此页面由 Cloud Translation API 翻译。

Cloud External Key Manager

本主题简要介绍了 Cloud External Key Manager (Cloud EKM)。

术语

External Key Manager (EKM)

在 Google Cloud 之外用于管理密钥的密钥管理器。
Cloud External Key Manager (Cloud EKM)

一种使用在受支持的 EKM 中管理的外部密钥的 Google Cloud 服务。
通过互联网使用 Cloud EKM

Google Cloud 与其通信的 Cloud EKM 版本通过互联网访问您的外部密钥管理器。
通过 VPC 使用 Cloud EKM

Google Cloud 与其通信的 Cloud EKM 版本通过虚拟私有云 (VPC) 来连接外部密钥管理器。有关信息，请参阅 VPC 网络概览。
通过 Cloud KMS 进行 EKM 密钥管理

通过具有专用 VPC 网络的 VPC 使用 Cloud EKM 时支持 Cloud EKM 的外部密钥管理合作伙伴可以使用 Cloud KMS EKM 管理模式，以简化在您的外部密钥管理合作伙伴和 Cloud EKM 中。如需了解详情，请参阅协调的外部密钥和本页面上的通过 Cloud KMS 进行 EKM 密钥管理。
加密空间

外部密钥管理合作伙伴中用于存储您的资源的容器。你的加密货币空间由唯一的加密空间路径标识。加密空间的格式具体路径因外部密钥管理合作伙伴而异，例如 v0/cryptospaces/YOUR_UNIQUE_PATH.
合作伙伴管理的 EKM

由可信合作伙伴为您管理 EKM 的服务。如需了解详情，请参阅本演示文稿中的合作伙伴管理的 EKM 页面。
Key Access Justifications

当您将 Cloud EKM 与 Key Access Justifications 搭配使用时，向外部密钥管理合作伙伴提供了一个字段，用于标识每个请求的原因。您可以配置外部密钥管理合作伙伴，以根据提供的 Key Access Justifications 代码。如需详细了解 Key Access Justifications，请参阅 Key Access Justifications 概览。

概览

借助 Cloud EKM，您可以使用在受支持的外部密钥管理合作伙伴， Google Cloud您可以在支持的 CMEK 集成中保护静态数据服务，或直接调用 Cloud Key Management Service API 来启用。

Cloud EKM 提供多项优势：

密钥出处：您可以控制密钥的位置和分发由外部管理的密钥绝不会缓存或存储由外部管理的密钥 Google Cloud 中的资源。相反，Cloud EKM 针对每个请求直接与外部密钥管理合作伙伴进行通信。
访问权限控制：您可以在以下位置管理外部管理的密钥的访问权限：您的外部密钥管理器。您无法在未事先授予 Google Cloud 项目访问权限的 Google Cloud 访问外部密钥管理器中的密钥。您可以撤消此访问权限。
集中管理密钥：您可以管理密钥和访问权限政策无论它们保护的数据是否位于部署、扩缩和扩缩

在任何情况下，密钥都位于外部系统上，并且绝不会发送给 Google。

您可以与外部密钥管理器通信通过互联网或通过 Virtual Private Cloud (VPC) 实现。

Cloud EKM 的工作原理

Cloud EKM 密钥版本由以下部分组成：

外部密钥材料：Cloud EKM 的外部密钥材料密钥是在您的 EKM 中创建和存储的加密材料。此资料不会离开您的 EKM，也不会将其分享给 Google。
密钥参考：每个 Cloud EKM 密钥版本包含一个密钥 URI 或密钥路径。这是外部密钥材料的唯一标识符使用 Cloud EKM 调用密钥。
内部密钥材料：当对称 Cloud EKM 密钥是创建其他密钥材料后，Cloud KMS Cloud KMS（绝不会离开 Cloud KMS）。此密钥材料在与您的 EKM 通信时用作额外加密层。此内部密钥材料不适用于非对称签名密钥。

为了使用您的 Cloud EKM 密钥，Cloud EKM 会发送针对对 EKM 执行加密操作。例如，要加密数据对称加密密钥，Cloud EKM 首先使用内部密钥材料加密的数据包含在对 EKM 的请求中。 EKM 使用外部密钥材料，然后返回生成的密文。数据已加密使用 Cloud EKM 密钥时，必须使用外部密钥，才能解密和内部密钥材料

如果贵组织已启用 Key Access Justifications，则您的外部密钥管理合作伙伴记录所提供的访问理由，并仅完成请求的理由原因代码关于外部密钥管理合作伙伴的 Key Access Justifications 政策。

