GS Externen Schlüssel erstellen

Auf dieser Seite erfahren Sie, wie Sie Cloud EKM-Schlüssel (Cloud External Key Manager) für eine vorhandene Schlüsselbund im Cloud Key Management Service (Cloud KMS) an.

Hinweis

Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:

  • Eine Google Cloud-Projektressource für Ihr Cloud KMS-Ressourcen. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine anderen Google Cloud-Ressourcen enthält.

    Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Im im folgenden Beispiel ersetzen Sie „PROJECT_NUMBER“ durch Ihren Google Cloud-Projekt Projektnummer. Diese Informationen werden auch angezeigt, wenn Sie die Google Cloud Console zum Erstellen eines Cloud EKM-Schlüssels verwenden.

        service-PROJECT_NUMBER@gcp-sa-ekms.
  • Der Name und der Speicherort des Schlüsselbunds, an dem Sie Ihren Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Standort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und Cloud EKM unterstützt. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüssel erstellen Klingelton.
  • Gewähren Sie im Partnersystem für die externe Schlüsselverwaltung die Google Cloud Dienstkontozugriff zur Verwendung Ihrer externen Schlüssel. Dienstkonto behandeln als E-Mail-Adresse. EKM-Partner verwenden möglicherweise eine andere Terminologie als diese. die in diesem Dokument verwendet werden.
  • Um EKM über VPC-Schlüssel zu erstellen, müssen Sie Erstellen Sie eine EKM-Verbindung.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Erstellen von Schlüsseln. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Erstellen von Schlüsseln erforderlich:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • So rufen Sie einen öffentlichen Schlüssel ab: cloudkms.cryptoKeyVersions.viewPublicKey

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Koordinierten externen Schlüssel erstellen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Key Management (Schlüsselverwaltung) an.

    Key Management aufrufen

  2. Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.

  3. Klicken Sie auf Schlüssel erstellen.

  4. Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.

  5. Wählen Sie als Schutzniveau die Option Extern aus.

  6. Wählen Sie für den Verbindungstyp des externen Schlüsselverwaltungssystems (EKM) die Option über VPC aus.

  7. Wählen Sie für EKM-über-VPC-Verbindung eine Verbindung aus.

    Wenn Sie die Berechtigung EkmConnection.list nicht haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.

  8. Klicken Sie auf Weiter.

  9. Im Bereich Schlüsselmaterial sollte eine Meldung angezeigt werden, dass neues Schlüsselmaterial von Cloud KMS angefordert und in Ihrem externen Schlüsselverwaltungssystem generiert wird. Wenn das Feld Schlüsselpfad angezeigt wird, ist die ausgewählte EKM-über-VPC-Verbindung nicht für koordinierte externe Schlüssel konfiguriert.

  10. Konfigurieren Sie die restlichen wichtigen Einstellungen nach Bedarf und klicken Sie dann auf Erstellen.

Cloud EKM sendet eine Anfrage zum Erstellen eines neuen Schlüssels an Ihren EKM. Der Schlüssel wird so lange als Generierung ausstehend angezeigt, bis der Schlüsselpfad von Ihrem EKM zurückgegeben wird. und der Cloud EKM-Schlüssel ist verfügbar.

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ersetzen Sie Folgendes:

  • KEY_NAME: Der Name des Schlüssels.
  • KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
  • LOCATION: der Cloud KMS-Standort des Schlüsselbunds.
  • PURPOSE: den Zweck des Schlüssels.
  • ALGORITHM: Der Algorithmus, der für den Schlüssel verwendet werden soll, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
  • VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Nächste Schritte