Diese Seite wurde von der Cloud Translation API übersetzt.

EKM-Verbindung erstellen

Auf dieser Seite wird beschrieben, wie Sie Cloud External Key Manager (Cloud EKM) für die Verbindung mit Ihren EKM-Anbieter (External Key Management, EKM) über ein Virtual Private Cloud-Netzwerk (VPC):

Sie können externe Schlüssel über VPC an Cloud KMS-Standorten verwenden, unterstützen EKM über VPC. Weitere Informationen finden Sie unter Cloud KMS-Standorte .

Terminologie

EKM-Verbindung

Die Cloud KMS-Ressource, die zum Konfigurieren einer Verbindung zu Ihrem External Key Manager. In der Google Cloud Console wird dies als EKM-über-VPC-Verbindung.
VPC-Projekt

Das Projekt mit der VPC-Ressource, die für die Verbindung verwendet wird an Ihr externes Schlüsselverwaltungssystem.
Wichtige Projekte

Die Projekte, die EKM-Verbindungsressourcen und Cloud EKM-Schlüssel enthalten, Cloud KMS Ein Schlüsselprojekt kann mit einer VPC identisch sein Projekt arbeiten, aber es ist nicht erforderlich.
Kryptoraum

Ein Container für Ihre Ressourcen innerhalb Ihres Partners für die externe Schlüsselverwaltung. Ihr Kryptobereich durch einen eindeutigen Kryptobereich-Pfad identifiziert. Das Format des Kryptobereichs Der Pfad variiert je nach Partner für die externe Schlüsselverwaltung, z. B. v0/cryptospaces/YOUR_UNIQUE_PATH

Hinweise

Nachdem Sie die folgenden Schritte ausgeführt haben, können Sie Cloud EKM verwenden um Ihre Daten zu schützen.

Erstellen Sie ein neues Projekt

Rufen Sie in der Google Cloud Console die Seite „Ressourcen verwalten“ auf.

Zur Seite "Ressourcen verwalten"
Erstellen Sie ein neues Google Cloud-Projekt oder wählen Sie ein vorhandenes Projekt aus.

Wichtig: Der verwendete Name muss zwischen 4 und 30 Zeichen lang sein. Wenn Sie den Namen eingeben, schlägt das Formular eine Projekt-ID vor, die Sie bearbeiten können. Die von Ihnen verwendete Projekt-ID muss zwischen 6 und 30 Zeichen lang sein, wobei das erste Zeichen kleingeschrieben sein muss. Für die restlichen Zeichen können Sie Bindestriche, Kleinbuchstaben und Ziffern verwenden. Das letzte Zeichen darf aber kein Bindestrich sein. Beachten Sie, dass einige Ressourcenkennungen wie beispielsweise Projekt-IDs über die Lebensdauer Ihres Projekts hinaus möglicherweise beibehalten werden. Verwenden Sie deshalb keine vertrauliche Daten in Ressourcen-IDs.
...Siehe Hinweise zur Namensgebung
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Weitere Informationen zu den Preisen von Cloud EKM

Cloud KMS aktivieren

Aktivieren Sie die Cloud Key Management Service-API für das Projekt.

Cloud Key Management Service API aktivieren

Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Ersetzen Sie im folgenden Beispiel PROJECT_NUMBER durch die Projektnummer des Google Cloud-Projekts. Dieses werden auch jedes Mal angezeigt, wenn Sie in der Google Cloud Console einen Cloud EKM-Schlüssel.
```
service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
```

Achten Sie darauf, dass die gcloud CLI auf dem neuesten Stand ist

Wenn Sie die Google Cloud CLI verwenden, achten Sie darauf, dass sie mit den aktuellen folgenden Befehl:

gcloud-CLI

gcloud components update

VPC-Netzwerk vorbereiten

Es gibt zwei Möglichkeiten, ein VPC-Netzwerk einzurichten:

Neue Projekte enthalten standardmäßig ein Netzwerk im automatischen Modus, vorab mit Firewallregeln ausgefüllt. Wenn das VPC-Netzwerk nicht für Produktionszwecke verwendet wird, Das ist die schnellste Möglichkeit, loszulegen.

