Auf dieser Seite erfahren Sie, wie Sie Cloud External Key Manager-Schlüssel (Cloud EKM) in einer vorhandenen Schlüsselbund-Gruppe im Cloud Key Management Service (Cloud KMS) erstellen.
Hinweise
Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:
-
Eine Google Cloud-Projektressource, die Ihre Cloud KMS-Ressourcen enthält. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine anderen Google Cloud-Ressourcen enthält.
Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Ersetzen Sie im folgenden Beispiel
PROJECT_NUMBERdurch die Projektnummer Ihres Google Cloud-Projekts. Diese Informationen werden auch angezeigt, wenn Sie die Google Cloud Console zum Erstellen eines Cloud EKM-Schlüssels verwenden.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com - Der Name und Speicherort des Schlüsselbunds, in dem Sie den Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Standort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und Cloud EKM unterstützt. Informationen zu verfügbaren Standorten und den von ihnen unterstützten Schutzniveaus finden Sie unter Cloud KMS-Standorte. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
-
Wenn Sie manuell verwaltete externe Schlüssel erstellen möchten, müssen Sie den Schlüssel im Partnersystem für die externe Schlüsselverwaltung erstellen. Die genauen Schritte variieren je nach Partner für die externe Schlüsselverwaltung.
- Fordern Sie bei Bedarf den Zugriff Ihres Partners für die externe Schlüsselverwaltung an, um daran teilzunehmen.
-
Erstellen Sie einen symmetrischen oder asymmetrischen Schlüssel im Partnersystem für die externe Schlüsselverwaltung oder wählen Sie einen vorhandenen Schlüssel aus.
Erstellen Sie den Schlüssel in einer Region in der Nähe der Google Cloud-Region, die Sie für Cloud EKM-Schlüssel verwenden möchten. Dadurch wird die Netzwerklatenz zwischen Ihrem Google Cloud-Projekt und dem externen Schlüsselverwaltungspartner verringert. Andernfalls kann es zu einer erhöhten Anzahl fehlgeschlagener Vorgänge kommen. Weitere Informationen finden Sie unter Cloud EKM und Regionen.
- Notieren Sie sich den URI oder Schlüsselpfad des externen Schlüssels. Sie benötigen diese Informationen, um einen Cloud EKM-Schlüssel zu erstellen.
- Gewähren Sie dem Google Cloud-Dienstkonto im Partnersystem für die externe Schlüsselverwaltung Zugriff, um Ihre externen Schlüssel zu verwenden. Behandeln Sie das Dienstkonto als E-Mail-Adresse. EKM-Partner verwenden möglicherweise eine andere Terminologie als die in diesem Dokument verwendete.
- Wenn Sie EKM-über-VPC-Schlüssel erstellen möchten, müssen Sie eine EKM-Verbindung erstellen.
- Optional: Bereiten Sie Ihre Umgebung für die Verwendung der gcloud CLI vor.
In the Google Cloud console, activate Cloud Shell.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen von Schlüsseln erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Erstellen von Schlüsseln erforderlich:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
So rufen Sie einen öffentlichen Schlüssel ab:
cloudkms.cryptoKeyVersions.viewPublicKey
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Koordinierten externen Schlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für EKM-Verbindungstyp (External Key Manager) die Option über VPC aus.
Wählen Sie unter EKM über VPC-Verbindung eine Verbindung aus.
Wenn Sie die Berechtigung
EkmConnection.listnicht haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.Klicken Sie auf Weiter.
Im Bereich Schlüsselmaterial sollte eine Meldung angezeigt werden, dass neues Schlüsselmaterial von Cloud KMS angefordert und in Ihrem externen Schlüsselverwaltungssystem generiert wird. Wenn das Feld Schlüsselpfad angezeigt wird, ist die ausgewählte EKM-über-VPC-Verbindung nicht für koordinierte externe Schlüssel konfiguriert.
Konfigurieren Sie die restlichen wichtigen Einstellungen nach Bedarf und klicken Sie dann auf Erstellen.
Cloud EKM sendet eine Anfrage an Ihr EKM, um einen neuen Schlüssel zu erstellen. Der Schlüssel wird als Generating pending (Generierung ausstehend) angezeigt, bis der Schlüsselpfad von Ihrem EKM zurückgegeben wird und der Cloud EKM-Schlüssel verfügbar ist.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Ersetzen Sie Folgendes:
KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.PURPOSE: den Zweck des Schlüssels.ALGORITHM: Der Algorithmus, der für den Schlüssel verwendet werden soll, z. B.google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
Manuell verwaltetes Cloud EKM über VPC-Schlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für EKM-Verbindungstyp (External Key Manager) die Option über VPC aus.
Wählen Sie unter EKM über VPC-Verbindung eine Verbindung aus.
Wenn Sie die Berechtigung
EkmConnection.listnicht haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.Klicken Sie auf Weiter.
Geben Sie im Feld Schlüsselpfad den Pfad zu Ihrem externen Schlüssel ein.
Konfigurieren Sie die restlichen wichtigen Einstellungen nach Bedarf und klicken Sie dann auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Ersetzen Sie Folgendes:
KEY_NAME: Der Name des Schlüssels.- KEY_RING
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.PURPOSE: den Zweck des Schlüssels.ALGORITHM: Der Algorithmus, der für den Schlüssel verwendet werden soll, z. B.google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.
Manuell verwalteten Cloud EKM-Schlüssel über Internetschlüssel erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für EKM-Verbindungstyp (External Key Manager) die Option über das Internet aus.
Klicken Sie auf Weiter.
Geben Sie im Feld Schlüssel-URI den Pfad zu Ihrem externen Schlüssel ein.
Konfigurieren Sie die restlichen wichtigen Einstellungen nach Bedarf und klicken Sie dann auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
So erstellen Sie einen leeren externen Schlüssel:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Ersetzen Sie Folgendes:
KEY_NAME: Der Name des Schlüssels.KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.PURPOSE: den Zweck des Schlüssels.ALGORITHM: Der Algorithmus, der für den Schlüssel verwendet werden soll, z. B.google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag
--helpaus.Erstellen Sie eine neue Schlüsselversion für den soeben erstellten Schlüssel:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Ersetzen Sie
EXTERNAL_KEY_URIdurch den URI des externen Schlüssels.Fügen Sie bei symmetrischen Schlüsselversionen das Flag
--primaryhinzu, um die neue Schlüsselversion als primäre Version festzulegen.