Auf dieser Seite erfahren Sie, wie Sie Cloud External Key Manager (Cloud EKM) einrichten, um über ein VPC-Netzwerk (Virtual Private Cloud) eine Verbindung zu Ihrem EKM-Anbieter (External Key Management) herzustellen.
Sie können externe Schlüssel über VPC an Cloud KMS-Standorten verwenden, unterstützen EKM über VPC. Weitere Informationen finden Sie unter Cloud KMS-Standorte .
Terminologie
EKM-Verbindung
Die Cloud KMS-Ressource, die zum Konfigurieren einer Verbindung zu Ihrem External Key Manager. In der Google Cloud Console wird dies als EKM-über-VPC-Verbindung.
VPC-Projekt
Das Projekt mit der VPC-Ressource, die für die Verbindung verwendet wird an Ihr externes Schlüsselverwaltungssystem.
Wichtige Projekte
Die Projekte, die EKM-Verbindungsressourcen und Cloud EKM-Schlüssel enthalten, Cloud KMS Ein Schlüsselprojekt kann mit einer VPC identisch sein Projekt arbeiten, aber es ist nicht erforderlich.
Kryptoraum
Ein Container für Ihre Ressourcen innerhalb Ihres Partners für die externe Schlüsselverwaltung. Ihr Kryptobereich durch einen eindeutigen Kryptobereich-Pfad identifiziert. Das Format des Kryptobereichs Der Pfad variiert je nach Partner für die externe Schlüsselverwaltung, z. B.
v0/cryptospaces/YOUR_UNIQUE_PATH
Hinweise
Nachdem Sie die folgenden Schritte ausgeführt haben, können Sie Cloud EKM verwenden um Ihre Daten zu schützen.
Erstellen Sie ein neues Projekt
Rufen Sie in der Google Cloud Console die Seite „Ressourcen verwalten“ auf.
Erstellen Sie ein neues Google Cloud-Projekt oder wählen Sie ein vorhandenes Projekt aus.
-
Make sure that billing is enabled for your Google Cloud project.
Weitere Informationen zu den Preisen von Cloud EKM
Cloud KMS aktivieren
Aktivieren Sie die Cloud Key Management Service-API für das Projekt.
Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Ersetzen Sie im folgenden Beispiel
PROJECT_NUMBER
durch die Projektnummer des Google Cloud-Projekts. Dieses werden auch jedes Mal angezeigt, wenn Sie in der Google Cloud Console einen Cloud EKM-Schlüssel.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
Prüfen, ob die gcloud CLI auf dem neuesten Stand ist
Wenn Sie die Google Cloud CLI verwenden, achten Sie darauf, dass sie mit den aktuellen folgenden Befehl:
gcloud-CLI
gcloud components update
VPC-Netzwerk vorbereiten
Es gibt zwei Möglichkeiten, ein VPC-Netzwerk einzurichten:
Neue Projekte enthalten standardmäßig ein Netzwerk im automatischen Modus, vorab mit Firewallregeln ausgefüllt. Wenn das VPC-Netzwerk nicht für Produktionszwecke verwendet wird, Das ist die schnellste Möglichkeit, loszulegen.
Wenn Ihr External Key Manager lokal ausgeführt wird und Sie eine Verbindung zu ihm herstellen über Hybridkonnektivität nutzen, sollten Sie einen benutzerdefinierten Modus da es die Kontrolle über die IP-Adressbereiche des Subnetzes bietet.
So richten Sie Ihre VPC ein:
Privaten Google-Zugriff aktivieren
Das externe Schlüsselverwaltungssystem muss das in den einzelnen Zur Überprüfung des Tokens muss der öffentliche OAuth2-Schlüssel abgerufen werden aus dem Domainnamen
www.googleapis.com
. Wenn der External Key Manager ausgeführt wird in Google Cloud und hat keinen Zugriff über das Internet (z.B. eine VM ohne eine externe IP-Adresse hat oder durch eine Firewall blockiert wird, folgen Sie der Anleitung für Privaten Google-Zugriff konfigurierenFirewallkonfiguration für den IP-Bereich
35.199.192.0/19
Anfragen von Cloud EKM kommen aus diesem Bereich. Beide erstellen für eingehenden und ausgehenden Traffic Firewallregeln für TCP. den Port, den das External Key Manager überwacht.
