Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud External Key Manager

Questo argomento fornisce una panoramica di Cloud External Key Manager (Cloud EKM).

Terminologia

Gestore di chiavi esterno (EKM)

Il gestore di chiavi utilizzato al di fuori di Google Cloud per gestire le tue chiavi.
Cloud External Key Manager (Cloud EKM)

Un servizio Google Cloud per l'utilizzo di chiavi esterne gestite all'interno di un EKM supportato.
Cloud EKM tramite internet

Una versione di Cloud EKM con cui comunica Google Cloud dal gestore di chiavi esterno tramite internet.
Cloud EKM tramite VPC

Una versione di Cloud EKM con cui comunica Google Cloud il gestore di chiavi esterno su un VPC (Virtual Private Cloud). Per ulteriori informazioni informazioni, consulta Panoramica della rete VPC.
Gestione delle chiavi EKM da Cloud KMS

Quando utilizzi Cloud EKM tramite un VPC con un partner esterno per la gestione delle chiavi che supporta Cloud EKM puoi utilizzare l'EKM di Cloud KMS per semplificare il processo di manutenzione delle chiavi esterne nel tuo per la gestione delle chiavi esterno e in Cloud EKM. Per ulteriori informazioni, vedi Chiavi esterne coordinate e Gestione delle chiavi EKM da Cloud KMS in questa pagina.
Spazio di crittografia

Un container per le risorse all'interno del tuo partner esterno per la gestione delle chiavi. Il tuo spazio di criptovalute è identificato da un percorso unico di criptovalute. Il formato dello spazio delle criptovalute varia a seconda del partner esterno per la gestione delle chiavi, ad esempio v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gestito dai partner

Un accordo in cui il tuo EKM viene gestito per te da un partner di fiducia. Per saperne di più, consulta l'articolo sull'EKM gestito dai partner .
Key Access Justifications

Quando utilizzi Cloud EKM con Key Access Justifications, ogni richiesta al tuo il partner esterno per la gestione delle chiavi include un campo che identifica il motivo di ogni richiesta. Puoi configurare il tuo partner esterno per la gestione delle chiavi per consentire o rifiutare le richieste in base Codice Key Access Justifications fornito. Per ulteriori informazioni Key Access Justifications, consulta Key Access Justifications Panoramica.

Panoramica

Con Cloud EKM, puoi utilizzare le chiavi che gestisci all'interno di un partner esterno per la gestione delle chiavi supportato per proteggere i dati all'interno in Google Cloud. Puoi proteggere i dati at-rest nell'integrazione CMEK supportata services o chiamando direttamente l'API Cloud Key Management Service.

Cloud EKM offre diversi vantaggi:

Provenienza chiave: sei tu a controllare la località e la distribuzione dei tuoi gestite esternamente. Le chiavi gestite esternamente non vengono mai memorizzate nella cache o archiviate all'interno di Google Cloud. Invece, Cloud EKM comunica direttamente con il partner esterno per la gestione delle chiavi per ogni richiesta.
Controllo dell'accesso: puoi gestire l'accesso alle chiavi gestite esternamente in dal gestore di chiavi esterno. Non puoi utilizzare una chiave gestita esternamente Google Cloud senza aver prima concesso il progetto Google Cloud alla chiave nel gestore chiavi esterno. Puoi revocare questo accesso in qualsiasi momento.
Gestione centralizzata delle chiavi:puoi gestire le tue chiavi e i criteri di accesso da un'unica interfaccia utente, sia che i dati che proteggono si trovino all'interno on-premise o nel cloud.

In ogni caso, la chiave risiede nel sistema esterno e non viene mai inviata in tutti i canali Google.

Puoi comunicare con il gestore chiavi esterno tramite internet o tramite un VPC (Virtual Private Cloud).

Come funziona Cloud EKM

Le versioni delle chiavi Cloud EKM sono costituite dalle seguenti parti:

Materiale chiave esterna: il materiale della chiave esterna di un Cloud EKM. è il materiale crittografico creato e archiviato nel tuo EKM. Questo materiale non lascia l'EKM e non viene mai condiviso con Google.
Riferimento chiave: ogni versione della chiave Cloud EKM contiene una chiave o un percorso della chiave. Si tratta di un identificatore univoco per il materiale della chiave esterna che Cloud EKM utilizza per richiedere operazioni crittografiche tramite la chiave.
Materiale chiave interna: quando viene utilizzata una chiave Cloud EKM simmetrica creato, Cloud KMS crea materiale aggiuntivo della chiave Cloud KMS, che non lascia mai Cloud KMS. Questo materiale della chiave viene utilizzato come livello aggiuntivo di crittografia durante la comunicazione con l'EKM. Questo materiale della chiave interna non si applica alle chiavi di firma asimmetriche.

Per utilizzare le tue chiavi Cloud EKM, Cloud EKM invia richieste per operazioni crittografiche al tuo EKM. Ad esempio, per criptare i dati con un chiave di crittografia simmetrica, Cloud EKM cripta innanzitutto i dati utilizzando materiale della chiave interna. I dati criptati sono inclusi in una richiesta all'EKM. L'EKM aggrega i dati criptati in un altro livello di crittografia utilizzando il materiale della chiave esterna, quindi restituisce il testo crittografato risultante. Dati criptati utilizzando una chiave Cloud EKM non può essere decriptata senza entrambe le chiavi esterne e il materiale della chiave interna.

