客户管理的加密密钥 (CMEK)

本文档简要介绍了如何使用 Cloud Key Management Service (Cloud KMS) 执行以下操作: 客户管理的加密密钥 (CMEK)。使用 Cloud KMS CMEK 可获得 对用于保护您的静态数据的密钥拥有所有权和控制权, Google Cloud

CMEK 与 Google 拥有的密钥和 Google 管理的密钥的比较

您创建的 Cloud KMS 密钥是客户管理的密钥。Google 使用您密钥的服务据说具有 CMEK 集成。您可以直接管理这些 CMEK,也可以通过 Cloud KMS Autokey 进行管理。以下因素将 Google 的默认静态数据加密与客户管理的密钥区分开来:

密钥类型 使用 Autokey 由客户管理 由客户管理(人工) Google 拥有和 Google 管理(Google 默认)
可以查看键元数据
密钥所有权1 客户 客户 Google
可以管理和控制2 个按键3 密钥的创建和分配是自动进行的。客户手动控制设置为 完全受支持。 客户,仅限手动控制 Google
满足针对客户管理的密钥的监管要求
钥匙共享 每位客户专用 每位客户专用 来自多个客户的数据通常使用相同的密钥加密密钥 (KEK)。
控制密钥轮替
CMEK 组织政策
记录对加密密钥的管理和数据访问
价格 费用因地区而异 - 如需了解详情,请参阅价格。 Autokey 无需额外付费 因具体情况而异 - 如需了解详情,请参阅价格 免费

1 从法律角度来看,密钥的所有者是指拥有密钥权利的人员。客户拥有的密钥受到严格限制 或不允许 Google 访问

2对键的控制是指对键的类型和使用方式设置控制,检测差异,并根据需要规划纠正措施。您可以控制密钥,但需将密钥的管理工作委托给第三方。

3 密钥的管理包括以下功能:

  • 创建密钥。
  • 选择密钥的保护级别。
  • 分配密钥管理权限。
  • 控制对密钥的访问权限。
  • 控制密钥的使用。
  • 设置和修改密钥的轮替周期,或触发密钥轮替。
  • 更改密钥状态。
  • 销毁密钥版本。

使用 Google 拥有和 Google 管理的密钥的默认加密

存储在 Google Cloud 中的所有数据均使用 Google 用来管理我们自己的加密数据的强化密钥管理系统。 这些密钥管理系统提供严格的密钥访问控制和审核功能, 并使用 AES-256 加密标准对静态用户数据进行加密。Google 拥有并控制用于加密您数据的密钥。您无法查看或管理这些内容 或查看密钥使用情况日志。来自多个客户的数据可能会使用相同的密钥加密密钥 (KEK)。您无需进行任何设置、配置或管理。

如需详细了解 Google Cloud 中的默认加密,请参阅 默认静态加密

客户管理的加密密钥 (CMEK)

客户管理的加密密钥是您拥有的加密密钥。借助此功能,您可以更好地控制用于对受支持 Google Cloud 服务中的静态数据进行加密的密钥,并为您的数据提供加密边界。您可以直接在以下位置管理 CMEK: 或使用 Cloud KMS 中的 Cloud KMS Autokey

支持 CMEK 的服务具有 CMEK 集成。CMEK 集成是一种服务器端加密技术,可替代 Google 的默认加密。设置 CMEK 后,要执行加密和解密操作 资源由资源服务代理处理。由于集成了 CMEK 的服务会处理对加密资源的访问,因此加密和解密可以透明地进行,而无需最终用户执行任何操作。访问资源的体验与使用 Google 默认加密功能类似。如需详细了解 CMEK 集成,请参阅 CMEK 集成服务提供的内容

您可以为每个密钥使用不限数量的密钥版本。

如需了解服务是否支持 CMEK,请参阅 支持的服务列表

使用 Cloud KMS 会产生与密钥版本数量以及对这些密钥版本执行的加密操作相关的费用。如需详细了解 请参阅 Cloud Key Management Service 价格。无需最低购买金额或最低承诺金额。

使用 Cloud KMS AutoKey 的客户管理的加密密钥 (CMEK)

Cloud KMS Autokey 通过自动执行 预配和分配借助 Autokey,系统会在资源创建过程中按需生成密钥环和密钥,并自动向使用这些密钥进行加密和解密操作的服务代理授予必要的 Identity and Access Management (IAM) 角色。

使用 Autokey 生成的密钥可帮助您始终与 数据安全方面的业界标准和推荐做法,包括 密钥数据位置一致性、密钥特异性、硬件安全模块 (HSM) 保护级别、密钥轮替时间表和职责分离。 Autokey 会创建同时遵循一般准则和 特定于 Google Cloud 服务的资源类型的指南, 与 Autokey 集成。使用 Autokey 创建的密钥的运作方式与具有相同设置的其他 Cloud HSM 密钥完全相同,包括支持客户管理的密钥的监管要求。对于 有关 Autokey 的详细信息,请参阅 Autokey 概览

何时使用客户管理的加密密钥

您可以在 兼容服务,帮助您实现以下目标:

  • 拥有加密密钥。

  • 控制和管理加密密钥,包括选择位置、保护级别、创建、访问控制、轮替、使用和销毁。

  • 在 Cloud KMS 中生成密钥材料,或导入 在 Google Cloud 之外进行维护。

  • 设置有关密钥必须在何处使用的政策。

  • 在停用账号或修复安全事件时,选择性删除由您的密钥保护的数据(加密碎片化)。

  • 创建并使用客户专有的密钥,在您的数据周围建立加密边界。

  • 对加密进行日志管理和数据访问 键。

  • 符合现行或未来要求达成以上任一目标的法规。

与 CMEK 集成的服务提供的功能

与 Google 的默认加密方式一样,CMEK 也是服务器端对称信封 客户数据加密与 Google 的默认加密不同,CMEK 保护使用客户控制的密钥。已创建 CMEK 使用 Autokey 可手动或自动 服务集成