Hybridkonnektivität einrichten
Wenn das externe Schlüsselverwaltungssystem lokal ausgeführt wird, verwenden Sie einen Lösung für Hybridkonnektivität um die VPC mit Ihrem lokalen Netzwerk zu verbinden. Sobald Sie Verbindung einrichten, folgen Sie diesen zusätzlichen Schritten:
Privaten Google-Zugriff aktivieren
Das externe Schlüsselverwaltungssystem muss das in jeder Anfrage enthaltene OIDC-Token bestätigen. Zum Bestätigen des Tokens muss , um den öffentlichen OAuth2-Schlüssel aus dem Domainnamen
www.googleapis.com
abzurufen. Wenn die External Key Manager wird lokal ausgeführt und hat keinen Zugriff über das Internet. Folgen Sie die Anweisungen für Privaten Google-Zugriff für lokale Hosts konfigurierenFirewallkonfiguration für den IP-Bereich
35.199.192.0/19
Anfragen von Cloud EKM stammen aus diesem Bereich. Konfigurieren Sie die eine lokale Netzwerk-Firewall oder ähnliche Ausrüstung, um TCP-Traffic auf den Port, den das External Key Manager überwacht.
Achten Sie darauf, dass Ihre VPC eine Rückkehrroute zum IP-Bereich
35.199.192.0/19
hatIhr lokales Netzwerk muss eine Route für die
35.199.192.0/19
haben Ziel. Informationen dazu, wie Sie diese Anforderung erfüllen, finden Sie unter Rückgaberoutenstrategien für lokale Ziele.
Routenstrategien für lokale Ziele zurückgeben
Erstellen Sie für Cloud VPN-Tunnel, die statisches Routing verwenden, manuell eine Route in Ihrem lokalen Netzwerk, deren Ziel
35.199.192.0/19
und deren nächster Hop der Cloud VPN-Tunnel ist. Für Cloud VPN-Tunnel die richtlinienbasiertes Routing verwenden, konfigurieren Sie die lokale Trafficauswahl und das lokale VPN-Gateway Remote-Trafficauswahl, um35.199.192.0/19
einzuschließen.Für Cloud VPN-Tunnel, die dynamisches Routing verwenden, oder für Cloud Interconnect: Konfigurieren Sie den benutzerdefinierten Advertising-Modus für
35.199.192.0/19
für die BGP-Sitzung des verwalteten Cloud Router den Tunnel oder VLAN-Anhang.
External Key Manager einrichten
Folgen Sie der Anleitung Ihres EKM-Anbieters, um Ihr EKM einzurichten.
Kryptobereich einrichten
Wenn Sie Cloud EKM im Rahmen einer vom Partner verwalteten EKM-Vereinbarung nutzen, diese Schritte wurden im Rahmen der Nutzerverwaltung Ihres Partners für Sie ausgeführt .
Wenn Ihr EKM-Anbieter mit der EKM-Schlüsselverwaltung von Cloud KMS kompatibel ist, müssen in Ihrem EKM die folgenden Einrichtungs- und Konfigurationsschritte ausgeführt werden:
Erstellen Sie einen Crypto Space für Ihre von Cloud KMS verwalteten Ressourcen in Ihrem EKM.
Gewähren Sie Ihrem Cloud KMS-Dienstkonto Zugriff auf Ihren Krypto-Bereich und die darin erstellten Schlüssel.
Richten Sie die Richtlinie „Key Access Justifications“ ein, um festzulegen, welche Zugriffsberechtigungen zulässig oder unzulässig sind.
Der genaue Ablauf der einzelnen Schritte hängt von Ihrem EKM ab. Weitere Informationen finden Sie in der Dokumentation Ihres EKM-Anbieters.
Service Directory-Dienstendpunkt erstellen
Service Directory-Dienstendpunkt erstellen und konfigurieren in Ihrem VPC-Projekt erstellen, die auf die private IP-Adresse und Ihres External Key Managers. Wenn Sie einen Load-Balancer in verwenden Sie die IP-Adresse und den Port des Load-Balancers. Achten Sie darauf, dass das Feld network Ihres Service Directory-Dienstendpunkts den folgenden Wert enthält: ausgefüllt.