Wenn Ihr External Key Manager lokal ausgeführt wird und Sie eine Verbindung zu ihm herstellen über Hybridkonnektivität nutzen, sollten Sie einen benutzerdefinierten Modus da es die Kontrolle über die IP-Adressbereiche des Subnetzes bietet.

So richten Sie Ihre VPC ein:

Privaten Google-Zugriff aktivieren

Das externe Schlüsselverwaltungssystem muss das in den einzelnen Zur Überprüfung des Tokens muss der öffentliche OAuth2-Schlüssel abgerufen werden aus dem Domainnamen www.googleapis.com. Wenn der External Key Manager ausgeführt wird in Google Cloud und hat keinen Zugriff über das Internet (z.B. eine VM ohne eine externe IP-Adresse hat oder durch eine Firewall blockiert wird, folgen Sie der Anleitung für Privaten Google-Zugriff konfigurieren
Firewallkonfiguration für den IP-Bereich 35.199.192.0/19

Anfragen von Cloud EKM kommen aus diesem Bereich. Beide erstellen für eingehenden und ausgehenden Traffic Firewallregeln für TCP. den Port, den das External Key Manager überwacht.

Hybridkonnektivität einrichten

Wenn das externe Schlüsselverwaltungssystem lokal ausgeführt wird, verwenden Sie einen Lösung für Hybridkonnektivität um die VPC mit Ihrem lokalen Netzwerk zu verbinden. Sobald Sie Verbindung einrichten, folgen Sie diesen zusätzlichen Schritten:

Privaten Google-Zugriff aktivieren

Das externe Schlüsselverwaltungssystem muss das in jeder Anfrage enthaltene OIDC-Token bestätigen. Zum Bestätigen des Tokens muss , um den öffentlichen OAuth2-Schlüssel aus dem Domainnamen www.googleapis.com abzurufen. Wenn die External Key Manager wird lokal ausgeführt und hat keinen Zugriff über das Internet. Folgen Sie die Anweisungen für Privaten Google-Zugriff für lokale Hosts konfigurieren
Firewallkonfiguration für den IP-Bereich 35.199.192.0/19

Anfragen von Cloud EKM kommen aus diesem Bereich. Konfigurieren Sie die eine lokale Netzwerk-Firewall oder ähnliche Ausrüstung, um TCP-Traffic auf den Port, den das External Key Manager überwacht.
Achten Sie darauf, dass Ihre VPC eine Rückkehrroute zum IP-Bereich 35.199.192.0/19 hat

Ihr lokales Netzwerk muss eine Route für den 35.199.192.0/19 haben Ziel. Informationen dazu, wie Sie diese Anforderung erfüllen können, finden Sie unter Return-Route-Strategien für lokale Ziele.

Routenstrategien für lokale Ziele zurückgeben

Erstellen Sie für Cloud VPN-Tunnel, die statisches Routing verwenden, manuell eine Route in Ihrem lokalen Netzwerk mit dem Ziel 35.199.192.0/19 und ist der nächste Hop der Cloud VPN-Tunnel. Für Cloud VPN-Tunnel die richtlinienbasiertes Routing verwenden, konfigurieren Sie die lokale Trafficauswahl und das lokale VPN-Gateway Remote-Trafficauswahl, um 35.199.192.0/19 einzuschließen.
Für Cloud VPN-Tunnel, die dynamisches Routing verwenden, oder für Cloud Interconnect: Konfigurieren Sie den benutzerdefinierten Advertising-Modus für 35.199.192.0/19 für die BGP-Sitzung des verwalteten Cloud Router den Tunnel oder VLAN-Anhang.

External Key Manager einrichten

Folgen Sie der Anleitung Ihres EKM-Anbieters, um Ihr EKM einzurichten.

Kryptobereich einrichten

Wenn Sie Cloud EKM im Rahmen einer vom Partner verwalteten EKM-Vereinbarung nutzen, diese Schritte wurden im Rahmen der Nutzerverwaltung Ihres Partners für Sie ausgeführt .

