Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Key Management Service – Übersicht

Mit dem Cloud Key Management Service (Cloud KMS) können Sie CMEK-Schlüssel für in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen nutzen. Mit Cloud KMS haben Sie folgende Möglichkeiten:

Software- oder Hardwareschlüssel generieren, vorhandene Schlüssel importieren in Cloud KMS verwenden oder externe Schlüssel in Ihrem kompatiblen externen Schlüssel verknüpfen Managementsystem (EKM).
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud verwenden Produkte mit CMEK-Integration. Verwendung von CMEK-Integrationen Ihre CMEK-Schlüssel zum Verschlüsseln oder „Verpacken“ Ihre DEKs. Das Wrapping von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung.
Cloud KMS Autokey verwenden (Vorschau), um die Nutzerverwaltung und Zuweisen. Mit Autokey müssen Sie keine Schlüsselbunde bereitstellen, Schlüssel und Dienstkonten berücksichtigen können. Stattdessen werden sie im Rahmen der Ressourcenerstellung.
Verwenden Sie Cloud KMS-Schlüssel für Ver- und Entschlüsselungsvorgänge. Für können Sie mithilfe der Cloud KMS API oder der Clientbibliotheken Verwenden Sie Ihre Cloud KMS-Schlüssel für clientseitige Verschlüsselung.
Cloud KMS-Schlüssel zum Erstellen oder Bestätigen verwenden digitale Signaturen oder MAC-Signaturen (Message Authentication Code).

Die richtige Verschlüsselung für Ihre Anforderungen

Anhand der folgenden Tabelle können Sie ermitteln, welche Verschlüsselungstyp Ihren Anforderungen für den jeweiligen Anwendungsfall. Die beste Lösung für Ihre Anforderungen ist: verschiedenen Verschlüsselungsansätzen. Sie können beispielsweise Softwareschlüssel für die am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für die sensibelsten Daten. Weitere Informationen zu den in diesem Protecting data in Google Cloud (Daten in Google Cloud schützen) auf dieser Seite.

Verschlüsselungstyp	Kosten	Kompatible Dienste	Features
<ph type="x-smartling-placeholder"></ph> Google-eigene und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)	Enthalten	Alle Google Cloud-Dienste, die Kundendaten speichern	Keine Konfiguration erforderlich. Es werden automatisch Kundendaten verschlüsselt, die in beliebigen Google Cloud-Dienst. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Unterstützt die Verschlüsselung mit AES-256. FIPS 140-2 Level 1 validiert.
Vom Kunden verwaltete Verschlüsselungsschlüssel software (Cloud KMS-Schlüssel)	0,06 $ pro Schlüsselversion	> 40 Dienste	Sie legen den Zeitplan für die automatische Schlüsselrotation fest. IAM-Rollen und -Berechtigungen aktivieren, deaktivieren oder Schlüsselversionen löschen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung und Entschlüsselung. Automatische Rotation „symmetrische Schlüssel“. Unterstützt verschiedene gängige Algorithmen. FIPS 140-2 Level 1 validiert. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltet Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel)	1,00 bis 2,50 $ pro Schlüsselversion und Monat	> 40 Dienste	Optional über Cloud KMS Autokey verwaltet (Vorschau) Sie legen den Zeitplan für die automatische Schlüsselrotation fest. IAM-Rollen und -Berechtigungen aktivieren, deaktivieren oder Schlüsselversionen löschen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung und Entschlüsselung. Automatische Rotation „symmetrische Schlüssel“. Unterstützt verschiedene gängige Algorithmen. FIPS 140-2 Level 3 validiert. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltet Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel)	3,00 $ pro Schlüsselversion und Monat	> 30 Dienste	Sie steuern IAM-Rollen und -Berechtigungen. aktivieren, Schlüsselversionen deaktivieren oder löschen können. Schlüssel werden niemals an Google gesendet. Schlüsselmaterial befindet sich in einem kompatibler externer Schlüssel Management-Anbieter (EKM). Kompatible Google Cloud-Dienste stellen eine Verbindung zu Ihrem EKM-Anbieter über die Internet oder Virtuell privat Cloud (VPC). Unterstützt symmetrische Schlüssel für Verschlüsselung und Entschlüsselung. Manuelles Rotieren Ihrer Schlüssel in Abstimmung mit Cloud EKM und Ihren EKM-Anbieter. FIPS 140-2 Level 2 oder FIPS 140-2 Level 3 validiert, je nach in der EKM. Schlüssel sind für jeden Kunden eindeutig.
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln	Die Kosten der aktiven Schlüsselversionen hängen vom Schutzniveau der .	Clientbibliotheken verwenden in Ihren Anwendungen	Sie legen den Zeitplan für die automatische Schlüsselrotation fest. IAM-Rollen und -Berechtigungen aktivieren, deaktivieren oder Schlüsselversionen löschen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung, Entschlüsselung, Signierung und Signaturvalidierung. Die Funktionalität variiert je nach Schlüsselschutzniveau.
<ph type="x-smartling-placeholder"></ph> Vom Kunden bereitgestellte Verschlüsselungsschlüssel	Die mit Compute Engine oder der Compute Engine verbundenen Kosten Cloud Storage	<ph type="x-smartling-placeholder"></ph> Compute Engine <ph type="x-smartling-placeholder"></ph> Cloud Storage	Sie stellen bei Bedarf wichtige Materialien zur Verfügung. Schlüsselmaterial befindet sich im Arbeitsspeicher – Google speichert den Speicher nicht dauerhaft auf unseren Servern speichern.
Confidential Computing	Zusätzliche Kosten für jede vertrauliche VM kann die Lognutzung erhöhen und die damit verbundenen Kosten	<ph type="x-smartling-placeholder"></ph> Compute Engine <ph type="x-smartling-placeholder"></ph> GKE <ph type="x-smartling-placeholder"></ph> Dataproc	Ermöglicht die Verschlüsselung aktiver Daten für VMs, die sensible Daten verarbeiten oder Arbeitsbelastungen. Google kann nicht auf Schlüssel zugreifen.

