本文档简要介绍了如何将 Cloud Key Management Service (Cloud KMS) 用于客户管理的加密密钥 (CMEK)。使用 Cloud KMS CMEK 可让您拥有和控制用于保护 Google Cloud 中静态数据的密钥。
CMEK 与 Google 拥有的密钥和 Google 管理的密钥的比较
您创建的 Cloud KMS 密钥是客户管理的密钥。使用密钥的 Google 服务据称具有 CMEK 集成。您可以直接管理这些 CMEK,也可以通过 Cloud KMS Autokey(预览版)进行管理。以下因素区分了 Google 的默认静态加密与客户管理的密钥:
| 密钥类型 | 由客户管理,通过 Autokey(预览版) | 由客户管理(人工) | 由 Google 拥有和由 Google 管理(Google 的默认设置) |
|---|---|---|---|
| 可以查看密钥元数据 | 是 | 是 | 是 |
| 密钥所有权1 | 客户 | 客户 | |
| 可以管理和控制2按键3 | 密钥创建和分配是自动执行的。完全支持客户手动控制。 | 客户,仅限手动控制 | |
| 满足针对客户管理的密钥的监管要求 | 是 | 是 | 否 |
| 钥匙共享 | 对客户独有 | 对客户独有 | 来自多个客户的数据通常使用相同的密钥加密密钥 (KEK)。 |
| 控制密钥轮替 | 是 | 是 | 否 |
| CMEK 组织政策 | 是 | 是 | 否 |
| 价格 | 因具体情况而异 - 如需了解详情,请参阅价格。 Autokey 不会产生额外费用(预览版) | 因具体情况而异 - 如需了解详情,请参阅价格 | 免费 |
1 在法律术语中,密钥的所有者会指明谁拥有密钥的权利。客户拥有的密钥严格限制了访问权限,或者 Google 无法访问这些密钥。
2 对键的控制意味着对键的类型及其使用方式进行控制、检测方差并在需要时规划纠正措施。您可以控制密钥,但需将密钥的管理工作委托给第三方。
3 密钥的管理包括以下功能:
- 创建密钥。
- 选择密钥的保护级别。
- 分配管理密钥的权限。
- 控制对密钥的访问权限。
- 控制密钥的使用。
- 设置和修改密钥的轮替周期,或触发密钥轮替。
- 更改密钥状态。
- 销毁密钥版本。
使用 Google 拥有的密钥和 Google 管理的密钥进行默认加密
存储在 Google Cloud 中的所有数据均使用 Google 用于自己的加密数据的同一强化密钥管理系统进行静态加密。这些密钥管理系统提供严格的密钥访问控制和审核机制,并使用 AES-256 加密标准对静态用户数据进行加密。Google 拥有并控制用于加密数据的密钥。您无法查看或管理这些密钥,也无法查看密钥使用情况日志。来自多个客户的数据可能使用相同的密钥加密密钥 (KEK)。您无需进行任何设置、配置或管理。
如需详细了解 Google Cloud 中的默认加密,请参阅默认静态加密。
客户管理的加密密钥 (CMEK)
客户管理的加密密钥是您拥有的加密密钥。借助此功能,您可以更好地控制用于在受支持的 Google Cloud 服务中对静态数据进行加密的密钥,并为数据提供加密边界。您可以直接在 Cloud KMS 中管理 CMEK,也可以使用 Cloud KMS Autokey(预览版)自动预配和分配。
支持 CMEK 的服务具有 CMEK 集成。CMEK 集成是一种服务器端加密技术,可用于代替 Google 的默认加密。设置 CMEK 后,资源服务代理会处理资源的加密和解密操作。由于集成 CMEK 的服务可以处理对已加密资源的访问,因此加密和解密可以透明进行,无需最终用户操作。其访问资源的方式与使用 Google 的默认加密类似。 如需详细了解 CMEK 集成,请参阅 CMEK 集成服务提供的内容。
您可以为每个密钥使用不受限制的密钥版本。
