Cloud KMS Documentation

Diese Seite wurde von der Cloud Translation API übersetzt.

GS Externen Schlüssel erstellen

Auf dieser Seite erfahren Sie, wie Sie Cloud EKM-Schlüssel (Cloud External Key Manager) für eine vorhandene Schlüsselbund im Cloud Key Management Service (Cloud KMS) an.

Hinweis

Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:

Eine Google Cloud-Projektressource für Ihr Cloud KMS-Ressourcen. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine anderen Google Cloud-Ressourcen enthält.

Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Im im folgenden Beispiel ersetzen Sie „PROJECT_NUMBER“ durch Ihren Google Cloud-Projekt Projektnummer. Diese Informationen werden auch angezeigt, wenn Sie die Google Cloud Console zum Erstellen eines Cloud EKM-Schlüssels verwenden.
```
    service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
    
```
Der Name und der Speicherort des Schlüsselbunds, an dem Sie Ihren Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Standort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und Cloud EKM unterstützt. Informationen zu verfügbaren Standorten und den von ihnen unterstützten Schutzniveaus finden Sie unter Cloud KMS-Standorte. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüssel erstellen Klingelton.
Wenn Sie manuell verwaltete externe Schlüssel erstellen möchten, müssen Sie den Schlüssel im Partnersystem für die externe Schlüsselverwaltung erstellen. Die genauen Schritte variieren je nach Partner für die externe Schlüsselverwaltung.
1. Fordern Sie bei Bedarf den Zugriff von Ihrem Partner für die externe Schlüsselverwaltung an teilnehmen können.
2. Erstellen Sie einen symmetrischen oder asymmetrischen Schlüssel im externen Schlüsselverwaltungs-Partnersystem oder einen vorhandenen Schlüssel aus.
  
  Erstellen Sie den Schlüssel in einer Region in der Nähe der Google Cloud-Region die Sie für Cloud EKM-Schlüssel verwenden möchten. Dadurch wird die Netzwerklatenz zwischen Ihrem Google Cloud-Projekt und dem externen Schlüsselverwaltungspartner verringert. Andernfalls kann es zu einer erhöhten Anzahl fehlgeschlagener Vorgänge kommen. Weitere Informationen finden Sie unter Cloud EKM und Regionen.
3. Notieren Sie sich den URI oder Schlüsselpfad des externen Schlüssels. Sie benötigen diese Informationen, um einen Cloud EKM-Schlüssel zu erstellen.
Gewähren Sie im Partnersystem für die externe Schlüsselverwaltung die Google Cloud Dienstkontozugriff zur Verwendung Ihrer externen Schlüssel. Dienstkonto behandeln als E-Mail-Adresse. EKM-Partner verwenden möglicherweise eine andere Terminologie als diese. die in diesem Dokument verwendet werden.
Um EKM über VPC-Schlüssel zu erstellen, müssen Sie Erstellen Sie eine EKM-Verbindung.
Optional: Bereiten Sie Ihre Umgebung für die Verwendung der gcloud CLI vor.
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Erstellen von Schlüsseln. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Erstellen von Schlüsseln erforderlich:

cloudkms.cryptoKeys.create
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.keyRings.get
cloudkms.keyRings.list
cloudkms.locations.get
cloudkms.locations.list
resourcemanager.projects.get
So rufen Sie einen öffentlichen Schlüssel ab: cloudkms.cryptoKeyVersions.viewPublicKey

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Koordinierten externen Schlüssel erstellen

Console

Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für den Verbindungstyp des externen Schlüsselverwaltungssystems (EKM) die Option über VPC aus.
Wählen Sie für EKM-über-VPC-Verbindung eine Verbindung aus.

Wenn Sie die Berechtigung EkmConnection.list nicht haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.
Klicken Sie auf Weiter.
Im Bereich Schlüsselmaterial sollte eine Meldung angezeigt werden, dass neues Schlüsselmaterial von Cloud KMS angefordert und in Ihrem externen Schlüsselverwaltungssystem generiert wird. Wenn das Feld Schlüsselpfad angezeigt wird, ist die ausgewählte EKM-über-VPC-Verbindung nicht für koordinierte externe Schlüssel konfiguriert.
Konfigurieren Sie die restlichen wichtigen Einstellungen nach Bedarf und klicken Sie dann auf Erstellen.

