In diesem Dokument finden Sie einen Überblick über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Mit Cloud KMS CMEK haben Sie die Inhaberschaft und Kontrolle über die Schlüssel, die Ihre ruhenden Daten inGoogle Cloudschützen.
Vergleich: CMEK und Verschlüsselungsschlüssel von Google und von Google
Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel. Google Cloud -Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS Autokey verwalten. Die folgenden Faktoren unterscheiden die standardmäßige Ruhedatenverschlüsselung von Google Cloudvon kundenverwalteten Schlüsseln:
| Schlüsseltyp | Cloud KMS Autokey | Vom Kunden verwaltete Cloud KMS-Schlüssel (manuell) | Verschlüsselungsschlüssel, der von Google verwaltet wird und zu Google gehört (Standardverschlüsselung von Google) |
|---|---|---|---|
Kann wichtige Metadaten einsehen |
Ja |
Ja |
Nein |
Inhaberschaft von Schlüsseln1 |
Kunde |
Kunde |
|
Die Schlüsselerstellung und -zuweisung ist automatisiert. Die manuelle Steuerung durch den Kunden wird vollständig unterstützt. |
Kunde, nur manuelle Steuerung |
||
Unterstützung gesetzlicher Anforderungen für vom Kunden verwaltete Schlüssel |
Ja |
Ja |
Nein |
Schlüsselfreigabe |
Eindeutig für einen Kunden |
Eindeutig für einen Kunden |
Daten mehrerer Kunden werden in der Regel durch Schlüsselverschlüsselungsschlüssel (Shared Key Encryption Keys, KEKs) geschützt. |
Steuerung der Schlüsselrotation |
Ja |
Ja |
|
Ja |
Ja |
Nein | |
Verwaltung und Datenzugriff auf Verschlüsselungsschlüssel protokollieren |
Ja |
Ja |
Nein |
Logische Datentrennung durch Verschlüsselung |
Ja |
Ja |
|
Preise |
Variiert | Kostenlos |
1 Der Inhaber des Schlüssels gibt an, wer die Rechte an dem Schlüssel hat. Google hat nur eingeschränkten oder keinen Zugriff auf Schlüssel, deren Inhaber Sie sind.
2 Die Verwaltung von Schlüsseln umfasst die folgenden Aufgaben:
- Erstellen Sie Schlüssel.
- Wählen Sie das Schutzniveau der Schlüssel aus.
- Weisen Sie die Berechtigung zur Verwaltung der Schlüssel zu.
- Zugriff auf Schlüssel steuern
- Verwendung von Schlüsseln steuern
- Legen Sie den Rotationszeitraum für Schlüssel fest und ändern Sie ihn oder lösen Sie eine Schlüsselrotation aus.
- Schlüsselstatus ändern
- Schlüsselversionen löschen
3 Die Kontrolle von Schlüsseln bedeutet, die Art der Schlüssel und ihre Verwendung festzulegen, Abweichungen zu erkennen und bei Bedarf Korrekturmaßnahmen zu planen. Sie können Ihre Schlüssel verwalten, die Verwaltung der Schlüssel aber an einen Drittanbieter delegieren.
Standardverschlüsselung mit Verschlüsselungsschlüsseln, die von Google verwaltet werden und auf Google Cloud basieren
Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die wir auch für unsere eigenen verschlüsselten Daten verwenden. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungsstandard. Google Cloud ist Inhaber und verwaltet die Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden. Sie können diese Schlüssel nicht aufrufen oder verwalten und auch keine Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloudfinden Sie unter Standardverschlüsselung inaktiver Daten.Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Eigentümer Sie sind. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zur Verschlüsselung ruhender Daten in unterstützten Diensten von Google Cloud verwendet werden, und können Ihre Daten besser schützen. Sie können CMEKs direkt in Cloud KMS verwalten oder die Bereitstellung und Zuweisung mit Cloud KMS Autokey automatisieren.
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung vonGoogle Cloudverwenden können. Nach der Einrichtung von CMEK werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Ressourcen-Dienst-Agenten ausgeführt. Da der Zugriff auf die verschlüsselte Ressource von Diensten mit integrierter CMEK-Technologie verwaltet wird, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Google Cloud. Weitere Informationen zur CMEK-Integration finden Sie unter Vorteile eines CMEK-integrierten Dienstes.
Sie können für jeden Schlüssel eine unbegrenzte Anzahl von Schlüsselversionen verwenden.