Cloud EKM Zugriff auf Ihre VPC autorisieren
Sie müssen Cloud EKM für jedes Schlüsselprojekt autorisieren, auf Ihr für dieses Projekt erstellen, auch wenn das Schlüsselprojekt und das VPC-Projekte identisch sind. Durch die Autorisierung des Zugriffs können Schlüssel in Ihrem Schlüsselprojekt Verwenden Sie die VPC in Ihrem VPC-Projekt.
Achten Sie darauf, dass ein Cloud EKM-Dienstkonto für das Projekt vorhanden ist.
gcloud-CLI
gcloud beta services identity create \ --service=cloudkms.googleapis.com \ --project=KEY_PROJECT_ID
Erteilen Sie die
servicedirectory.viewer
undservicedirectory.pscAuthorizedService
in Ihrem VPC-Projekt zuservice-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
Informationen zum Abrufen der Projekt-ID und -nummer finden Sie unter Projekte erstellen und verwaltengcloud-CLI
gcloud projects add-iam-policy-binding VPC_PROJECT_ID \ --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \ --role='roles/servicedirectory.viewer' gcloud projects add-iam-policy-binding VPC_PROJECT_ID \ --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \ --role='roles/servicedirectory.pscAuthorizedService'
EKM-Verbindung erstellen
Zum Verbinden Ihres External Key Managers mit Cloud EKM erstellen Sie ein EKM-Verbindung in Ihrem Schlüsselprojekt.
Console
Wechseln Sie in der Google Cloud Console zur Seite KMS-Infrastruktur.
Klicken Sie auf
Verbindung erstellen.Geben Sie unter Connection name (Verbindungsname) einen Namen für Ihre Verbindung ein.
Wählen Sie unter Region einen Standort für die EKM-Verbindung aus. Beliebig Cloud KMS-Schlüssel, die mit dieser Verbindung verknüpft sind, müssen sich im selben Standort als Verbindung verwenden.
Geben Sie in das Feld Dienstressourcen-ID (self_link) den Wert des Service Directory-Dienst erstellt in der Abschnitt Dienstendpunkt in Service Directory erstellen Der Service Directory-Dienst muss sich am selben Standort befinden wie der
Geben Sie im Feld Hostname den Hostnamen für Ihren External Key Manager ein.
Klicken Sie unter Zertifikate auf Zertifikat hinzufügen, um ein oder mehrere hochzuladen. X.509-Serverzertifikate für Ihren External Key Manager. Zertifikate müssen im DER-Format vorliegen.
Wählen Sie als EKM-Verwaltungsmodus die Option Manuell aus, um die EKM-Verbindung für manuell verwaltete externe Schlüssel oder wählen Sie Cloud KMS aus, um den EKM zu verwenden Verbindung für koordinierte externe Schlüssel.
Wenn Sie Cloud KMS für den EKM-Verwaltungsmodus ausgewählt haben, geben Sie im Feld Crypto Space-Pfad den Crypto Space-Pfad ein, der von Ihrem EKM bereitgestellt wird.
Optional. Wenn Sie die EKM-Verbindung als Standardverbindung für dieses Projekt und diesen Standort festlegen möchten, klicken Sie das Kästchen Verbindung als Standard festlegen an. Wenn derzeit eine andere EKM-Verbindung als Standardverbindung für Dieses Projekt und diesen Standort ersetzt diese EKM-Verbindung die vorhandene Standardeinstellung.
Klicken Sie auf Erstellen.
gcloud
Um Cloud KMS in der Befehlszeile zu verwenden, Installieren Sie die Google Cloud CLI oder führen Sie ein Upgrade auf die neueste Version durch.
Führen Sie den Befehl folgenden Befehl:
gcloud beta kms ekm-connections create EKM_CONNECTION \ --location LOCATION \ --service-directory-service SERVICE_DIRECTORY_SERVICE \ --hostname HOSTNAME \ --server-certificates-files SERVER_CERTIFICATE_FILES \ --key-management-mode manual
Ersetzen Sie Folgendes:
EKM_CONNECTION
: ein Name für die EKM-Verbindung.LOCATION
: der Cloud KMS-Standort, an dem Sie erstellen möchten die EKM-Verbindung. Alle damit verknüpften Cloud KMS-Schlüssel Verbindung muss sich am selben Standort wie die Verbindung befinden.SERVICE_DIRECTORY_SERVICE
: die Ressourcen-ID des Service Directory-Dienstes für Ihre Verbindung.HOSTNAME
: Der Hostname Ihres externen Schlüsselmanagers.SERVER_CERTIFICATE_FILES
: eine durch Kommas getrennte Liste von Dateien mit X.509-Serverzertifikaten für Ihren externen Schlüsselmanager. Zertifikate müssen im DER-Format vorliegen.
