Autokey – Übersicht

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden einer vom Kunden verwalteten Verschlüsselung Schlüssel (CMEKs) durch automatische Bereitstellung und Zuweisung. Mit Autokey müssen Sie für Ihre Schlüsselbunde, Schlüssel und Dienstkonten geplant und bereitgestellt werden, bevor sie benötigt werden. Stattdessen wird Autokey generiert Ihre Schlüssel nach Bedarf, während Ihre Ressourcen erstellt werden. delegierte Berechtigungen anstelle von Cloud KMS-Administratoren.

Die Verwendung der von Autokey generierten Schlüssel kann Ihnen helfen, Branchenstandards und empfohlenen Praktiken für die Datensicherheit, einschließlich der HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüssel und Spezifität. Autokey erstellt Schlüssel, die beiden allgemeinen Richtlinien entsprechen und Richtlinien speziell für den Ressourcentyp für Google Cloud-Dienste die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, die über die Autokey-Funktion angefragt wurde, Cloud HSM-Schlüssel mit denselben Einstellungen.

Autokey kann auch die Nutzung von Terraform für die Schlüsselverwaltung vereinfachen. Wegfall der Notwendigkeit, Infrastruktur als Code mit umfassender Schlüsselerstellung auszuführen Berechtigungen.

Zur Verwendung von Autokey benötigen Sie eine Organisationsressource mit Ordnerressource. Weitere Informationen zu Organisations- und Ordnerressourcen Siehe Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, in denen Cloud HSM ist verfügbar. Weitere Informationen zu Cloud KMS finden Sie unter Cloud KMS-Standorte. Es gibt keine zusätzliche Kosten für die Nutzung von Cloud KMS Autokey. Schlüssel erstellt mit Die Kosten für Autokey-Schlüssel entsprechen denen anderer Cloud HSM-Schlüssel. Für Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.

So funktioniert Autokey

In diesem Abschnitt wird die Funktionsweise von Cloud KMS Autokey erläutert. Die folgenden Nutzerrollen an diesem Prozess teilnehmen:

Sicherheitsadministrator

Der Sicherheitsadministrator ist ein Nutzer, der für für die Sicherheitsverwaltung auf Ordner- oder Organisationsebene.

Autokey-Entwickler

Der Autokey-Entwickler ist ein Nutzer, der verantwortlich für das Erstellen von Ressourcen mit Cloud KMS Autokey.

Cloud KMS-Administrator

Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei der Verwendung von Autokey weniger Verantwortung als bei manuell erstellten Schlüssel.

Die folgenden Servicemitarbeiter sind ebenfalls an diesem Vorgang beteiligt:

Cloud KMS-Dienst-Agent

Der Dienst-Agent für Cloud KMS in einer eines bestimmten Schlüsselprojekts. Für Autokey ist es erforderlich, dass dieser Dienst-Agent Berechtigungen zum Erstellen von Cloud KMS-Schlüsseln und -Schlüsselbunden sowie zum IAM-Richtlinie für die Schlüssel festlegen und Ver- und Entschlüsselung gewähren Berechtigungen für jeden Ressourcendienst-Agent.

Ressourcendienst-Agent

Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekts. Dieser Dienst-Agent muss Verschlüsselungs- und Entschlüsselungsrechte haben Berechtigungen für einen Cloud KMS-Schlüssel gewähren, bevor er CMEK-Schutz für eine Ressource. Autokey erstellt den Ressourcendienst gewährt ihm bei Bedarf die erforderlichen Berechtigungen zur Verwendung des Cloud KMS-Schlüssel.

Der Sicherheitsadministrator aktiviert Cloud KMS Autokey

Bevor Sie Autokey verwenden können, muss der Sicherheitsadministrator die folgenden Schritte ausführen die folgenden einmaligen Einrichtungsaufgaben ausführen:

1. Aktivieren Sie Cloud KMS Autokey für einen Ressourcenordner und identifizieren Sie den Cloud KMS-Projekt, das Autokey-Ressourcen für in diesem Ordner.