Ob ein Dienst CMEKs unterstützt, sehen Sie in der Liste der unterstützten Dienste.
Die Verwendung von Cloud KMS verursacht Kosten, die sich auf die Anzahl der Schlüsselversionen und die kryptografischen Vorgänge mit diesen Schlüsselversionen beziehen. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise. Es gelten keine Mindestbestellmengen oder Mindestlaufzeiten.
Kundenseitig verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey
Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEKs durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselringe und Schlüssel bei der Ressourcenerstellung auf Anfrage generiert. Dienst-Agenten, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden, erhalten automatisch die erforderlichen IAM-Rollen (Identity and Access Management).
Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die branchenüblichen Standards und empfohlenen Praktiken für die Datensicherheit einhalten, einschließlich der Ausrichtung des Speicherorts der Schlüsseldaten, der Schlüsselspezifität, des Schutzniveaus des Hardwaresicherheitsmoduls (HSM), des Schlüsselrotationszeitplans und der Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud -Dienste entsprechen, die mit Autokey integriert sind. Mit Autokey erstellte Schlüssel funktionieren genau wie andere Cloud HSM-Schlüssel mit denselben Einstellungen, einschließlich der Unterstützung von rechtlichen Anforderungen für vom Kunden verwaltete Schlüssel. Weitere Informationen zu Autokey finden Sie unter Autokey-Übersicht.
Wann sollten Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden?
Sie können manuell erstellte CMEKs oder von Autokey erstellte Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Generieren Sie Schlüsselmaterial in Cloud KMS oder importieren Sie Schlüsselmaterial, das außerhalb von Google Cloudverwaltet wird.
Legen Sie eine Richtlinie fest, wo Ihre Schlüssel verwendet werden müssen.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, beim Offboarding oder zur Behebung von Sicherheitsereignissen selektiv löschen (Crypto-Shredding).
Erstellen und verwenden Sie Schlüssel, die für einen Kunden eindeutig sind, und schaffen Sie so eine kryptografische Grenze um Ihre Daten.
Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Sie müssen aktuelle oder zukünftige Bestimmungen einhalten, die eines dieser Ziele erfordern.
Vorteile eines CMEK-integrierten Dienstes
Wie die Standardverschlüsselung von Google Cloudist CMEK eine serverseitige, symmetrische, Umschlagverschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google Cloudbesteht darin, dass beim CMEK-Schutz ein Schlüssel verwendet wird, der vom Kunden verwaltet wird. CMEKs, die manuell oder automatisch mit Autokey erstellt wurden, funktionieren bei der Dienstintegration auf die gleiche Weise.
Cloud-Dienste mit CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
Dienste, die in Cloud KMS eingebunden sind, verwenden die symmetrische Verschlüsselung.
Sie wählen das Schutzniveau des Schlüssels aus.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Systemgrenzen von Cloud KMS.
Ihre symmetrischen Schlüssel werden im Verschlüsselungsmodell für Umschläge zum Verschlüsseln und Entschlüsseln verwendet.
CMEK-integrierte Dienste erfassen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadaten-Feld, das den Namen des Schlüssels enthält, mit dem sie verschlüsselt werden. Normalerweise ist diese Information in den Ressourcenmetadaten für Kunden sichtbar.
Mit dem Schlüssel-Tracking sehen Sie, welche Ressourcen ein Schlüssel für Dienste schützt, die das Schlüssel-Tracking unterstützen.
Schlüssel können nach Projekt aufgelistet werden.
CMEK-integrierte Dienste verwalten den Ressourcenzugriff
Für das Prinzipal, das Ressourcen im CMEK-integrierten Dienst erstellt oder aufruft, ist die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK, der zum Schutz der Ressource verwendet wird, nicht erforderlich.
Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agent, der die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln durchführt. Nachdem Sie dem Kundenservicemitarbeiter Zugriff auf einen CMEK gewährt haben, verwendet dieser Kundenservicemitarbeiter diesen Schlüssel, um die von Ihnen ausgewählten Ressourcen zu schützen.
