agent der Ressource bei Bedarf und gewährt ihm die erforderlichen Berechtigungen zum Verwenden des Cloud KMS-Schlüssels.

Der Sicherheitsadministrator aktiviert Cloud KMS Autokey

Bevor Sie Autokey verwenden können, muss der Sicherheitsadministrator die folgenden einmaligen Einrichtungsaufgaben ausführen:

1. Aktivieren Sie Cloud KMS Autokey für einen Ressourcenordner und ermitteln Sie das Cloud KMS-Projekt, das Autokey-Ressourcen für diesen Ordner enthalten wird.

2. Erstellen Sie den Cloud KMS-Dienst-Agent und gewähren Sie ihm dann Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

3. Gewähren Sie Nutzern von Autokey-Entwicklern Autokey-Nutzerrollen.

Wenn diese Konfiguration abgeschlossen ist, können Autokey-Entwickler das Erstellen von Cloud HSM-Schlüsseln jetzt bei Bedarf auslösen. Eine vollständige Anleitung zur Einrichtung von Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden Cloud KMS Autokey

Nachdem Autokey erfolgreich eingerichtet wurde, können autorisierte Autokey-Entwickler Ressourcen erstellen, die bei Bedarf mithilfe von Schlüsseln geschützt sind. Die Details der Ressourcenerstellung hängen davon ab, welche Ressource Sie erstellen. Der Prozess folgt jedoch diesem Ablauf:

1. Der Autokey-Entwickler beginnt mit der Erstellung einer Ressource in einem kompatiblen Google Cloud-Dienst. Während der Ressourcenerstellung fordert der Entwickler einen neuen Schlüssel vom Autokey-Dienst-Agent an.

2. Der Autokey-Dienst-Agent empfängt die Anfrage des Entwicklers und führt die folgenden Schritte aus:

   1. Erstellen Sie im Schlüsselprojekt am ausgewählten Speicherort einen Schlüsselbund, sofern dieser nicht bereits vorhanden ist.
   2. Erstellen Sie im Schlüsselbund einen Schlüssel mit dem entsprechenden Detaillierungsgrad für den Ressourcentyp, sofern kein solcher Schlüssel bereits vorhanden ist.
   3. Erstellen Sie das Dienstkonto pro Projekt und Dienstkonto, es sei denn, dieses Dienstkonto ist bereits vorhanden.
   4. Gewähren Sie dem Dienstkonto pro Projekt und Dienstkonto Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.
   5. Stellen Sie dem Entwickler die wichtigsten Details bereit, damit er die Erstellung der Ressource abschließen kann.

3. Nachdem Schlüsseldetails vom Autokey-Dienst-Agent zurückgegeben wurden, kann der Entwickler das Erstellen der geschützten Ressource sofort abschließen.

Cloud KMS Autokey erstellt Schlüssel mit den im nächsten Abschnitt beschriebenen Attributen. Bei diesem Ablauf für die Schlüsselerstellung wird die Aufgabentrennung beibehalten. Der Cloud KMS-Administrator hat weiterhin vollständige Sichtbarkeit und Kontrolle über die von Autokey erstellten Schlüssel.

Informationen zur Verwendung von Autokey nach der Aktivierung für einen Ordner finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

Von Autokey erstellte Schlüssel

Von Cloud KMS Autokey erstellte Schlüssel haben die folgenden Attribute:

• Schutzniveau: HSM
• Algorithmus: AES-256 GCM

• Rotationszeitraum: ein Jahr

  Nachdem ein Schlüssel von Autokey erstellt wurde, kann ein Cloud KMS-Administrator den standardmäßigen Rotationszeitraum bearbeiten.

• Aufgabentrennung:

  • Dem Dienstkonto für den Dienst werden automatisch Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels gewährt.
  • Die Cloud KMS-Administratorberechtigungen gelten wie gewohnt für Schlüssel, die von Autokey erstellt wurden. Cloud KMS-Administratoren können von Autokey erstellte Schlüssel ansehen, aktualisieren, aktivieren oder deaktivieren und löschen. Cloud KMS-Administratoren erhalten keine Berechtigungen zum Verschlüsseln und Entschlüsseln.
  • Autokey-Entwickler können nur die Erstellung und Zuweisung von Schlüsseln anfordern. Sie können Schlüssel weder ansehen noch verwalten.