2. Erstellen Sie den Cloud KMS-Dienst-Agent und gewähren Sie dann Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

3. Gewähren Sie Nutzern von Autokey-Entwicklern Autokey-Nutzerrollen.

Wenn diese Konfiguration abgeschlossen ist, können Autokey-Entwickler jetzt On-Demand-Erstellung von Cloud HSM-Schlüsseln Eine vollständige Anleitung zur Einrichtung von Informationen zu Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden Cloud KMS Autokey

Nachdem Autokey erfolgreich eingerichtet wurde, autorisiert Autokey Entwickler können jetzt Ressourcen erstellen, die mit für sie erstellten Schlüsseln geschützt sind on demand. Die Details der Ressourcenerstellung hängen davon ab, welche Ressource aber der Prozess folgt diesem Ablauf:

1. Der Autokey-Entwickler beginnt, eine Ressource in einem kompatiblen Google Cloud-Dienst. Bei der Ressourcenerstellung fordert der Entwickler einen neuen Schlüssel vom Autokey-Dienst-Agent.

2. Der Autokey-Dienst-Agent empfängt die Anfrage des Entwicklers und führt folgende Schritte aus:

   1. Erstellen Sie im Schlüsselprojekt am ausgewählten Speicherort einen Schlüsselbund, es sei denn Schlüsselbund ist bereits vorhanden.
   2. Erstellen Sie im Schlüsselbund einen Schlüssel mit der entsprechenden Granularität für den Ressourcentyp, es sei denn, ein solcher Schlüssel ist bereits vorhanden.
   3. Erstellen Sie das Dienstkonto pro Projekt und Dienstkonto, es sei denn, dieser Dienst Konto ist bereits vorhanden.
   4. Dem Dienstkonto pro Projekt und Dienstkonto Ver- und Entschlüsselung gewähren Berechtigungen für den Schlüssel.
   5. Geben Sie die wichtigsten Details an den Entwickler weiter, damit er die Erstellung abschließen kann .

3. Wenn Schlüsseldetails vom Autokey-Dienst erfolgreich zurückgegeben wurden -Agent kann der Entwickler das Erstellen der geschützten Ressource sofort abschließen.

Cloud KMS Autokey erstellt Schlüssel mit den Attributen, die in der nächsten Abschnitt. Bei diesem Vorgang für die Schlüsselerstellung wird Aufgabentrennung. Cloud KMS hat der Administrator weiterhin volle Transparenz und Kontrolle über die Schlüssel, die von Autokey.

Informationen zum Verwenden von Autokey nach der Aktivierung für einen Ordner finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen

Von Autokey erstellte Schlüssel

Von Cloud KMS Autokey erstellte Schlüssel haben die folgenden Attribute:

• Schutzniveau: HSM
• Algorithmus: AES-256 GCM

• Rotationszeitraum: ein Jahr

  Sobald ein Schlüssel von Autokey erstellt wurde, Administrator kann den standardmäßigen Rotationszeitraum bearbeiten.

• Aufgabentrennung:

  • Dem Dienstkonto für den Dienst wird automatisch die Verschlüsselung und Berechtigungen für den Schlüssel zu entschlüsseln.
  • Cloud KMS-Administratorberechtigungen werden wie gewohnt auf Schlüssel angewendet von Autokey erstellt. Cloud KMS-Administratoren können Schlüssel, die von erstellt wurden, anzeigen, aktualisieren, aktivieren oder deaktivieren und löschen Autokey. Cloud KMS-Administratoren werden nicht Verschlüsselungs- und Entschlüsselungsberechtigungen.
  • Autokey-Entwickler können nur die Schlüsselerstellung und Zuweisen. Sie können Schlüssel weder ansehen noch verwalten.