创建和管理 Cloud EKM 密钥需要进行相应的更改部署在 Cloud KMS 和 EKM 中系统会处理这些相应的更改对于手动管理的外部密钥和协调外部密钥 外部密钥。通过互联网访问的所有外部密钥都必须手动访问受管理。通过 VPC 网络访问的外部密钥可以手动管理，协调，具体取决于通过 VPC 连接的 EKM 的 EKM 管理模式。手动 EKM 管理模式用于手动管理的密钥。通过 Cloud KMS EKM 管理模式用于协调的外部密钥。对于有关 EKM 管理模式的更多信息，请参阅手动管理的外部密钥和协调的外部密钥。

下图显示了 Cloud KMS 如何融入密钥管理机制中 model.此图以 Compute Engine 和 BigQuery 为例您还可以查看支持 Cloud EKM 的服务的完整列表密钥。

说明如何使用 Cloud EKM 进行加密和解密的图表

了解使用 Cloud EKM 时的注意事项和限制。

手动管理的外部密钥

本部分全面概述了 Cloud EKM 如何与手动管理的外部密钥。

您可以在受支持的外部密钥管理合作伙伴处创建或使用现有密钥 system。此密钥具有唯一的 URI 或密钥路径。
您授予 Google Cloud 项目使用密钥的权限，密钥管理合作伙伴
在 Google Cloud 项目中，创建一个 Cloud EKM 密钥版本，使用外部管理的密钥的 URI 或密钥路径。
您必须手动管理密钥轮替等维护操作，您的 EKM 和 Cloud EKM。例如，密钥版本轮替或密钥版本销毁操作需要直接在您的 EKM 和 Cloud KMS 中

在 Google Cloud 中，该密钥 Cloud KMS 和 Cloud HSM 密钥，具有保护级别 EXTERNAL 或 EXTERNAL_VPC。Cloud EKM 密钥与外部密钥管理合作伙伴密钥协同工作以保护您的数据。外部密钥绝不会泄露给 Google。

协调的外部密钥

本部分简要介绍了 Cloud EKM 如何与协调外部密钥。

您通过 VPC 设置 EKM 连接、将 EKM 管理模式设置为 Cloud KMS。在设置过程中，您需要必须授权您的 EKM 访问您的 VPC 网络用于访问加密空间的 Google Cloud 项目服务账号，您的 EKM。您的 EKM 连接使用 EKM 的主机名和加密空间路径，用于标识 EKM 中的资源。
您可以在以下位置创建外部密钥： Cloud KMS。使用 EKM 创建 Cloud EKM 密钥时通过 VPC 连接（启用了 Cloud KMS EKM 管理模式），系统会自动执行以下步骤：
1. Cloud EKM 会向您的 EKM 发送密钥创建请求。
2. 您的 EKM 会创建请求的密钥材料。此外部密钥材料保留在 EKM 中，并且绝不会发送给 Google。
3. 您的 EKM 会返回 Cloud EKM 的密钥路径。
4. Cloud EKM 使用密钥路径。
可通过以下方式启动对协调的外部密钥的维护操作： Cloud KMS。例如，协调外部密钥用于对称加密可以按照设定的时间表自动轮替。通过创建新密钥版本的操作由 Cloud EKM。您还可以通过更改从 Cloud KMS 检索 EKM 中的密钥版本 Google Cloud 控制台、gcloud CLI、Cloud KMS API 或 Cloud KMS 客户端库。

在 Google Cloud 中，密钥与您的其他 Cloud KMS 和 Cloud HSM 密钥一起显示，保护级别为 EXTERNAL_VPC。Cloud EKM 密钥和外部密钥管理合作伙伴密钥的工作原理共同保护您的数据外部密钥材料绝不会公开 Google。

通过 Cloud KMS 进行 EKM 密钥管理

协调的外部密钥由 EKM 通过使用通过 Cloud KMS 进行 EKM 密钥管理。如果您的 EKM 支持 Cloud EKM 则可以从 Cloud KMS 为 Cloud KMS 启用 EKM 密钥管理，通过 VPC 连接的 EKM 创建协调外部密钥。包含已启用来自 Cloud KMS 的 EKM 密钥管理，Cloud EKM 可以请求以下更改：

