Externen Schlüssel erstellen

Auf dieser Seite wird beschrieben, wie Sie Cloud External Key Manager-Schlüssel (Cloud EKM) für einen vorhandenen Schlüsselbund in Cloud Key Management Service (Cloud KMS) erstellen.

Hinweise

Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:

Eine Google Cloud-Projektressource, die Ihre Cloud KMS-Ressourcen enthalten soll. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine weiteren Google Cloud-Ressourcen enthält.

Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Ersetzen Sie im folgenden Beispiel PROJECT_NUMBER durch die Projektnummer des Google Cloud-Projekts. Diese Informationen sind auch sichtbar, wenn Sie mit der Google Cloud Console einen Cloud EKM-Schlüssel erstellen.
```
service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
```
Name und Speicherort des Schlüsselbunds, in dem Sie den Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Speicherort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und Cloud EKM unterstützt. Informationen zu den verfügbaren Standorten und den von ihnen unterstützten Schutzniveaus finden Sie unter Cloud KMS-Standorte. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
Wenn Sie manuell verwaltete externe Schlüssel erstellen möchten, müssen Sie den Schlüssel im Partnersystem für die externe Schlüsselverwaltung erstellen. Die genauen Schritte variieren je nach Partner für die externe Schlüsselverwaltung.
1. Fordern Sie gegebenenfalls Zugriff bei Ihrem Partner für die externe Schlüsselverwaltung an.
2. Erstellen Sie einen symmetrischen oder asymmetrischen Schlüssel im Partnersystem für die externe Schlüsselverwaltung oder wählen Sie einen vorhandenen Schlüssel aus.
  
  Erstellen Sie den Schlüssel in einer Region in der Nähe der Google Cloud-Region, die Sie für Cloud EKM-Schlüssel verwenden möchten. Dadurch wird die Netzwerklatenz zwischen Ihrem Google Cloud-Projekt und dem Partner für die externe Schlüsselverwaltung verringert. Andernfalls kann es zu einer erhöhten Anzahl fehlgeschlagener Vorgänge kommen. Weitere Informationen finden Sie unter Cloud EKM und Regionen.
3. Notieren Sie sich den URI oder Schlüsselpfad des externen Schlüssels. Sie benötigen diese Informationen, um einen Cloud EKM-Schlüssel zu erstellen.
Gewähren Sie dem Google Cloud-Dienstkonto im Partnersystem für die externe Schlüsselverwaltung Zugriff auf Ihre externen Schlüssel. Behandeln Sie das Dienstkonto als E-Mail-Adresse. EKM-Partner verwenden möglicherweise eine andere Terminologie als die in diesem Thema verwendete Terminologie.
Zum Erstellen von EKM-über-VPC-Schlüsseln müssen Sie eine EKM-über-VPC-Verbindung erstellen.
Optional: Bereiten Sie Ihre Umgebung vor, um die gcloud CLI zu verwenden.

gcloud-CLI

Aktivieren Sie Cloud Shell in der Google Cloud Console.

Cloud Shell aktivieren

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für das Projekt oder eine übergeordnete Ressource zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen von Schlüsseln erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Zum Erstellen von Schlüsseln sind die folgenden Berechtigungen erforderlich:

cloudkms.cryptoKeys.create
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.keyRings.get
cloudkms.keyRings.list
cloudkms.locations.get
cloudkms.locations.list
resourcemanager.projects.get
So rufen Sie einen öffentlichen Schlüssel ab: cloudkms.cryptoKeyVersions.viewPublicKey

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Koordinierten externen Schlüssel erstellen

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für den EKM-Verbindungstyp (External Key Manager) die Option über VPC aus.
Wählen Sie für EKM-über-VPC-Verbindung eine Verbindung aus.

Wenn Sie die Berechtigung EkmConnection.list nicht haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.
Klicken Sie auf Weiter.
Im Abschnitt Schlüsselmaterial sollten Sie eine Nachricht darüber sehen, dass neues Schlüsselmaterial von Cloud KMS angefordert und in Ihrem externen Schlüsselverwaltungssystem generiert wird. Wenn das Feld Schlüsselpfad angezeigt wird, ist die von Ihnen ausgewählte EKM-über-VPC-Verbindung nicht für koordinierte externe Schlüssel konfiguriert.
Konfigurieren Sie bei Bedarf die restlichen Schlüsseleinstellungen und klicken Sie dann auf Erstellen.