  • 具有 CMEK 集成的 Cloud 服务 使用您在 Cloud KMS 中创建的密钥来保护资源。

  • 与 Cloud KMS 集成的服务使用对称 加密。

  • 您可以选择密钥的保护级别

  • 所有密钥均为 256 位 AES-GCM。

  • 密钥材料绝不会离开 Cloud KMS 系统边界。

  • 您的对称密钥用于对信封进行加密和解密 加密模型。

与 CMEK 集成的服务会跟踪密钥和资源

  • 受 CMEK 保护的资源具有一个元数据字段,用于存储对其进行加密的密钥的名称。通常,客户会在资源元数据中看到此信息。

  • 密钥跟踪功能可让您了解密钥保护了哪些资源(适用于支持密钥跟踪的服务)。

  • 您可以按项目列出密钥

与 CMEK 集成的服务处理资源访问

在 CMEK 集成的服务中创建或查看资源的主账号 不需要 Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter),用于保护 资源。

每个项目资源都有一个特殊的服务账号,称为“服务代理”,该账号使用客户管理的密钥执行加密和解密。在您向服务代理授予对 CMEK 的访问权限后,该服务代理将使用该密钥保护您选择的资源。

当请求者想要访问使用客户管理的密钥加密的资源时,服务代理会自动尝试解密请求的资源。如果服务代理有权使用密钥进行解密,并且您尚未停用或销毁该密钥,则服务代理会提供对该密钥的加密和解密使用权限。否则,请求将失败。

无需额外的请求方访问权限,并且由于服务代理在后台处理加密和解密,因此用户访问资源的体验与使用 Google 的默认加密类似。

为 CMEK 使用 Autokey

对于您要使用 Autokey 的每个文件夹,都需要完成一次性设置流程。您可能需要选择一个文件夹 Autokey 支持,以及与 Autokey 关联的密钥项目 存储该文件夹的密钥。如需详细了解如何启用 Autokey,请参阅启用 Cloud KMS Autokey

与手动创建 CMEK 相比,Autokey 无需执行以下设置步骤:

  • 密钥管理员无需手动创建密钥环或密钥,也不需要向用于加密和解密数据的服务代理分配权限。通过 Cloud KMS 服务代理会代为执行这些操作。

  • 开发者无需提前规划,在资源请求密钥之前 创建过程。他们可以根据需要自行向 Autokey 请求密钥, 同时仍保持职责分离

使用 Autokey 时,只需执行 1 个步骤:开发者在创建资源时请求密钥。返回的键与 预期的资源类型。

使用 Autokey 创建的 CMEK 在以下功能中的行为与手动创建的密钥相同:

  • 与 CMEK 集成的服务具有相同的行为方式。

  • 密钥管理员可以继续监控已创建和使用的所有密钥 使用 Cloud KMS 信息中心 密钥使用情况跟踪

  • 组织政策与 Autokey 的使用方式相同 (包括手动创建的 CMEK)。

如需简要了解 Autokey,请参阅 Autokey 概览。如需详细了解 使用 Autokey 创建受 CMEK 保护的资源,请参阅创建受保护的数据 使用 Cloud KMS Autokey 部署资源

手动创建 CMEK

手动创建 CMEK 时,您必须规划和创建密钥环、密钥 资源位置,然后才能创建受保护的资源。然后,您可以使用密钥来保护资源。

如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。某些服务(例如 GKE)具有多个 CMEK 集成,可保护与该服务相关的不同类型的数据。您可能会遵循类似以下的步骤:

  1. 创建 Cloud KMS 密钥环或选择现有密钥环。创建密钥环时,请选择与您要保护的资源在地理位置上较近的位置。密钥环可以与 或位于不同的项目中。使用不同的 项目可让您更好地控制 IAM 角色, 支持职责分离

  2. 您需要在所选的密钥环中创建或导入 Cloud KMS 密钥。本次 是 CMEK

  3. 您授予 [CryptoKey Encrypter/Decrypter IAM 对 CMEK 的 encrypter-decrypter-role 角色授予 服务账号。

  4. 创建资源时,请将资源配置为使用 CMEK。对于 例如,您可以将 GKE 集群配置为使用 CMEK 保护磁盘的启动磁盘上的静态数据 节点

请求者无需直接访问数据 CMEK。

只要服务代理拥有 CryptoKey Encrypter/Decrypter 角色,该服务可以加密和解密其数据。如果您撤消此角色,或者 如果停用或销毁 CMEK,该数据将无法访问。

CMEK 合规性

某些服务集成了 CMEK,并允许您自行管理密钥。 某些服务则提供 CMEK 合规性,这意味着临时数据和临时密钥从不写入磁盘。如需查看已集成且兼容 CMEK 的服务的完整列表,请参阅 CMEK 兼容服务

密钥使用情况跟踪

密钥使用情况跟踪功能会显示贵组织中受 CMEK 保护的 Google Cloud 资源。借助密钥使用情况跟踪功能,您可以查看使用特定密钥的受保护资源、项目和专属 Google Cloud 产品,以及密钥是否正在使用。如需详细了解密钥使用情况跟踪,请参阅查看密钥使用情况

CMEK 组织政策

Google Cloud 提供组织政策限制条件,这有助于确保在整个组织资源中一致使用 CMEK。这些限制为 组织管理员的控制权 要求使用 CMEK,并指定限制和控制措施 用于 CMEK 保护的 Cloud KMS 密钥,包括:

后续步骤