Cloud KMS Autokey 可简化客户管理的加密的创建和使用过程 密钥 (CMEK)。借助 Autokey,系统会按需生成密钥环和密钥。系统会根据需要创建使用密钥加密和解密资源的服务账号,并授予相应的 Identity and Access Management (IAM) 角色。Cloud KMS 管理员可以保留对 Autokey 创建的密钥的完全控制权和可见性,而无需预先规划和创建每个资源。
使用 Autokey 生成的密钥可帮助您始终与 数据安全的业界标准和推荐做法,包括 HSM 保护级别、职责分离、密钥轮替、位置和密钥 特异性。Autokey 会创建同时遵循两个常规准则的密钥 与 Google Cloud 服务资源类型相关的准则和指南 与 Cloud KMS Autokey 集成的应用创建后,使用 Autokey 请求的密钥的运作方式与具有相同设置的其他 Cloud HSM 密钥完全相同。
Autokey 还可以简化 Terraform 在密钥管理方面的使用,让您无需使用提升的密钥创建权限运行基础架构即代码。
如需使用 Autokey,您必须拥有一个包含以下内容的组织资源: 文件夹资源。如需详细了解组织和文件夹资源 请参阅资源层次结构。
Cloud KMS Autokey 在提供 Cloud HSM 的所有 Google Cloud 位置均可用。详细了解 Cloud KMS 请参阅 Cloud KMS 位置。使用 Cloud KMS Autokey 无需额外付费。使用 Autokey 创建的密钥的价格与任何其他 Cloud HSM 密钥相同。如需详细了解价格,请参阅 Cloud Key Management Service 价格。
Autokey 的运作方式
本部分介绍 Cloud KMS Autokey 的工作原理。以下用户角色 参与此流程:
- 安全管理员
- 安全管理员是负责 在文件夹级或组织级管理安全性。
- Autokey 开发者
- Autokey 开发者是负责使用 Cloud KMS Autokey 创建资源的用户。
- Cloud KMS 管理员
- Cloud KMS 管理员是负责管理 Cloud KMS 资源的用户。与使用手动创建的密钥相比,使用 Autokey 时,此角色的职责更少。
以下服务代理也参与此流程:
- Cloud KMS Service Agent
- Cloud KMS 中 给定密钥项目。Autokey 依赖于此服务代理具有提升的权限,以创建 Cloud KMS 密钥和密钥环,并在密钥上设置 IAM 政策,为每个资源服务代理授予加密和解密权限。
- 资源服务代理
- 给定资源项目中给定服务的服务代理。此服务代理必须具有加密和解密功能, 任何 Cloud KMS 密钥的权限,然后才能将该密钥用于 对资源的 CMEK 保护。Autokey 会创建资源服务 并在需要时向其授予必要的权限 Cloud KMS 密钥。
安全管理员会启用 Cloud KMS Autokey
安全管理员必须先完成设置,然后才能使用 Autokey 以下一次性设置任务:
在资源文件夹上启用 Cloud KMS Autokey,并确定将包含该文件夹的 Autokey 资源的 Cloud KMS 项目。
创建 Cloud KMS 服务代理,然后向服务代理授予密钥创建和分配权限。
向 Autokey 开发者用户授予 Autokey 用户角色。
完成此配置后,Autokey 开发者现在可以 按需创建 Cloud HSM 密钥。要查看 Cloud KMS Autokey,请参阅启用 Cloud KMS Autokey。
Autokey 开发者使用 Cloud KMS Autokey
Autokey 设置成功后,对 Autokey 进行了授权 开发者现在可以创建使用为其创建的密钥进行保护的资源 。资源创建过程的细节取决于具体的资源 但此过程遵循以下流程:
Autokey 开发者开始在兼容的 Google Cloud 服务中创建资源。在创建资源的过程中,开发者会请求 Autokey 服务代理的新密钥。
Autokey 服务代理收到开发者的请求,并 完成下列步骤:
- 在所选位置的密钥项目中创建密钥环,除非 该密钥环已存在
- 在密钥环中创建一个具有适当资源类型粒度的密钥,除非此类密钥已存在。
- 为每个项目、每项服务创建服务账号,除非该服务 账号已存在。
- 为每个项目、每个服务的服务账号授予加密和解密权限 密钥的权限。
- 请向开发者提供关键的详细信息,以便他们完成创建 资源。
在 Autokey 服务代理成功返回密钥详细信息后,开发者可以立即完成创建受保护资源的操作。