如需了解服务是否支持 CMEK 密钥,请参阅支持的服务列表。
使用 Cloud KMS 会产生与密钥版本数量以及使用这些密钥版本的加密操作相关的费用。如需详细了解价格,请参阅 Cloud Key Management Service 价格。没有最低购买数量或承诺量要求。
搭配使用客户管理的加密密钥 (CMEK) 与 Cloud KMS Autokey
Cloud KMS Autokey 通过自动预配和分配,简化 CMEK 密钥的创建和管理。借助 Autokey,密钥环和密钥在创建资源的过程中按需生成,并为使用这些密钥执行加密和解密操作的服务代理自动授予必要的 Identity and Access Management (IAM) 角色。
使用 Autokey 生成的密钥可帮助您始终遵循数据安全的行业标准和推荐做法,包括密钥数据位置对齐、密钥特异性、硬件安全模块 (HSM) 保护级别、密钥轮替时间表和职责分离。Autokey 会为与 Autokey 集成的 Google Cloud 服务创建同时遵循一般准则和特定于资源类型的准则的密钥。使用 Autokey 创建的密钥的功能与其他采用相同设置的 Cloud HSM (Cloud HSM) 密钥相同,包括支持客户管理的密钥的监管要求。如需详细了解 Autokey,请参阅 Autokey 概览。
何时使用客户管理的密钥
您可以使用手动创建的 CMEK 密钥或兼容的服务中由 Autokey 创建的密钥来帮助您实现以下目标:
拥有加密密钥。
控制和管理加密密钥,包括选择位置、保护级别、创建、访问权限控制、轮替、使用和销毁。
在 Google Cloud 之外生成或维护密钥材料。
设置有关密钥必须在何处使用的政策。
在停用的情况下,有选择地删除受您的密钥保护的数据,或用于修复安全性事件(密钥销毁)。
使用客户独有的密钥,在数据周围建立加密边界。
创建客户独有的密钥以在您的数据周围建立加密边界。
符合现行或未来要求达成以上任一目标的法规。
CMEK 集成服务提供什么
与 Google 的默认加密方式一样,CMEK 也是客户数据的服务器端对称信封加密。与 Google 默认加密的区别在于,CMEK 保护使用由客户控制的密钥。在服务集成期间,使用 Autokey 手动或自动创建的 CMEK 密钥的运作方式不变。
具有 CMEK 集成的 Cloud 服务使用您在 Cloud KMS 中创建的密钥来保护资源。
与 Cloud KMS 集成的服务使用对称加密。
密钥的保护级别由您控制。
所有密钥都是 256 位 AES-GCM。
密钥材料绝不会离开 Cloud KMS 系统边界。
对称密钥用于在信封加密模型中进行加密和解密。
集成 CMEK 的服务可跟踪密钥和资源
集成 CMEK 的服务可处理资源访问
在 CMEK 集成的服务中创建或查看资源的主账号不需要为保护资源的 CMEK 使用 Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter)。
每个项目资源都有一个称为服务代理的特殊服务帐号,该帐号使用客户管理的密钥执行加密和解密。在您向服务代理授予对 CMEK 的访问权限后,该服务代理将使用该密钥来保护您选择的资源。
当请求者想要访问使用客户管理的密钥加密的资源时,服务代理会自动尝试对请求的资源进行解密。如果服务代理有权使用密钥进行解密,并且您没有停用或销毁密钥,则服务代理将提供密钥的加密和解密权限。否则,请求将失败。
不需要额外的请求者访问权限,而且由于服务代理在后台处理加密和解密,因此访问资源的用户体验与使用 Google 的默认加密类似。
为 CMEK 使用 Autokey
对于要使用 Autokey 的每个文件夹,都有一个一次性设置流程。您应该选择一个支持 Autokey 的文件夹,以及一个关联的密钥项目,Autokey 在其中存储该文件夹的密钥。如需详细了解如何启用 Autokey,请参阅启用 Cloud KMS Autokey。