Cloud EKM sendet eine Anfrage zum Erstellen eines neuen Schlüssels an Ihren EKM. Der Schlüssel wird als Generierung ausstehend angezeigt, bis der Schlüsselpfad von Ihrem EKM zurückgegeben wird und der Cloud EKM-Schlüssel verfügbar ist.

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die aktuelle Version ausführen.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ersetzen Sie Folgendes:

KEY_NAME: Der Name des Schlüssels.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
PURPOSE: der Zweck des Schlüssels.
ALGORITHM: Der für den Schlüssel zu verwendende Algorithmus, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Manuell verwalteten Cloud EKM über VPC-Schlüssel erstellen

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für den EKM-Verbindungstyp (External Key Manager) die Option über VPC aus.
Wählen Sie für EKM-über-VPC-Verbindung eine Verbindung aus.

Hinweis: Wenn Sie die Berechtigung EkmConnection.list nicht haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.
Klicken Sie auf Weiter.
Geben Sie im Feld Schlüsselpfad den Pfad zum externen Schlüssel ein.
Konfigurieren Sie bei Bedarf die restlichen Schlüsseleinstellungen und klicken Sie dann auf Erstellen.

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die aktuelle Version ausführen.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ersetzen Sie Folgendes:

KEY_NAME: Der Name des Schlüssels.
KEY_RING
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
PURPOSE: der Zweck des Schlüssels.
ALGORITHM: Der für den Schlüssel zu verwendende Algorithmus, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Manuell verwaltetes Cloud EKM über einen Internetschlüssel erstellen

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für den EKM-Verbindungstyp (External Key Manager) die Option über Internet aus.
Klicken Sie auf Weiter.
Geben Sie im Feld Schlüssel-URI den Pfad zum externen Schlüssel ein.
Konfigurieren Sie bei Bedarf die restlichen Schlüsseleinstellungen und klicken Sie dann auf Erstellen.

Hinweis: Wenn Sie den URI falsch eingeben oder der Schlüssel nicht unter diesem URI gefunden wird, wird der Schlüssel erstellt, hat aber keine Version. Klicken Sie in diesem Fall auf Schlüssel rotieren, um eine neue Version zu erstellen, und geben Sie den richtigen URI ein. Weitere Details zum Fehler finden Sie im Infofeld ansehen auf dem Tab Aktivität oder in den standardmäßig aktivierten [Audit-Logs zur Administratoraktivität][audit_logging].

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade auf die aktuelle Version ausführen.

Erstellen Sie einen leeren externen Schlüssel:
```
gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM
```
Ersetzen Sie Folgendes:
- KEY_NAME: Der Name des Schlüssels.
- KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält.
- LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
- PURPOSE: der Zweck des Schlüssels.
- ALGORITHM: Der für den Schlüssel zu verwendende Algorithmus, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
Erstellen Sie eine neue Schlüsselversion für den gerade erstellten Schlüssel:
```
gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI
```
Ersetzen Sie EXTERNAL_KEY_URI durch den URI des externen Schlüssels.

Fügen Sie für symmetrische Schlüsselversionen das Flag --primary hinzu, um die neue Schlüsselversion als primäre Version festzulegen.

Hinweis: Die Version wird nicht erstellt, wenn der Schlüssel-URI ungültig oder nicht erreichbar ist oder das Google Cloud-Dienstkonto nicht zur Verwendung des externen Schlüsselverwaltungs-Partnerschlüssels berechtigt ist. Wenn ein Fehler auftritt, beheben Sie das Problem und führen Sie den Befehl noch einmal aus.

Externen Schlüssel erstellen

Hinweise

gcloud-CLI

Erforderliche Rollen

Erforderliche Berechtigungen

Koordinierten externen Schlüssel erstellen

Console

gcloud

Manuell verwalteten Cloud EKM über VPC-Schlüssel erstellen

Console

gcloud

Manuell verwaltetes Cloud EKM über einen Internetschlüssel erstellen

Console

gcloud

Nächste Schritte