Cloud KMS Autokey 创建的密钥具有 。此密钥创建流程会保留 职责分离。Cloud KMS 管理员可以继续全面了解和控制 Autokey。
在文件夹上启用 Autokey 后,如需开始使用它,请参阅 使用 Cloud KMS Autokey 创建受保护的资源。
关于 Autokey 创建的密钥
Cloud KMS Autokey 创建的密钥具有以下特性:
- 保护级别:HSM。
- 算法:AES-256 GCM。
轮替周期:一年。
Autokey 创建密钥后,Cloud KMS 管理员可以修改默认的轮替周期。
- 职责分离:
- 系统会自动向该服务的服务账号授予加密和 解密密钥的权限。
- Cloud KMS 管理员权限会照常应用于 Autokey 创建的密钥。Cloud KMS 管理员可以查看、更新、启用或停用 Autokey 创建的密钥,以及销毁这些密钥。没有为 Cloud KMS 管理员提供权限 加密和解密权限
- Autokey 开发者只能请求创建密钥, 分配。但不能查看或管理密钥。
- 密钥的具体性或精细程度:Autokey 创建的密钥的精细程度因资源类型而异。有关具体服务的详细信息 如需了解键粒度,请参阅本页面中的兼容的服务。
位置:AutoKey 会在要保护的资源所在的位置创建密钥。
如果您需要在 Cloud HSM 不可用,您必须手动创建 CMEK。
- 密钥版本状态:使用 Autokey 请求的新建密钥 在启用状态下被创建为主密钥版本。
- 密钥环命名:Autokey 创建的所有密钥都将在所选位置的 Autokey 项目中名为
autokey的密钥环中创建。当 Autokey 开发者请求在给定位置获取第一个密钥时,Autokey 项目中的密钥环便会创建。 - 按键命名:Autokey 创建的按键遵循以下命名惯例:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - 密钥导出:与所有 Cloud KMS 密钥一样, 无法导出 Autokey。
- 密钥跟踪:与与密钥跟踪兼容的集成 CMEK 服务中使用的所有 Cloud KMS 密钥一样,Autokey 创建的密钥也会在 Cloud KMS 信息中心内跟踪。
强制执行 Autokey
如果要在一个文件夹中强制使用 Autokey,可以这样做 将 IAM 访问权限控制与 CMEK 组织政策相结合。 为此,您需要移除 Autokey 服务代理,然后要求必须 由 CMEK 进行保护。如需详细了解如何强制使用 Autokey,请参阅强制使用 Autokey。
兼容的服务
下表列出了与 Cloud KMS AutoKey 兼容的服务:
| 服务 | 受保护资源 | 键粒度 |
|---|---|---|
| Cloud Storage |
存储桶中的对象使用存储桶的默认密钥。Autokey 不会为 |
每个存储桶一个键 |
| Compute Engine |
快照使用您要为其创建快照的磁盘的密钥。
Autokey 不会为 |
每项资源一个密钥 |
| BigQuery |
Autokey 会为数据集创建默认键。数据集中的表、模型、查询和临时表使用数据集默认密钥。 Autokey 不会为 BigQuery 资源创建密钥 数据。为了保护不属于 那么您必须在项目中自行创建默认密钥,或者 组织级别。 |
每项资源一个密钥 |
| Secret Manager |
只有在使用 Terraform 或 REST API 创建资源时,Secret Manager 才与 Cloud KMS Autokey 兼容。 |
项目中每个位置一个密钥 |
| Cloud SQL |
Cloud SQL 仅与 Cloud KMS Autokey 兼容 (使用 Terraform 或 REST API 创建资源时)。 |
每个资源一个密钥 |
| Spanner |
只有在使用 Terraform 或 REST API 创建资源时,Spanner 才与 Cloud KMS Autokey 兼容。 |
每个资源一个密钥 |
限制
- gcloud CLI 不适用于 Autokey 资源。
- 密钥句柄不在 Cloud Asset Inventory 中。
后续步骤
- 如需开始使用 Cloud KMS Autokey,安全管理员必须启用 Cloud KMS Autokey。
- 如需在 Cloud KMS Autokey 启用后使用它,开发者可以 使用 Autokey 创建受 CMEK 保护的资源。
- 了解 CMEK 最佳实践。