本页面列出了可与 Cloud KMS 集成的 Google Cloud 服务。这些服务通常属于以下类别之一:
借助客户管理的加密密钥 (CMEK) 集成,您可以使用自己拥有和管理的 Cloud KMS 密钥对该服务中的静态数据进行加密。对于使用 CMEK 密钥保护的数据,必须访问该密钥才能解密。
兼容 CMEK 的服务不存储数据,或者仅短时间存储数据,例如在批处理期间。此类数据使用仅存在于内存中且从不写入磁盘的临时密钥进行加密。当不再需要这些数据时,系统会从内存中清空临时密钥,并且无法再次访问数据。兼容 CMEK 的服务的输出可能存储在与 CMEK 集成的服务中,例如 Cloud Storage。
您的应用可以以其他方式使用 Cloud KMS。例如,您可以在传输或存储数据之前直接加密应用数据。
如需详细了解 Google Cloud 中的静态数据如何受到静态保护以及客户管理的加密密钥 (CMEK) 的工作原理,请参阅客户管理的加密密钥 (CMEK)。
CMEK 集成
下表列出了与 Cloud KMS 集成的服务。此列表中的所有服务都支持软件和硬件 (HSM) 密钥。如果产品在使用外部 Cloud EKM 密钥时与 Cloud KMS 集成,则会在支持 EKM 下标明。
| 服务 | 使用 CMEK 保护 | 支持 EKM | 主题 |
|---|---|---|---|
| AI Platform Training | 虚拟机磁盘上的数据 | 否 | 使用客户管理的加密密钥 |
| AlloyDB for PostgreSQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
| 反洗钱 AI | AML AI 实例资源中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) 加密数据 |
| Application Integration | 写入数据库以用于应用集成的数据 | 否 | 使用客户管理的加密密钥 |
| Artifact Registry | 代码库中的数据 | 是 | 启用客户管理的加密密钥 |
| Backup for GKE | Backup for GKE 中的数据 | 是 | Backup for GKE CMEK 加密简介 |
| BigQuery | BigQuery 中的数据 | 是 | 使用 Cloud KMS 密钥保护数据 |
| Bigtable | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Cloud Composer | 环境数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Data Fusion | 环境数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Functions | Cloud Functions 中的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Logging | 日志路由器中的数据 | 是 | 管理保护日志路由器数据的密钥 |
| Cloud Logging | Logging 存储中的数据 | 是 | 管理用于保护 Logging 存储数据的密钥 |
| Cloud Run | 容器映像 | 是 | 将客户管理的加密密钥与 Cloud Run 搭配使用 |
| Cloud SQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Storage | 存储分区中的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Tasks | 任务正文和静态标头 | 是 | 使用客户管理的加密密钥 |
| Cloud Workstations | 虚拟机磁盘上的数据 | 是 | 加密工作站资源 |
| Compute Engine | 永久性磁盘 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 快照 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 自定义映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 机器映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Contact Center AI Insights | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Database Migration Service 同构迁移 | MySQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Database Migration Service 同构迁移 | PostgreSQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Database Migration Service 同构迁移 | 从 PostgreSQL 到 AlloyDB 的迁移 - 写入数据库的数据 | 是 | CMEK 简介 |
| Database Migration Service 异构迁移 | 将 Oracle 数据迁移到 PostgreSQL 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) 持续迁移 |
| Dataflow | 流水线状态数据 | 是 | 使用客户管理的加密密钥 |
| Dataform(预览版) | 代码库中的数据 | 否 | 使用客户管理的加密密钥 |
| Dataproc | 虚拟机磁盘上的 Dataproc 集群数据 | 是 | 客户管理的加密密钥 |
| Dataproc | 虚拟机磁盘上的 Dataproc 无服务器数据 | 是 | 客户管理的加密密钥 |
| Dataproc Metastore | 静态数据 | 是 | 使用客户管理的加密密钥 |
| Datastream | 传输中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) |
| Dialogflow CX | 静态数据 | 否 | 客户管理的加密密钥 (CMEK) |
| Document AI | 静态数据和使用中的数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Eventarc | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Filestore | 静态数据 | 是 | 使用客户管理的加密密钥来加密数据 |
| Firestore(预览版) | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Google Distributed Cloud Edge | 边缘节点上的数据 | 是 | 本地存储空间安全性 |
| Google Kubernetes Engine | 虚拟机磁盘上的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Google Kubernetes Engine | 应用层 Secret | 是 | 应用层 Secret 加密 |
| Looker (Google Cloud Core) | 静态数据 | 是 | 为 Looker (Google Cloud Core) 启用 CMEK |
| Memorystore for Redis | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Migrate to Virtual Machines(预览版) | 从 VMware 来源迁移的数据 | 是 | 将 Migrate Connector 注册为 Google Cloud 来源 |
| Migrate to Virtual Machines(预览版) | 从 AWS 来源迁移的数据 | 是 | 创建 AWS 来源 |
| Migrate to Virtual Machines(预览版) | 从 Azure 来源迁移的数据 | 是 | 创建 Azure 来源 |
| Migrate to Virtual Machines(预览版) | 已迁移的磁盘 | 是 | 为迁移后的虚拟机磁盘配置目标 |
| Migrate to Virtual Machines(预览版) | 已迁移的虚拟机 | 是 | 为迁移后的虚拟机配置目标 |
| Pub/Sub | 与主题关联的数据 | 是 | 配置消息加密 |
| Secret Manager | Secret 载荷 | 是 | 为 Secret Manager 启用客户管理的加密密钥 |
| Secure Source Manager | 实例 | 是 | 使用客户管理的加密密钥来加密数据 |
| Spanner | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Speaker ID(受限正式版) | 静态数据 | 是 | 使用客户管理的加密密钥 |
| 语音转文本 | 静态数据 | 是 | 使用客户管理的加密密钥 |
| Vertex AI | 与资源关联的数据 | 是 | 使用客户管理的加密密钥 |
| Vertex AI Workbench 代管式笔记本 | 静态用户数据 | 否 | 客户管理的加密密钥 |
| Vertex AI Workbench 用户管理的笔记本 | 虚拟机磁盘上的数据 | 否 | 客户管理的加密密钥 |
| Vertex AI Workbench 实例 | 虚拟机磁盘上的数据 | 是 | 客户管理的加密密钥 |
| Workflows | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
兼容 CMEK 的服务
下表列出了未使用客户管理的加密密钥 (CMEK) 的服务,因为它们不会长期存储数据。如需详细了解这些服务为何被视为符合 CMEK 要求,请参阅 CMEK 合规性。
| 服务 | 主题 |
|---|---|
| Cloud Build | Cloud Build 中的 CMEK 合规性 |
| Container Registry | 使用受 CMEK 保护的存储桶 |
| Cloud Vision | Vision API 中的 CMEK 合规性 |
| Storage Transfer Service | 客户管理的加密密钥 |
与 Cloud KMS 的其他集成
这些页面讨论了将 Cloud KMS 与其他 Google Cloud 服务搭配使用的其他方法。
| 产品 | 主题 |
|---|---|
| 任意服务 | 在传输或存储应用数据之前加密应用数据 |
| Cloud Build | 在添加到构建之前对资源进行加密 |