与手动创建 CMEK 密钥相比,Autokey 不需要执行以下设置步骤:
密钥管理员不需要手动创建密钥环或密钥,也不需要为加密和解密数据的服务代理分配权限。Cloud KMS 服务代理会代表它们执行这些操作。
开发者无需在创建资源之前提前规划来请求密钥。他们可以根据需要自行向 Autokey 请求密钥,同时仍保持职责分离。
使用 Autokey 时,只需一步:开发者在创建资源的过程中请求密钥。返回的键与预期资源类型一致。
对于以下功能,使用 Autokey 创建的 CMEK 密钥的行为方式与手动创建的密钥相同:
与 CMEK 集成的服务具有相同的行为方式。
密钥管理员可以继续通过 Cloud KMS 信息中心和密钥使用情况跟踪来监控创建和使用的所有密钥。
组织政策使用 Autokey 的方式与使用手动创建的 CMEK 密钥的方式相同。
如需简要了解 Autokey,请参阅 Autokey 概览。如需详细了解如何使用 Autokey 创建受 CMEK 保护的资源,请参阅使用 Cloud KMS Autokey 创建受保护的资源。
手动创建 CMEK 密钥
手动创建 CMEK 密钥时,必须在创建资源之前规划和创建密钥环、密钥和资源位置。然后,您可以使用密钥来保护资源。
如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。某些服务(如 GKE)具有多个 CMEK 集成,用于保护与服务相关的不同类型的数据。您可以按照以下步骤操作:
创建 Cloud KMS 密钥环或选择现有的密钥环。创建密钥环时,请选择地理位置靠近您要保护的资源的位置。密钥环可以与您要保护的资源位于同一项目中,也可以位于不同的项目中。使用不同的项目可以更好地控制 IAM 角色,并且有助于支持职责分离。
您可以在所选密钥环中创建或导入 Cloud KMS 密钥。此密钥就是 CMEK 密钥。
您将 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予服务的服务帐号。创建资源时,请将资源配置为使用 CMEK 密钥。例如,您可以将 GKE 集群配置为使用 CMEK 来保护节点的启动磁盘上的静态数据。
请求者无需直接访问 CMEK 密钥即可访问数据。
只要服务代理具有 CryptoKey Encrypter/Decrypter 角色,服务就可以加密和解密其数据。如果您撤消此角色,或者停用或销毁 CMEK 密钥,则无法访问该数据。
CMEK 合规性
某些服务具有 CMEK 集成,可让您自行管理密钥。 有些服务改为提供 CMEK 合规性,这意味着临时数据和临时密钥绝不会写入磁盘。如需查看集成且合规的服务的完整列表,请参阅与 CMEK 兼容的服务。
密钥使用情况跟踪
密钥使用情况跟踪会显示组织中受 CMEK 密钥保护的 Google Cloud 资源。借助密钥使用情况跟踪功能,您可以查看使用特定密钥的受保护资源、项目和唯一 Google Cloud 产品,以及密钥是否正在使用中。如需详细了解如何跟踪密钥使用情况,请参阅查看密钥使用情况
CMEK 组织政策
Google Cloud 提供了组织政策限制条件,以帮助确保在整个组织资源中使用 CMEK 的一致性。这些限制为组织管理员提供了控制机制,可以使组织管理员要求使用 CMEK,并针对用于保护 CMEK 的 Cloud KMS 密钥指定限制和控制措施,具体包括:
允许的密钥保护级别的限制
针对 CMEK 密钥的位置的限制
密钥版本销毁控件
如需详细了解 CMEK 的组织政策,请参阅 CMEK 组织政策。
后续步骤
- 请参阅具有 CMEK 集成的服务列表。
- 请参阅符合 CMEK 的服务列表。
- 查看可以跟踪密钥使用情况的资源类型列表。
- 请参阅 Autokey 支持的服务列表。