Wenn Ihr EKM-Anbieter mit der EKM-Schlüsselverwaltung von Cloud KMS kompatibel ist, gehen Sie so vor müssen in Ihrem EKM konfiguriert werden:

Erstellen Sie einen Kryptobereich für Ihre von Cloud KMS verwalteten Ressourcen in Ihrem
Ihrem Cloud KMS-Dienstkonto Zugriff auf Ihren Kryptobereich gewähren und die darin erstellten Schlüssel.
Richte die Richtlinie „Key Access Justifications“ ein, um festzulegen, welche Zugriffsbegründung zulässig oder abgelehnt werden sollte.

Der genaue Ablauf der einzelnen Schritte hängt von Ihrem EKM ab. Weitere Informationen finden Sie in der Dokumentation Ihres EKM-Anbieters.

Service Directory-Dienstendpunkt erstellen

Service Directory-Dienstendpunkt erstellen und konfigurieren in Ihrem VPC-Projekt erstellen, die auf die private IP-Adresse und Ihres External Key Managers. Wenn Sie einen Load-Balancer in verwenden Sie die IP-Adresse und den Port des Load-Balancers. Achten Sie darauf, dass das Feld network Ihres Service Directory-Dienstendpunkts den folgenden Wert enthält: ausgefüllt.

Cloud EKM Zugriff auf Ihre VPC autorisieren

Sie müssen Cloud EKM für jedes Schlüsselprojekt autorisieren, auf Ihr für dieses Projekt erstellen, auch wenn das Schlüsselprojekt und das VPC-Projekte identisch sind. Durch die Autorisierung des Zugriffs können Schlüssel in Ihrem Schlüsselprojekt Verwenden Sie die VPC in Ihrem VPC-Projekt.

Achten Sie darauf, dass ein Cloud EKM-Dienstkonto für das Projekt vorhanden ist.

gcloud-CLI

gcloud beta services identity create \
  --service=cloudkms.googleapis.com \
  --project=KEY_PROJECT_ID

Erteilen Sie die servicedirectory.viewer und servicedirectory.pscAuthorizedService in Ihrem VPC-Projekt zu service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com Informationen zum Abrufen der Projekt-ID und -nummer finden Sie unter Projekte erstellen und verwalten

gcloud-CLI

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
  --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
  --role='roles/servicedirectory.viewer'

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
  --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
  --role='roles/servicedirectory.pscAuthorizedService'

EKM-Verbindung erstellen

Zum Verbinden Ihres External Key Managers mit Cloud EKM erstellen Sie ein EKM-Verbindung in Ihrem Schlüsselprojekt.

Console

Wechseln Sie in der Google Cloud Console zur Seite KMS-Infrastruktur.

KMS-Infrastruktur aufrufen
Klicken Sie auf Verbindung erstellen.
Geben Sie unter Connection name (Verbindungsname) einen Namen für Ihre Verbindung ein.
Wählen Sie unter Region einen Standort für die EKM-Verbindung aus. Beliebig Cloud KMS-Schlüssel, die mit dieser Verbindung verknüpft sind, müssen sich im selben Standort als Verbindung verwenden.
Geben Sie in das Feld Dienstressourcen-ID (self_link) den Wert des Service Directory-Dienst erstellt in der Abschnitt Dienstendpunkt in Service Directory erstellen Der Service Directory-Dienst muss sich am selben Standort befinden wie der
Geben Sie im Feld Hostname den Hostnamen für Ihren External Key Manager ein.
Klicken Sie unter Zertifikate auf Zertifikat hinzufügen, um ein oder mehrere hochzuladen. X.509-Serverzertifikate für Ihren External Key Manager. Zertifikate müssen im DER-Format vorliegen.
Wählen Sie als EKM-Verwaltungsmodus die Option Manuell aus, um die EKM-Verbindung für manuell verwaltete externe Schlüssel oder wählen Sie Cloud KMS aus, um den EKM zu verwenden Verbindung für koordinierte externe Schlüssel.
Wenn Sie Cloud KMS als EKM-Verwaltungsmodus ausgewählt haben, gehen Sie im Pfad zum Kryptobereich den von Ihrem
Optional. Um die EKM-Verbindung als Standardverbindung für dieses Projekt und Standort auf das Kästchen Verbindung als Standard festlegen. Wenn derzeit eine andere EKM-Verbindung als Standardverbindung für Dieses Projekt und diesen Standort ersetzt diese EKM-Verbindung die vorhandene Standardeinstellung.
Klicken Sie auf Erstellen.

gcloud

Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.