创建密钥：在以下位置创建外部管理的密钥时： Cloud KMS 使用兼容的通过 VPC 连接的 EKM， Cloud EKM 将您的密钥创建请求发送到您的 EKM。时间成功，则 EKM 会创建新的密钥和密钥材料，并返回要用于访问密钥的 Cloud EKM 的密钥路径。
轮替密钥：当您在以下位置轮替外部管理的密钥： Cloud KMS 使用兼容的通过 VPC 连接的 EKM， Cloud EKM 会将您的轮替请求发送到您的 EKM。成功后您的 EKM 会创建新的密钥材料并返回用于访问新密钥版本的 Cloud EKM。
销毁密钥：在您销毁外部管理的密钥的密钥版本时在 Cloud KMS 中使用兼容的 EKM 通过 VPC 连接； Cloud KMS 安排销毁密钥版本 Cloud KMS。如果密钥版本在安排的销毁期限结束后，Cloud EKM 会销毁自己密钥加密材料，并向 EKM 发送销毁请求。

使用此密钥版本加密的数据无法在使用密钥后解密版本会在 Cloud KMS 中销毁，即使 EKM 尚未销毁了密钥版本。您可以查看 EKM 是否已成功通过在以下位置查看密钥详细信息来销毁密钥版本： Cloud KMS。

当 EKM 中的密钥由 Cloud KMS 管理时，密钥材料仍保留在您的 EKM 中。Google 无法向您的未明确许可的 EKM。Google 无法更改权限或您的外部密钥管理合作伙伴系统中的 Key Access Justifications 政策。如果您撤消您的 EKM 中的 Google 权限，尝试在 Cloud KMS 失败。

兼容性

支持的密钥管理器

您可以将外部密钥存储在以下外部密钥管理合作伙伴系统中：

目前支持：
- Fortanix
- Futurex
- Thales
- Virtru

通过 Cloud EKM 支持 CMEK 的服务

以下服务支持与 Cloud KMS 集成外部 (Cloud EKM) 密钥：

AlloyDB for PostgreSQL
Artifact Registry
Backup for GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
Cloud Healthcare API
Cloud Logging：日志路由器中的数据和 Logging 存储中的数据
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine：永久性磁盘 , 快照 , 自定义映像 , 和机器映像
Contact Center AI 数据洞见
Database Migration Service： MySQL 迁移 - 写入数据库的数据 , PostgreSQL 迁移 - 写入数据库的数据 , 从 PostgreSQL 到 AlloyDB 的迁移 - 写入数据库的数据 , 和从 Oracle 迁移到 PostgreSQL 静态数据
Dataflow
Dataproc：虚拟机磁盘上的 Dataproc 集群数据和虚拟机磁盘上的 Dataproc 无服务器数据
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc
Filestore
Firestore （预览版）
Google Distributed Cloud
Google Kubernetes Engine：虚拟机磁盘上的数据和应用层 Secret
Looker (Google Cloud Core)
Memorystore for Redis
迁移到虚拟机
Pub/Sub
Secret Manager
安全源代码管理器
Spanner
演讲者 ID （受限的 Google Analytics）
Speech-to-Text
Vertex AI
Vertex AI Workbench 实例
工作流程

注意事项

当您使用 Cloud EKM 密钥时，Google 无法控制外部密钥管理合作伙伴系统中由外部管理的密钥的可用性。如果您丢失了自己在 Google Cloud 外部管理的密钥，Google 无法来恢复数据
为您的 Cloud EKM 密钥选择位置时，请查看有关外部密钥管理合作伙伴和区域的准则。
查看 Cloud EKM 服务等级协议 (SLA)。
通过互联网与外部服务通信可能会导致可靠性、可用性和延迟时间方面的问题对于对这类风险的容忍度较低，请考虑使用 Cloud HSM 或 Cloud KMS 存储您的密钥材料。
- 如果外部密钥不可用，Cloud KMS 将返回 FAILED_PRECONDITION 错误，并在 PreconditionFailure 错误详细信息中提供详细信息。
  
  启用数据审核日志记录以保留所有与 Cloud EKM 相关的错误。错误消息包含以帮助查明错误来源。示例常见错误是外部密钥管理合作伙伴不响应请求并在合理的时间范围内采取措施
- 您需要与外部密钥管理合作伙伴签订支持合同。 Google Cloud 支持团队只能帮助您解决以下方面的问题：无法直接协助解决外部系统有时，您必须与双方的支持合作排查互操作性问题。
Cloud EKM 可与 Bare Metal Rack HSM 搭配使用创建与 Google Cloud 集成的 Cloud KMS。如需了解详情，请选择一家 Cloud EKM 合作伙伴（支持单租户 HSM）裸金属机架 HSM 的要求。
在外部密钥管理器中启用审核日志记录以捕获访问和 EKM 密钥的使用情况。