• Schlüsselspezifität oder Detaillierungsgrad: Von Autokey erstellte Schlüssel haben einen Detaillierungsgrad, der je nach Ressourcentyp variiert. Dienstspezifische Details zum Detaillierungsgrad von Schlüsseln finden Sie auf dieser Seite unter Kompatible Dienste.

• Speicherort: Autokey erstellt Schlüssel am selben Ort wie die zu schützende Ressource.

  Wenn Sie CMEK-geschützte Ressourcen an Standorten erstellen müssen, an denen Cloud HSM nicht verfügbar ist, müssen Sie Ihren CMEK manuell erstellen.

• Schlüsselversionsstatus: Neu erstellte Schlüssel, die mit Autokey angefordert werden, werden im aktivierten Status als Primärschlüsselversion erstellt.

• Schlüsselbundbenennung: Alle von Autokey erstellten Schlüssel werden im Autokey-Projekt am ausgewählten Speicherort in einem Schlüsselbund namens autokey erstellt. Schlüsselbunde in Ihrem Autokey-Projekt werden erstellt, wenn ein Autokey-Entwickler den ersten Schlüssel an einem bestimmten Speicherort anfordert.

• Schlüsselbenennung: von Autokey erstellter Schlüssel folgt dieser Namenskonvention:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Wie alle Cloud KMS-Schlüssel können von Autokey erstellte Schlüssel nicht exportiert werden.

• Wie alle Cloud KMS-Schlüssel, die in integrierten CMEK-Diensten verwendet werden und mit dem Schlüssel-Tracking kompatibel sind, werden von Autokey erstellte Schlüssel im Cloud KMS-Dashboard verfolgt.

Autokey erzwingen

Wenn Sie die Verwendung von Autokey in einem Ordner erzwingen möchten, können Sie die IAM-Zugriffssteuerung mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden Berechtigungen für die Schlüsselerstellung von anderen Hauptkonten als dem Autokey-Dienst-Agent entfernt. Anschließend müssen alle Ressourcen mithilfe des Autokey-Schlüsselprojekts durch einen CMEK geschützt werden. Eine ausführliche Anleitung zum Erzwingen der Verwendung von Autokey finden Sie unter Autokey-Nutzung erzwingen.

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst	Geschützte Ressourcen	Detaillierungsgrad des Schlüssels
Cloud Storage	storage.googleapis.com/Bucket Objekte in einem Storage-Bucket verwenden den Bucket-Standardschlüssel. Autokey erstellt keine Schlüssel für storage.object-Ressourcen.	Ein Schlüssel pro Bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen. Autokey erstellt keine Schlüssel für compute.snapshot-Ressourcen.	Ein Schlüssel pro Ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey erstellt Standardschlüssel für Datasets. Für Tabellen, Modelle, Abfragen und temporäre Tabellen innerhalb eines Datasets wird der Standardschlüssel des Datasets verwendet. Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Datasets sind, müssen Sie auf Projekt- oder Organisationsebene eigene Standardschlüssel erstellen.	Ein Schlüssel pro Ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager ist nur mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Standort innerhalb eines Projekts

Beschränkungen

• Sie können eine AutokeyConfig-Ressource nicht löschen. Sie können Autokey für den Ordner deaktivieren, indem Sie AutokeyConfig aktualisieren, um enabled=false festzulegen. Das konfigurierte Schlüsselprojekt bleibt jedoch im AutokeyConfig. Sie können das konfigurierte Schlüsselprojekt ändern, indem Sie AutokeyConfig aktualisieren.
• Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
• Schlüssel-Handles sind nicht in Cloud Asset Inventory verfügbar.

Nächste Schritte

• Zur Verwendung von Cloud KMS Autokey muss ein Sicherheitsadministrator Cloud KMS Autokey aktivieren.
• Zur Verwendung von Cloud KMS Autokey nach der Aktivierung kann ein Entwickler CMEK-geschützte Ressourcen mit Autokey erstellen.