Führen Sie den Befehl folgenden Befehl:

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode manual

Ersetzen Sie Folgendes:

EKM_CONNECTION: ein Name für die EKM-Verbindung.
LOCATION: der Cloud KMS-Standort, an dem Sie erstellen möchten der EKM-Verbindung. Alle damit verknüpften Cloud KMS-Schlüssel Verbindung muss sich am selben Standort wie die Verbindung befinden.
SERVICE_DIRECTORY_SERVICE: die Ressourcen-ID des Service Directory-Dienst für Ihre Verbindung.
HOSTNAME: der Hostname Ihres External Key Managers.
SERVER_CERTIFICATE_FILES: eine durch Kommas getrennte Liste von Dateien mit X.509-Serverzertifikaten für Ihren External Key Manager. Zertifikate müssen im DER-Format vorliegen.

Um eine EKM-Verbindung für koordinierte externe Schlüssel zu erstellen, führen Sie den Befehl folgenden Befehl:

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode cloud-kms \
    --crypto-space-path CRYPTO_SPACE_PATH

Ersetzen Sie Folgendes:

EKM_CONNECTION: ein Name für die EKM-Verbindung.
LOCATION: der Cloud KMS-Standort, an dem Sie erstellen möchten der EKM-Verbindung. Alle damit verknüpften Cloud KMS-Schlüssel Verbindung muss sich am selben Standort wie die Verbindung befinden.
SERVICE_DIRECTORY_SERVICE: die Ressourcen-ID des Service Directory-Dienst für Ihre Verbindung.
HOSTNAME: der Hostname Ihres External Key Managers.
SERVER_CERTIFICATE_FILES: eine durch Kommas getrennte Liste von Dateien mit X.509-Serverzertifikaten für Ihren External Key Manager. Zertifikate müssen im DER-Format vorliegen.
CRYPTO_SPACE_PATH: Der von Ihrem EKM-Anbieter bereitgestellte Kryptobereich-Pfad.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

API

In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.

Um eine EKM-Verbindung für koordinierte externe Schlüssel zu erstellen, führen Sie den Befehl folgenden Befehl:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
      "keyManagementMode": "CLOUD_KMS",
      "cryptoSpacePath": "CRYPTO_SPACE_PATH"
    }'

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, in dem Sie die EKM-Verbindung.
LOCATION: der Cloud KMS, in dem Sie den EKM-Verbindung.
EKM_CONNECTION: Der für die EKM-Verbindung zu verwendende Name.
SERVER_CERTIFICATES: eine Liste mit bis zu 10 Certificate-Objekten, die Blattserverzertifikate darstellen.
HOSTNAME: der Hostname Ihres External Key Managers.
CRYPTO_SPACE_PATH: Der von Ihrem EKM-Anbieter bereitgestellte Kryptobereich-Pfad.

Führen Sie den Befehl folgenden Befehl:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
    }'

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, in dem Sie die EKM-Verbindung.
LOCATION: der Cloud KMS, in dem Sie den EKM-Verbindung.
EKM_CONNECTION: Der für die EKM-Verbindung zu verwendende Name.
SERVER_CERTIFICATES: eine Liste mit bis zu 10 Certificate Objekte die Blattserverzertifikate darstellen.
HOSTNAME: der Hostname Ihres External Key Managers.

Weitere Informationen finden Sie in der EkmConnection.create API-Dokumentation.

Zertifikatstatus

Sobald Sie ein Zertifikat für Ihre EKM-Verbindung hochgeladen haben, können Sie Gesamtzertifikatsstatus der EKM-Verbindung sowie den Status der einzelnen von der Seite für KMS-Infrastruktur

EKM-Verbindungen haben in der Spalte Certificate status (Zertifikatstatus) für jede Verbindung. Wenn eine EKM-Verbindung einen anderen Status als Aktiv hat, empfehlen wir, die Zertifikate für Ihre EKM-Verbindung zu aktualisieren.

