Dieses Dokument bietet eine Übersicht über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Mit dem Cloud KMS-CMEK und die Kontrolle über die Schlüssel besitzen, die Ihre ruhenden Daten schützen, Google Cloud
Vergleich von CMEK sowie von Google gehörenden und von Google verwalteten Schlüsseln
Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel. Google Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS-Autoschlüssel (Vorschau). Die folgenden Faktoren unterscheiden die Google-Standardverschlüsselung ruhender Daten von vom Kunden verwaltete Schlüssel:
| Schlüsseltyp | Vom Kunden verwaltet mit Autokey (Vorschau) | Vom Kunden verwaltet (manuell) | Von Google und von Google verwaltet (Standardeinstellung von Google) |
|---|---|---|---|
| Darf Schlüsselmetadaten ansehen | Ja | Ja | Ja |
| Eigentumsrechte von Schlüsseln1 | Kunde | Kunde | |
| Kann 2 Schlüssel verwalten und steuern3 | Die Schlüsselerstellung und ‐zuweisung erfolgt automatisch. Manuelle Kontrolle durch den Kunden vollständig unterstützt. | Kunde, nur manuelle Kontrolle | |
| Unterstützt gesetzliche Anforderungen für vom Kunden verwaltete Schlüssel | Ja | Ja | Nein |
| Schlüsselfreigabe | Eindeutig für einen Kunden | Eindeutig für einen Kunden | Daten von mehreren Kunden verwenden in der Regel denselben Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK). |
| Steuerung der Schlüsselrotation | Ja | Ja | Nein |
| CMEK-Organisationsrichtlinien | Ja | Ja | Nein |
| Preise | Variiert. Weitere Informationen finden Sie unter Preise. Keine zusätzlichen Kosten für Autokey (Vorschau) | Variiert – weitere Informationen finden Sie unter Preise | Kostenlos |
1 Aus rechtlichen Gründen gibt der Inhaber des Schlüssels an, wer die Rechte hat. zum Schlüssel hinzu. Für Schlüssel, die dem Kunden gehören, ist der Zugriff streng eingeschränkt oder keinen Zugriff durch Google.
2 Die Steuerung von Schlüsseln bedeutet, dass Einstellungen für die Art der Schlüssel festgelegt werden und wie die Schlüssel verwendet werden, Abweichungen erkennen und gegebenenfalls Korrekturmaßnahmen planen. Sie können Ihre Schlüssel zwar verwalten, aber die Verwaltung der Schlüssel an einen Dritten delegieren.
3 Die Schlüsselverwaltung umfasst die folgenden Funktionen:
- Schlüssel erstellen.
- Wählen Sie das Schutzniveau der Schlüssel aus.
- Weisen Sie die Befugnis für die Verwaltung der Schlüssel zu.
- Zugriff auf Schlüssel steuern.
- Nutzung von Schlüsseln steuern.
- Sie können den Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Rotation von Schlüsseln auslösen.
- Schlüsselstatus ändern.
- Schlüsselversionen löschen
Standardverschlüsselung mit Schlüsseln, die Google gehören und von Google verwaltet werden
Alle in Google Cloud gespeicherten ruhenden Daten werden mit demselben gehärteten Schlüsselverwaltungssystemen, die Google für unsere eigenen verschlüsselten Daten nutzt. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und -prüfungen, und die inaktiven Nutzerdaten mit dem Verschlüsselungsstandard AES-256 verschlüsseln. Google ist Eigentümer und verwaltet die Schlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden. Sie können diese weder ansehen noch verwalten oder Schlüsselnutzungslogs überprüfen. Daten von mehreren Kunden verwenden möglicherweise dasselbe Key Encryption Key (KEK). Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloud finden Sie unter Standardverschlüsselung bei Ruhe.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Inhaber Sie sind. Dieses ermöglicht eine bessere Kontrolle über die Schlüssel, die zum Verschlüsseln von Daten verwendet werden. in unterstützten Google Cloud-Diensten ruhen lassen. kryptografischer Grenze um Ihre Daten zu definieren. Sie können CMEKs direkt in Cloud KMS erstellen oder die Bereitstellung und Zuweisung mithilfe von Cloud KMS-Autoschlüssel (Vorschau).
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist ein serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardtechnologie von Google verwenden können Verschlüsselung. Nachdem CMEK eingerichtet ist, werden die Verschlüsselungs- und Entschlüsselungsvorgänge werden vom Ressourcendienst-Agent verarbeitet. Da CMEK-integriert Dienste für den Zugriff auf die verschlüsselte Ressource sowie für die Verschlüsselung und Entschlüsselung können transparent und ohne Aufwand für die Endnutzer stattfinden. Die Erfahrung von Der Zugriff auf Ressourcen funktioniert ähnlich wie die Standardverschlüsselung von Google. Weitere Informationen zur CMEK-Integration finden Sie unter Was ein CMEK-integrierter Dienst bietet
Sie können für jeden Schlüssel eine unbegrenzte Schlüsselversion verwenden.