Wenn ein Antragsteller auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung zum Entschlüsseln mit dem Schlüssel hat und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, stellt der Dienst-Agent die Verschlüsselung und Entschlüsselung mit dem Schlüssel bereit. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Zugriff des Antragstellers erforderlich. Da der Dienstagent die Verschlüsselung und Entschlüsselung im Hintergrund übernimmt, ähnelt die Nutzererfahrung beim Zugriff auf Ressourcen der Standardverschlüsselung von Google Cloud.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie Autokey verwenden möchten, ist eine einmalige Einrichtung erforderlich. Sie wählen einen Ordner mit Autokey-Unterstützung und ein zugehöriges Schlüsselprojekt aus, in dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEKs sind bei Autokey die folgenden Einrichtungsschritte nicht erforderlich:
Schlüsseladministratoren müssen keine Schlüsselringe oder Schlüssel manuell erstellen und den Dienstmitarbeitern keine Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten zuweisen. Der Cloud KMS-Dienst-Agent führt diese Aktionen in ihrem Namen aus.
Entwickler müssen nicht im Voraus planen, um vor dem Erstellen von Ressourcen Schlüssel anzufordern. Sie können nach Bedarf selbst Schlüssel bei Autokey anfordern und dabei die Aufgabentrennung wahren.
Bei der Verwendung von Autokey ist nur ein Schritt erforderlich: Der Entwickler fordert die Schlüssel im Rahmen der Ressourcenerstellung an. Die zurückgegebenen Schlüssel sind für den gewünschten Ressourcentyp konsistent.
Die mit Autokey erstellten CMEKs verhalten sich bei den folgenden Funktionen genauso wie manuell erstellte Schlüssel:
CMEK-integrierte Dienste verhalten sich genauso.
Der Schlüsseladministrator kann weiterhin alle erstellten und verwendeten Schlüssel über das Cloud KMS-Dashboard und die Schlüsselnutzungsaufzeichnung im Blick behalten.
Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEKs.
Eine Übersicht über Autokey finden Sie unter Autokey. Weitere Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.
CMEKs manuell erstellen
Wenn Sie Ihre CMEKs manuell erstellen, müssen Sie Schlüsselringe, Schlüssel und Ressourcenspeicherorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Sie können dann Ihre Schlüssel verwenden, um die Ressourcen zu schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligenGoogle Cloud -Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Gehen Sie wie folgt vor:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen des Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe der zu schützenden Ressourcen befindet. Der Schlüsselbund kann sich im selben Projekt wie die zu schützenden Ressourcen oder in verschiedenen Projekten befinden. Wenn Sie verschiedene Projekte verwenden, haben Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel in den ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.
Sie weisen dem Dienstkonto für den Dienst die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel zu.Konfigurieren Sie beim Erstellen einer Ressource die Ressource für die Verwendung des CMEK. Sie können beispielsweise eine BigQuery-Tabelle so konfigurieren, dass ruhende Daten in der Tabelle geschützt werden.
Damit ein Antragsteller auf die Daten zugreifen kann, benötigt er keinen direkten Zugriff auf den CMEK.
Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen und ermöglichen es Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Compliance, d. h., die temporären Daten und der sitzungsspezifische Schlüssel werden nie auf die Festplatte geschrieben. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.
Tracking der Schlüsselnutzung
Mit der Schlüsselnutzungsüberwachung sehen Sie die Google Cloud -Ressourcen in Ihrer Organisation, die durch Ihre CMEKs geschützt sind. Mit der Schlüsselnutzungsüberwachung können Sie die geschützten Ressourcen, Projekte und eindeutigen Google Cloud -Produkte ansehen, die einen bestimmten Schlüssel verwenden, und prüfen, ob Schlüssel verwendet werden. Weitere Informationen zum Tracking der Schlüsselnutzung finden Sie unter Schlüsselnutzung ansehen.
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um eine einheitliche CMEK-Nutzung für eine Organisationsressource zu ermöglichen. Mit diesen Einschränkungen können Organisationsadministratoren die Verwendung von CMEK erzwingen und Einschränkungen und Steuerelemente für die für den CMEK-Schutz verwendeten Cloud KMS-Schlüssel festlegen, darunter:
Einschränkungen für die Verwendung von Cloud KMS-Schlüsseln für den CMEK-Schutz
Einschränkungen für zulässige Schutzniveaus von Schlüsseln
Einschränkungen für den Speicherort von CMEKs
Einstellungen für die Löschung von Schlüsselversionen
Nächste Schritte
- Weitere Informationen finden Sie in der Liste der Dienste mit CMEK-Integrationen.
- Weitere Informationen finden Sie in der Liste der CMEK-kompatiblen Dienste.
- Liste der Ressourcentypen, für die das Tracking der Schlüsselnutzung aktiviert werden kann
- Liste der von Autokey unterstützten Dienste