Um eine EKM-Verbindung für koordinierte externe Schlüssel zu erstellen, führen Sie den Befehl folgenden Befehl:
gcloud beta kms ekm-connections create EKM_CONNECTION \ --location LOCATION \ --service-directory-service SERVICE_DIRECTORY_SERVICE \ --hostname HOSTNAME \ --server-certificates-files SERVER_CERTIFICATE_FILES \ --key-management-mode cloud-kms \ --crypto-space-path CRYPTO_SPACE_PATH
Ersetzen Sie Folgendes:
EKM_CONNECTION
: ein Name für die EKM-Verbindung.LOCATION
: der Cloud KMS-Standort, an dem Sie erstellen möchten die EKM-Verbindung. Alle damit verknüpften Cloud KMS-Schlüssel Verbindung muss sich am selben Standort wie die Verbindung befinden.SERVICE_DIRECTORY_SERVICE
: die Ressourcen-ID des Service Directory-Dienstes für Ihre Verbindung.HOSTNAME
: Der Hostname Ihres externen Schlüsselmanagers.SERVER_CERTIFICATE_FILES
: eine durch Kommas getrennte Liste von Dateien mit X.509-Serverzertifikaten für Ihren externen Schlüsselmanager. Zertifikate müssen im DER-Format vorliegen.CRYPTO_SPACE_PATH
: Der von Ihrem EKM-Anbieter bereitgestellte Kryptobereich-Pfad.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Um eine EKM-Verbindung für koordinierte externe Schlüssel zu erstellen, führen Sie den Befehl folgenden Befehl:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --header "x-goog-user-project: PROJECT_ID" \ --data '{ "name": "EKM_CONNECTION", "serviceResolvers": [ { "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE", "hostname": "HOSTNAME", "serverCertificates": [ { SERVER_CERTIFICATES } ] } ] "keyManagementMode": "CLOUD_KMS", "cryptoSpacePath": "CRYPTO_SPACE_PATH" }'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, in dem Sie die EKM-Verbindung erstellen möchten.LOCATION
: Cloud KMS, in dem Sie die EKM-Verbindung erstellen möchten.EKM_CONNECTION
: Der für die EKM-Verbindung zu verwendende Name.SERVER_CERTIFICATES
: eine Liste mit bis zu 10Certificate
-Objekten, die Blattserverzertifikate darstellen.HOSTNAME
: der Hostname Ihres External Key Managers.CRYPTO_SPACE_PATH
: Der von Ihrem EKM-Anbieter bereitgestellte Kryptobereich-Pfad.
Führen Sie den folgenden Befehl aus, um eine EKM-Verbindung für manuell verwaltete externe Schlüssel zu erstellen:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --header "x-goog-user-project: PROJECT_ID" \ --data '{ "name": "EKM_CONNECTION", "serviceResolvers": [ { "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE", "hostname": "HOSTNAME", "serverCertificates": [ { SERVER_CERTIFICATES } ] } ] }'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, in dem Sie die EKM-Verbindung erstellen möchten.LOCATION
: Cloud KMS, in dem Sie die EKM-Verbindung erstellen möchten.EKM_CONNECTION
: Der für die EKM-Verbindung zu verwendende Name.SERVER_CERTIFICATES
: eine Liste mit bis zu 10Certificate
Objekte die Blattserverzertifikate darstellen.HOSTNAME
: der Hostname Ihres External Key Managers.
Weitere Informationen finden Sie in der EkmConnection.create
API-Dokumentation.
Zertifikatstatus
Sobald Sie ein Zertifikat für Ihre EKM-Verbindung hochgeladen haben, können Sie Gesamtzertifikatsstatus der EKM-Verbindung sowie den Status der einzelnen von der Seite für KMS-Infrastruktur
EKM-Verbindungen haben einen Gesamtstatus in der Spalte Zertifikatsstatus jeder Verbindung. Wenn eine EKM-Verbindung einen anderen Status als Aktiv hat, empfehlen wir, die Zertifikate für Ihre EKM-Verbindung zu aktualisieren.