Informationen dazu, ob ein Dienst CMEK-Schlüssel unterstützt, finden Sie in den Liste der unterstützten Dienste.
Für die Verwendung von Cloud KMS fallen Kosten an, die mit der Anzahl der Schlüsselversionen und kryptografischer Vorgänge mit diesen Schlüsselversionen. Weitere Informationen zu finden Sie unter Cloud Key Management Service – Preise. Kein Mindestkauf oder Zusicherung ist erforderlich.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey
Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEK-Schlüsseln durch die Automatisierung Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung bei Bedarf generiert werden, und Service-Agents, die wird den Verschlüsselungs- und Entschlüsselungsvorgängen automatisch die erforderlichen IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung).
Die Verwendung der von Autokey generierten Schlüssel kann Ihnen helfen, Branchenstandards und empfohlenen Praktiken für die Datensicherheit, einschließlich Ausrichtung von Schlüsseldaten, Schlüsselgenauigkeit, Hardwaresicherheitsmodul (HSM) Schutzniveau, Schlüsselrotationszeitplan und Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien speziell für den Ressourcentyp für Google Cloud-Dienste, die in Autokey integriert werden. Mit der Autokey-Funktion erstellte Schlüssel identisch mit anderen Cloud HSM-Schlüsseln (Cloud HSM) mit denselben Einstellungen, einschließlich der Unterstützung gesetzlicher Anforderungen für vom Kunden verwaltete Schlüssel. Für finden Sie unter Autokey – Übersicht
Wann werden vom Kunden verwaltete Schlüssel verwendet?
Sie können manuell erstellte CMEK-Schlüssel oder von Autokey erstellte Schlüssel verwenden in kompatible Dienste, mit denen Sie die folgenden Ziele erreichen können:
Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Standortauswahl Schutzniveau, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Generieren oder verwalten Sie Ihr Schlüsselmaterial außerhalb von Google Cloud.
Legen Sie eine Richtlinie für den Ort fest, an dem Ihre Schlüssel verwendet werden müssen.
Im Falle von Offboarding oder zur Behebung von Sicherheitsvorfällen (Crypto-Shredding).
Verwenden Sie für einen Kunden eindeutige Schlüssel, die eine kryptografische Grenze für Ihre Daten festlegen.
Erstellen Sie für einen Kunden eindeutige Schlüssel, um eine kryptografische Verschlüsselung einzurichten. um Ihre Daten zu definieren.
Administrator- und Datenzugriff in der Verschlüsselung protokollieren Schlüssel.
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.
Was ein CMEK-integrierter Dienst bietet
Wie die Standardverschlüsselung von Google ist der CMEK serverseitig, symmetrisch, Hüllkurve Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google ist: dass der CMEK-Schutz einen Schlüssel verwendet, den der Kunde kontrolliert. CMEK-Schlüssel erstellt oder automatisch mit Autokey funktionieren, die Integration von Diensten.
Cloud-Dienste mit CMEK-Integration Mit den Schlüsseln, die Sie in Cloud KMS erstellen, können Sie Ihre Ressourcen schützen.
In Cloud KMS integrierte Dienste verwenden symmetrische Verschlüsselung.
Das Schutzniveau des Schlüssels liegt innerhalb von Kontrolle über Ihre Daten.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt niemals die Begrenzung des Cloud KMS-Systems.
Ihre symmetrischen Schlüssel werden zum Verschlüsseln und Entschlüsseln im Umschlag verwendet Verschlüsselungsmodells.
In CMEK integrierte Dienste verfolgen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadatenfeld mit dem Namen des der sie verschlüsselt. In der Regel sind diese Informationen für den Kunden Ressourcenmetadaten.
Schlüssel-Tracking gibt an, welche Ressourcen ein Schlüssel für Dienste, die das Schlüssel-Tracking unterstützen.
Schlüssel können nach Projekt aufgelistet werden.
CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff
Das Hauptkonto, das Ressourcen im CMEK-integrierten Dienst erstellt oder ansieht
erfordert keine
Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler
(roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK zum Schutz des
.
Jede Projektressource hat ein spezielles Dienstkonto, Dienst-Agent für die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln. Sobald Sie dem Dienst-Agent Zugriff gewähren mit einem CMEK verknüpft ist, verwendet dieser Dienst-Agent diesen Schlüssel, um die Ressourcen Ihrer eine große Auswahl.