• Spezifität oder Detaillierungsgrad von Schlüsseln: Von Autokey erstellte Schlüssel haben eine Detaillierungsgrad, der je nach Ressourcentyp variiert. Für dienstspezifische Details über Detaillierungsgrad des Schlüssels, siehe Kompatible Dienste Seite.

• Speicherort: Autokey erstellt Schlüssel am selben Speicherort wie die Ressource. zu schützen.

  Wenn Sie CMEK-geschützte Ressourcen an Standorten erstellen müssen, an denen Cloud HSM ist nicht verfügbar. Sie müssen Ihren CMEK manuell erstellen.

• Schlüsselversionsstatus: Neu erstellte Schlüssel, die mit Autokey angefordert wurden werden als Primärschlüsselversion im aktivierten Status erstellt.

• Schlüsselbundbenennung: Alle von Autokey erstellten Schlüssel werden in einem Schlüsselbund namens autokey im Autokey-Projekt im ausgewählten Standort. Schlüsselbunde in Ihrem Autokey-Projekt werden erstellt, wenn ein Der Autokey-Entwickler fordert den ersten Schlüssel an einem bestimmten Speicherort an.

• Schlüsselbenennung: von Autokey erstellter Schlüssel folgt dieser Namenskonvention:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Wie bei allen Cloud KMS-Schlüsseln können von Autokey erstellte Schlüssel nicht exportiert.

• Wie alle Cloud KMS-Schlüssel, die in CMEK-integrierten Diensten verwendet werden, kompatibel mit Key Tracking, Schlüsseln, die von Autokey wird im Cloud KMS-Dashboard verfolgt.

Autokey erzwingen

Wenn Sie die Verwendung von Autokey innerhalb eines Ordners erzwingen möchten, können Sie dies tun indem Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dabei werden Berechtigungen für die Schlüsselerstellung von anderen Hauptkonten entfernt als dem für den Autokey-Dienst-Agent erforderlich ist, durch einen CMEK mit dem Autokey-Schlüsselprojekt geschützt. Ausführliche Informationen Anweisungen zum Erzwingen der Verwendung von Autokey finden Sie unter Erzwingen Autokey-Nutzung

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die kompatibel mit Cloud KMS-Autokey:

Dienst	Geschützte Ressourcen	Detaillierungsgrad des Schlüssels
Cloud Storage	storage.googleapis.com/Bucket Objekte innerhalb eines Storage-Bucket verwendet den Bucket-Standardschlüssel. Autokey erstellt nicht Schlüssel für storage.object Ressource.	Ein Schlüssel pro Bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen. Autokey erstellt keine Schlüssel für compute.snapshot Ressourcen.	Ein Schlüssel pro Ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey erstellt Standardschlüssel für Datasets. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden die Dataset-Standardeinstellung . Autokey erstellt keine Schlüssel für BigQuery-Ressourcen als Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Dataset ist, müssen Sie Ihre eigenen Standardschlüssel im Projekt oder Organisationsebene.	Ein Schlüssel pro Ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager ist nur mit Cloud KMS Autokey kompatibel wenn Sie Ressourcen mit Terraform oder der REST API erstellen.	Ein Schlüssel pro Standort innerhalb eines Projekts

Beschränkungen

• Sie können eine AutokeyConfig-Ressource nicht löschen. Sie können Folgendes deaktivieren: Autokey für den Ordner durch Aktualisieren von AutokeyConfig aktualisieren enabled=false, aber das konfigurierte Schlüsselprojekt bleibt im AutokeyConfig Sie können das konfigurierte Schlüsselprojekt ändern, indem Sie AutokeyConfig.
• Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
• Schlüssel-Handles sind nicht in Cloud Asset Inventory verfügbar.

Nächste Schritte

• Sicherheitsadministrator zum Einstieg in Cloud KMS Autokey muss Cloud KMS Autokey aktivieren.
• Zur Verwendung von Cloud KMS Autokey nach der Aktivierung kann ein Entwickler CMEK-geschützte Ressourcen mit Autokey erstellen