限制

不支持自动轮替。
当您使用 API 或 Google Cloud CLI，它不得有初始密钥版本。这并不适用使用 Google Cloud 控制台创建的 Cloud EKM 密钥。
除了受到 Cloud KMS 操作的配额限制之外，Cloud EKM 操作还受特定配额限制。

对称加密密钥

对称加密密钥仅支持以下各项：
- 支持的集成服务中的客户管理的加密密钥 (CMEK)。
- 直接使用 Cloud KMS 进行的对称加密和解密。
由 Cloud EKM 使用外部托管的数据加密的数据密钥。

非对称签名密钥

非对称签名密钥限于一部分 Cloud KMS 算法。
非对称签名密钥仅适用于：
- 直接使用 Cloud KMS 的非对称签名。
- Access Approval 的自定义签名密钥。
在 Cloud EKM 密钥上设置非对称签名算法后，无法修改。
必须在 data 字段上签名。

外部密钥管理器和区域

Cloud EKM 必须能够快速访问您的密钥，以避免出错。创建 Cloud EKM 密钥时，请选择一个地理位置接近外部密钥管理合作伙伴密钥位置的 Google Cloud 位置。如需详细了解该合作伙伴的位置可用性，请参阅合作伙伴的文档。

通过互联网提供的 Cloud EKM：适用于任何 Google Cloud 位置，适用于 Cloud KMS、但 global 和 nam-eur-asia1 除外。
通过 VPC 使用 Cloud EKM：仅在单区域位置，适用于 Cloud KMS

请参阅您的外部密钥管理合作伙伴的文档，以确定他们支持哪些位置。

多区域使用

当您将外部管理的密钥用于多区域时，多区域中的多个数据中心都有密钥。此元数据包含与外部密钥管理合作伙伴沟通所需的信息。如果您的在多区域位置提供故障切换服务新数据中心发起密钥请求。新数据中心与新数据中心的旧数据中心的网络特征，包括外部密钥管理合作伙伴以及超时的可能性。我们建议仅使用使用 Cloud EKM 的多区域位置（如果您选择的外部密钥管理器）为该多区域位置中的所有区域提供低延迟。

合作伙伴管理的 EKM

合作伙伴管理的 EKM 可让您通过可信主权使用 Cloud EKM 为您管理 EKM 系统的合作伙伴。借助合作伙伴管理的 EKM，您的由合作伙伴创建和管理 Cloud EKM 中使用的函数。合作伙伴确保您的 EKM 符合主权要求。

当您与主权合作伙伴建立合作关系时，合作伙伴会提供相关资源在 Google Cloud 和 EKM 中。这些资源包括项目来管理 Cloud EKM 密钥和通过 VPC 连接的 EKM （通过 Cloud KMS 为 EKM 密钥管理配置）。您的合作伙伴在以下位置创建资源：根据您的数据驻留要求确定的 Google Cloud 位置。

每个 Cloud EKM 密钥都包含 Cloud KMS 元数据，可让 Cloud EKM 向 Cloud KMS 发送请求使用 EKM 使用外部密钥材料执行加密操作，绝不会离开 EKM。对称 Cloud EKM 密钥还包括绝不会离开 Google Cloud 的 Cloud KMS 内部密钥材料。详细了解 Cloud EKM 的内部和外部请参阅本页面中的 Cloud EKM 的工作原理。

如需详细了解合作伙伴管理的 EKM，请参阅配置合作伙伴管理的 EKM Cloud KMS。

监控 Cloud EKM 用量

您可以使用 Cloud Monitoring 来监控 EKM 连接。以下指标可帮助您了解 EKM 用量：

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

如需详细了解这些指标，请参阅 cloudkms 指标。您可以创建一个来跟踪这些指标了解如何设置要监控的信息中心 EKM 连接，请参阅监控 EKM 使用情况。

获取支持

如果您遇到 Cloud EKM 问题，请与支持团队联系。

后续步骤

通过互联网设置 Cloud EKM。
创建 EKM 连接以通过 VPC 使用 EKM。
开始学习使用 API。
仔细阅读 Cloud KMS API 参考。
了解 Cloud KMS 中的日志记录。日志记录基于操作，适用于保护级别为 HSM 和软件的密钥。
请参阅有关可靠部署 Cloud EKM 服务的参考架构获取有关配置外部密钥管理器 (EKM) 服务的建议与 Cloud EKM 集成。