Daten in Google Cloud schützen

Google-eigene und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)

Standardmäßig werden inaktive Daten in Google Cloud durch Schlüssel in Keystore, dem internen Key Management Service von Google. Schlüssel im Schlüsselspeicher werden verwaltet automatisch von Google, ohne dass Ihrerseits eine Konfiguration erforderlich ist. Meiste automatisch Schlüssel für Sie rotieren. Schlüsselspeicher unterstützt Primärschlüssel und eine begrenzte Anzahl älterer Schlüsselversionen. Die Primärschlüsselversion ist zum Verschlüsseln neuer Datenverschlüsselungsschlüssel. Ältere Schlüsselversionen können weiter verwendet werden um vorhandene Datenverschlüsselungsschlüssel zu entschlüsseln. Sie können diese Schlüssel weder aufrufen noch verwalten. Schlüsselnutzungslogs überprüfen. Daten von mehreren Kunden können denselben Schlüssel verwenden Verschlüsselungsschlüssel.

Bei dieser Standardverschlüsselung werden kryptografische Module verwendet, die als FIPS 140-2 Level 1-konform.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel zum Schutz Ihrer Ressourcen in CMEK-integrierte Dienste sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Sie können CMEKs besitzen und kontrollieren und die Erstellung und Zuweisung von Schlüsseln an Cloud KMS Autokey (Vorschau). Weitere Informationen Weitere Informationen zur Automatisierung der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten, mit denen Sie die folgenden Ziele erreichen können:

Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Standortauswahl Schutzniveau, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Im Falle von Offboarding oder zur Behebung von Sicherheitsvorfällen (Crypto-Shredding).
Dedizierte Ein-Mandanten-Schlüssel erstellen, die eine kryptografische Grenze festlegen um Ihre Daten.
Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit Mit CMEK integrierte Dienste, die Sie verwenden können Organisationsrichtlinien, um sicherzustellen, dass CMEKs wie in den Richtlinien. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die sicherstellt, kompatible Google Cloud-Ressourcen nutzen Ihren Cloud KMS Schlüssel für die Verschlüsselung. In Organisationsrichtlinien kann auch angegeben werden, Schlüsselressourcen befinden müssen.

Die Funktionen und der Schutzgrad hängen vom Schutzniveau der Schlüssel:

Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und Sie können sie an allen Google Cloud-Standorten verwenden. Ich symmetrische Schlüssel mit automatischer Rotation erstellen oder mit manueller Rotation. Vom Kunden verwaltete Softwareschlüssel nutzen Nach FIPS 140-2 Level 1 validierte Software Kryptografiemodule. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) sowie Organisationsrichtlinien die Ihre Schlüssel steuern. Sie können Ihre Softwareschlüssel mit über 40 kompatiblen Google Cloud-Ressourcen.
Importierte Softwareschlüssel: Sie können von Ihnen erstellte Softwareschlüssel importieren. an anderer Stelle zur Verwendung in Cloud KMS. Sie können neue Schlüsselversionen importierte Schlüssel manuell rotieren. Sie können IAM-Rollen und Berechtigungen und Organisationsrichtlinien, um die Nutzung der importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in ein Cluster mit FIPS 140-2 Level 3-Hardware Sicherheitsmodule (HSMs). Sie haben die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien, regeln Ihre Schlüssel. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet die HSM-Cluster, damit Sie sich darum nicht kümmern müssen. Sie können Ihre HSM-Schlüssel verwenden mit über 40 kompatiblen Google Cloud- Ressourcen, also Dienste, die auch Software-Tasten. Verwenden Sie Hardware, um die höchste Sicherheitscompliance zu gewährleisten. Schlüssel.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in externen Schlüsselverwaltungssystem (External Key Manager, EKM). Mit Cloud EKM können Sie Schlüssel verwenden, ein unterstütztes Schlüsselverwaltungssystem, um Ihr Google Cloud-Ressourcen Sie können eine Verbindung zu Ihrem EKM herstellen über das Internet oder Virtual Private Cloud (VPC): Einige Google Cloud Dienste, die Software oder Hardwareschlüssel unterstützen, Cloud EKM-Schlüssel.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen verwenden. Verwenden Sie dazu die Cloud KMS-Clientbibliotheken oder Cloud KMS API Clientbibliotheken und API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen überprüfen.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)

Cloud Storage und Compute Engine können Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs): Vom Kunden bereitgestellt Verschlüsselungsschlüssel speichern, speichern Sie das Schlüsselmaterial und stellen es Cloud Storage oder Compute Engine. Google tut Folgendes nicht: Ihre CSEKs irgendwie speichern können.

Confidential Computing

In Compute Engine, GKE und Dataproc können Sie nutzen Sie die Confidential Computing-Plattform, um Ihre aktiven Daten zu verschlüsseln. Confidential Computing sorgt dafür, dass Ihre Daten selbst bei während sie verarbeitet wird.