Wenn ein Anforderer auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel enthält, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Der Dienst-Agent hat die Berechtigung, mit dem Schlüssel zu entschlüsseln, und Sie haben deaktiviert oder gelöscht wurde, bietet der Dienst-Agent Ver- und Entschlüsselung Verwendung des Schlüssels. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Senderzugriff erforderlich. Da der Dienst-Agent die Verschlüsselung und Entschlüsselung im Hintergrund, Der Zugriff auf Ressourcen funktioniert ähnlich wie die Standardverschlüsselung von Google.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie Autokey verwenden möchten, gibt es eine einmalige Einrichtungsprozess. Sie können davon ausgehen, dass Sie einen Ordner auswählen, in dem Sie arbeiten möchten. Autokey-Unterstützung und ein zugehöriges Schlüsselprojekt, bei dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren Informationen zu Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEK-Schlüsseln benötigt Autokey nicht die folgenden Einrichtungsschritten:
Schlüsseladministratoren müssen Schlüsselbunde oder Schlüssel nicht manuell erstellen Berechtigungen für Dienst-Agents, die Daten verschlüsseln und entschlüsseln. Die Der Cloud KMS-Dienst-Agent führt diese Aktionen in seinem Namen aus.
Entwickler müssen Schlüssel nicht vor der Ressource anfordern. Erstellung. Sie können bei Bedarf selbst Schlüssel von Autokey anfordern. während gleichzeitig die Aufgabentrennung.
Wenn Sie Autokey verwenden, gibt es nur einen Schritt: Der Entwickler fordert die Schlüssel als Teil der Ressourcenerstellung. Die zurückgegebenen Schlüssel sind für den vorgesehenen Ressourcentyp.
Ihre mit Autokey erstellten CMEK-Schlüssel verhalten sich genauso wie manuell erstellte Schlüssel für die folgenden Funktionen:
CMEK-integrierte Dienste verhalten sich gleich.
Der Schlüsseladministrator kann weiterhin alle erstellten und verwendeten Schlüssel überwachen über das Cloud KMS-Dashboard Tracking der Schlüsselnutzung.
Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEK-Schlüsseln.
Eine Übersicht über Autokey finden Sie unter Autokey – Übersicht Weitere Informationen Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen
CMEK-Schlüssel manuell erstellen
Wenn Sie CMEK-Schlüssel, Schlüsselbunde, Schlüssel und Ressourcenstandorte manuell erstellen müssen vor der Ressourcenerstellung geplant und erstellt werden. Sie können dann um die Ressourcen zu schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Einige Dienste wie GKE haben mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit für den Dienst. Sie sollten in etwa folgende Schritte ausführen:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wann? beim Erstellen Ihres Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe des die Sie schützen möchten. Der Schlüsselbund kann sich im selben Projekt befinden wie der die Sie schützen, oder in verschiedenen Projekten. Mit unterschiedlichen mehr Kontrolle über IAM-Rollen die Aufgabentrennung unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieses ist der CMEK-Schlüssel.
Sie gewähren die IAM-Rolle CryptoKey Encrypter/Decrypter Rolle (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel für den Dienstkonto für den Dienst.Konfigurieren Sie beim Erstellen einer Ressource die Verwendung des CMEK-Schlüssels. Für können Sie einen GKE-Cluster für die Verwendung von CMEK konfigurieren, inaktive Daten auf den Bootlaufwerken der Knoten.
Damit ein Antragsteller auf die Daten zugreifen kann, benötigt er keinen direkten Zugriff auf die CMEK-Schlüssel.
Solange der Dienst-Agent den CryptoKey Encrypter/Decrypter hat kann der Dienst Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder Wenn Sie den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen, sodass Sie die Schlüssel selbst verwalten können. Einige Dienste bieten stattdessen CMEK-Compliance, d. h. die temporären Daten und werden nie auf das Laufwerk geschrieben. Eine vollständige Liste der integrierten und konformen Diensten, finden Sie unter Mit CMEK kompatible Dienste.
Tracking der Schlüsselnutzung
Das Tracking der Schlüsselnutzung zeigt Ihnen die Google Cloud-Ressourcen in Ihrem Organisationen, die durch Ihre CMEK-Schlüssel geschützt sind. Mit dem Tracking der Schlüsselnutzung können die geschützten Ressourcen, Projekte und einzelnen Google Cloud-Produkte ansehen. die einen bestimmten Schlüssel verwenden, und ob Schlüssel verwendet werden. Weitere Informationen zu Schlüsselnutzungs-Tracking (siehe Schlüsselnutzung ansehen)
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um sicherzustellen, konsistente CMEK-Nutzung in einer Organisationsressource möglich. Diese Einschränkungen an die Administratoren der Organisation, CMEK-Nutzung erforderlich und die Angabe Einschränkungen und Kontrollen der für CMEK verwendeten Cloud KMS-Schlüssel einschließlich:
Limits dafür, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden
Limits für die zulässigen Schutzniveaus von Schlüsseln
Limits für den Speicherort von CMEK-Schlüsseln
Steuerelemente für das Löschen von Schlüsselversionen
Weitere Informationen zu Organisationsrichtlinien für CMEK finden Sie unter CMEK-Organisationsrichtlinien.
Nächste Schritte
- Liste der Dienste mit CMEK ansehen Integrationen.
- Liste der CMEK-kompatiblen Dienste.
- Liste der Ressourcentypen, die mehrere Die Schlüsselnutzung wird erfasst.
- Hier finden Sie eine Liste der Dienste, die von Autokey