Sowohl EKM-Verbindungen als auch einzelne Zertifikate können den folgenden Status haben:
- Aktiv: Das Zertifikat ist gültig und läuft bald ab.
- Läuft innerhalb von 30 Tagen ab: Das Zertifikat ist gültig, läuft aber ab. in den nächsten 30 Tagen.
- Abgelaufen: Das Zertifikat ist abgelaufen und nicht mehr gültig. Wir empfehlen, und aktualisieren abgelaufene Zertifikate.
- Noch nicht gültig: Das Zertifikat ist nicht aktiv. Dies kann passieren, das Startdatum des Zertifikats in der Zukunft liegt.
Wenn Ihr Zertifikat nicht mehr gültig ist, aktualisieren Sie Ihre EKM-Verbindung in der Google Cloud Console.
Console
Rufen Sie in der Google Cloud Console die Seite KMS-Infrastruktur auf.
Klicken Sie auf den Namen der EKM-über-VPC-Verbindung mit dem Zertifikat, das muss aktualisiert werden.
Klicken Sie auf Verbindung bearbeiten.
Klicken Sie auf Zertifikat hinzufügen, um ein oder mehrere X.509-Serverzertifikate hochzuladen. für das externe Schlüsselverwaltungssystem. Zertifikate müssen im DER-Format vorliegen.
Entfernen Sie die abgelaufenen Zertifikate. Bewegen Sie den Mauszeiger auf das abgelaufene Zertifikat und wählen Sie rechts das Symbol Löschen aus.
Klicken Sie auf Verbindung aktualisieren, um die EKM-über-VPC-Verbindung zu aktualisieren.
EKM-Verbindung als Standard festlegen
Sie können eine EKM-Verbindung als Standardverbindung für ein bestimmtes Projekt festlegen und den Standort haben. Wenn für ein Projekt und einen Standort eine Standard-EKM-Verbindung festgelegt ist, Neuer Cloud EKM by VPC-Schlüssel, der in Schlüsselbunden an diesem Standort erstellt wurde die angegebene EKM-Verbindung verwenden, sofern keine andere EKM-Verbindung ausgewählt wird.
So legen Sie eine EKM-Verbindung als Standard für Projekt und Standort fest: führen Sie die folgenden Schritte aus:
Console
Wechseln Sie in der Google Cloud Console zur Seite KMS-Infrastruktur.
Klicken Sie auf die EKM-Verbindung, die Sie als Standard festlegen möchten.
Klicken Sie auf Verbindung bearbeiten.
Wählen Sie unter Standardverbindung die Option Verbindung als Standard festlegen für LOCATION an.
Klicken Sie auf Verbindung aktualisieren.
gcloud-CLI
gcloud beta kms ekm-config update --location=LOCATION --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION
Ersetzen Sie Folgendes:
LOCATION
: Cloud KMS, für das Sie den Dienst festlegen möchten Standard-EKM-Verbindung.PROJECT_ID
: der Name des Projekts, für das Sie den Wert festlegen möchten Standard-EKM-Verbindung.DEFAULT_EKM_CONNECTION
: der Name der EKM-Verbindung, die das Sie als Standardeinstellung für diesen Standort festlegen möchten. Der Standort des Die EKM-Verbindung muss mit dem inLOCATION
angegebenen Standort übereinstimmen.
API
Verwenden Sie zum Festlegen der EKM-Standardverbindung für einen Standort die EkmConfig.patch
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, für das Sie festlegen möchten eine EKM-Standardverbindung.LOCATION
: Cloud KMS, für das Sie den Dienst festlegen möchten Standard-EKM-Verbindung.DEFAULT_EKM_CONNECTION
: der Name des EKM Verbindung, die Sie als Standard für diesen Standort festlegen möchten. Der Standort der EKM-Verbindung muss mit dem Standort übereinstimmen, der inLOCATION
Wenn eine andere EKM-Verbindung als Standard für diesen Standort festgelegt wurde, die ausgewählte EKM-Verbindung als Standard ersetzt. Nur eine EKM-Verbindung kann für ein bestimmtes Projekt und einen Standort standardmäßig festgelegt.