Cloud EKM sendet eine Anfrage zum Erstellen eines neuen Schlüssels an Ihren EKM. Der Schlüssel wird so lange als Generierung ausstehend angezeigt, bis der Schlüsselpfad von Ihrem EKM zurückgegeben wird. und der Cloud EKM-Schlüssel ist verfügbar.

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ersetzen Sie Folgendes:

KEY_NAME: Der Name des Schlüssels.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
LOCATION: der Cloud KMS-Standort des Schlüsselbunds.
PURPOSE: den Zweck des Schlüssels.
ALGORITHM: Der Algorithmus, der für den Schlüssel verwendet werden soll, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Manuell verwalteten Cloud EKM-über-VPC-Schlüssel erstellen

Console

Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für den Verbindungstyp des externen Schlüsselverwaltungssystems (EKM) die Option über VPC aus.
Wählen Sie für EKM-über-VPC-Verbindung eine Verbindung aus.

Hinweis: Wenn Sie nicht die Berechtigung EkmConnection.list haben, müssen Sie den Namen der Verbindungsressource manuell ein.
Klicken Sie auf Weiter.
Geben Sie im Feld Schlüsselpfad den Pfad zu Ihrem externen Schlüssel ein.
Konfigurieren Sie die restlichen wichtigen Einstellungen nach Bedarf und klicken Sie dann auf Erstellen.

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ersetzen Sie Folgendes:

KEY_NAME: Der Name des Schlüssels.
KEY_RING
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
PURPOSE: den Zweck des Schlüssels.
ALGORITHM: Der Algorithmus, der für den Schlüssel verwendet werden soll, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Manuell verwalteten Cloud EKM-Schlüssel über Internetschlüssel erstellen

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für EKM-Verbindungstyp (External Key Manager) die Option über das Internet aus.
Klicken Sie auf Weiter.
Geben Sie im Feld Schlüssel-URI den Pfad zu Ihrem externen Schlüssel ein.
Konfigurieren Sie die restlichen Schlüsseleinstellungen nach Bedarf und klicken Sie dann auf Erstellen.

Hinweis: Wenn Sie den URI falsch eingeben oder der Schlüssel nicht unter diesem URI gefunden wird, wird der Schlüssel erstellt, hat aber keine Version. Klicken Sie in diesem Fall auf Schlüssel tauschen, um eine neue Version zu erstellen, und geben Sie den richtigen URI ein. Weitere Informationen zum Fehler finden Sie im Tab Aktivität des Bereichs Infofeld anzeigen oder in den [Admin Activity audit logs][audit_logging] (standardmäßig aktiviert).

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

Erstellen Sie einen leeren externen Schlüssel:
```
gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM
```
Ersetzen Sie Folgendes:
- KEY_NAME: Der Name des Schlüssels.
- KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
- LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
- PURPOSE: den Zweck des Schlüssels.
- ALGORITHM: der für den Schlüssel zu verwendende Algorithmus, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen Weitere Informationen zu Algorithmen
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
Erstellen Sie eine neue Schlüsselversion für den soeben erstellten Schlüssel:
```
gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI
```
Ersetzen Sie EXTERNAL_KEY_URI durch den URI des externen Schlüssels.

Fügen Sie für symmetrische Schlüsselversionen das Flag --primary hinzu, um den neuen Schlüssel festzulegen. Version als primäre Version.

Hinweis: Die Version wird nicht erstellt, wenn der Schlüssel-URI ungültig oder nicht erreichbar ist oder das Google Cloud-Dienstkonto nicht zur Verwendung des externen Schlüsselverwaltungs-Partnerschlüssels berechtigt ist. Wenn ein Fehler auftritt, beheben Sie das Problem und führen Sie den Befehl noch einmal aus.

Hinweis

Erforderliche Rollen

Erforderliche Berechtigungen

Koordinierten externen Schlüssel erstellen

Console

gcloud

Manuell verwalteten Cloud EKM-über-VPC-Schlüssel erstellen

Console

gcloud

Manuell verwalteten Cloud EKM-Schlüssel über Internetschlüssel erstellen

Console

gcloud

Nächste Schritte