Sowohl EKM-Verbindungen als auch einzelne Zertifikate können den folgenden Status haben:

Aktiv: Das Zertifikat ist gültig und läuft bald ab.
Läuft innerhalb von 30 Tagen ab: Das Zertifikat ist gültig, läuft aber ab. in den nächsten 30 Tagen.
Abgelaufen: Das Zertifikat ist abgelaufen und nicht mehr gültig. Wir empfehlen, Aktualisieren abgelaufener Zertifikate.
Noch nicht gültig: Das Zertifikat ist nicht aktiv. Dies kann passieren, das Startdatum des Zertifikats in der Zukunft liegt.

Wenn Ihr Zertifikat nicht mehr gültig ist, aktualisieren Sie Ihre EKM-Verbindung im Google Cloud Console

Console

Wechseln Sie in der Google Cloud Console zur Seite KMS-Infrastruktur.

KMS-Infrastruktur aufrufen
Klicken Sie auf den Namen der EKM-über-VPC-Verbindung mit dem Zertifikat, das muss aktualisiert werden.
Klicken Sie auf Verbindung bearbeiten.
Klicken Sie auf Zertifikat hinzufügen, um ein oder mehrere X.509-Serverzertifikate hochzuladen. für das externe Schlüsselverwaltungssystem. Zertifikate müssen im DER-Format vorliegen.
Entfernen Sie die abgelaufenen Zertifikate. Bewegen Sie den Mauszeiger auf das abgelaufene Zertifikat und wählen Sie rechts das Symbol Löschen aus.
Klicken Sie auf Verbindung aktualisieren, um die EKM-über-VPC-Verbindung zu aktualisieren.

EKM-Verbindung als Standard festlegen

Sie können eine EKM-Verbindung als Standardverbindung für ein bestimmtes Projekt festlegen und den Standort haben. Wenn für ein Projekt und einen Standort eine Standard-EKM-Verbindung festgelegt ist, Neuer Cloud EKM by VPC-Schlüssel, der in Schlüsselbunden an diesem Standort erstellt wurde die angegebene EKM-Verbindung verwenden, sofern keine andere EKM-Verbindung ausgewählt wird.

So legen Sie eine EKM-Verbindung als Standard für Projekt und Standort fest: führen Sie die folgenden Schritte aus:

Console

Wechseln Sie in der Google Cloud Console zur Seite KMS-Infrastruktur.

KMS-Infrastruktur aufrufen
Klicken Sie auf die EKM-Verbindung, die Sie als Standard festlegen möchten.
Klicken Sie auf Verbindung bearbeiten.
Wählen Sie unter Standardverbindung die Option Verbindung als Standard festlegen für LOCATION an.
Klicken Sie auf Verbindung aktualisieren.

gcloud-CLI

gcloud beta kms ekm-config update
  --location=LOCATION
  --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION

Ersetzen Sie Folgendes:

LOCATION: Cloud KMS, für das Sie den Dienst festlegen möchten Standard-EKM-Verbindung.
PROJECT_ID: der Name des Projekts, für das Sie den Wert festlegen möchten Standard-EKM-Verbindung.
DEFAULT_EKM_CONNECTION: der Name der EKM-Verbindung, die das Sie als Standardeinstellung für diesen Standort festlegen möchten. Der Standort des Die EKM-Verbindung muss mit dem in LOCATION angegebenen Standort übereinstimmen.

API

Verwenden Sie zum Festlegen der EKM-Standardverbindung für einen Standort die EkmConfig.patch :

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Projekts, für das Sie festlegen möchten eine EKM-Standardverbindung.
LOCATION: Cloud KMS, für das Sie den Dienst festlegen möchten Standard-EKM-Verbindung.
DEFAULT_EKM_CONNECTION: der Name des EKM Verbindung, die Sie als Standard für diesen Standort festlegen möchten. Der Standort der EKM-Verbindung muss mit dem Standort übereinstimmen, der in LOCATION

Wenn eine andere EKM-Verbindung als Standard für diesen Standort festgelegt wurde, die ausgewählte EKM-Verbindung als Standard ersetzt. Nur eine EKM-Verbindung kann für ein bestimmtes Projekt und einen Standort standardmäßig festgelegt.

Nächste Schritte

Erstellen Sie einen externen Schlüssel.