Se la tua organizzazione ha abilitato Key Access Justifications, il tuo partner esterno per la gestione delle chiavi registra la giustificazione dell'accesso fornita e completa solo la richiesta per i codici motivi di giustificazione consentiti dal tuo criterio Key Access Justifications per il partner esterno per la gestione delle chiavi.

La creazione e la gestione delle chiavi Cloud EKM richiedono modifiche corrispondenti sia in Cloud KMS che nell'EKM. Queste modifiche corrispondenti vengono gestite in modo diverso per le chiavi esterne gestite manualmente e per le chiavi coordinate chiavi esterne. Tutte le chiavi esterne accessibili tramite internet sono manuali gestito. Le chiavi esterne accessibili tramite una rete VPC possono essere gestite manualmente oppure coordinati, in base alla modalità di gestione EKM dell'EKM tramite connessione VPC. La modalità di gestione EKM manuale viene utilizzata per le chiavi gestite manualmente. La La modalità di gestione EKM di Cloud KMS viene utilizzata per le chiavi esterne coordinate. Per Scopri di più sulle modalità di gestione EKM. Consulta La gestione manuale esterna e Chiavi esterne coordinate in questa pagina.

Il seguente diagramma mostra come Cloud KMS si inserisce nella gestione delle chiavi un modello di machine learning. Questo diagramma utilizza Compute Engine e BigQuery come due esempi; puoi anche visualizzare l'elenco completo dei servizi che supportano Cloud EKM chiave.

Diagramma che illustra la crittografia e la decriptazione con Cloud EKM

Puoi scoprire di più sulle considerazioni e limitazioni relative all'utilizzo di Cloud EKM.

Chiavi esterne gestite manualmente

Questa sezione fornisce una panoramica generale di come funziona Cloud EKM con un una chiave esterna gestita manualmente.

Puoi creare o utilizzare una chiave esistente in un partner per la gestione delle chiavi esterno supportato . Questa chiave ha un URI o un percorso della chiave univoco.
Concedi al tuo progetto Google Cloud l'accesso per utilizzare la chiave nel sistema esterno di gestione delle chiavi del partner.
Nel progetto Google Cloud, crei una chiave Cloud EKM utilizzando l'URI o il percorso della chiave per la chiave gestita esternamente.
Le operazioni di manutenzione, come la rotazione della chiave, devono essere gestite manualmente tra il tuo EKM e Cloud EKM. Ad esempio, la rotazione della versione della chiave le operazioni di eliminazione della versione della chiave devono essere completate direttamente nel tuo EKM e in Cloud KMS.

In Google Cloud, la chiave viene visualizzata insieme all'altra Chiavi Cloud KMS e Cloud HSM, con livello di protezione EXTERNAL o EXTERNAL_VPC. La chiave Cloud EKM e chiave esterna del partner per la gestione delle chiavi collaborano per proteggere i tuoi dati. La chiave esterna non vengono mai esposti a Google.

Tasti esterni coordinati

Questa sezione fornisce una panoramica di come funziona Cloud EKM con un chiave esterna coordinata.

Puoi configurare un EKM tramite VPC connessione, Impostare la modalità di gestione EKM su Cloud KMS. Durante la configurazione, devi autorizzare l'EKM ad accedere alla rete VPC e autorizzare Account di servizio del progetto Google Cloud per accedere allo spazio di crittografia in il tuo EKM. La connessione EKM utilizza il nome host del tuo EKM e una criptografia che identifica le risorse all'interno del tuo EKM.
Puoi creare una chiave esterna in di Cloud KMS. Quando crei una chiave Cloud EKM utilizzando un EKM tramite una connessione VPC con la modalità di gestione EKM di Cloud KMS abilitata, i seguenti passaggi vengono eseguiti automaticamente:
1. Cloud EKM invia una richiesta di creazione della chiave al tuo EKM.
2. L'EKM crea il materiale della chiave richiesto. Questo materiale della chiave esterna rimane nell'EKM e non viene mai inviato a Google.
3. L'EKM restituisce un percorso chiave a Cloud EKM.
4. Cloud EKM crea la versione della chiave Cloud EKM utilizzando chiave fornito dal tuo EKM.
Le operazioni di manutenzione su chiavi esterne coordinate possono essere avviate da di Cloud KMS. Ad esempio, chiavi esterne coordinate utilizzate la crittografia simmetrica può essere ruotata automaticamente in base a una pianificazione prestabilita. La la creazione di nuove versioni delle chiavi viene coordinata nel tuo EKM di Cloud EKM. Puoi anche attivare la creazione o l'eliminazione delle chiavi nel tuo EKM da Cloud KMS utilizzando Console Google Cloud, gcloud CLI, Cloud KMS API o librerie client di Cloud KMS.

In Google Cloud, la chiave viene visualizzata insieme all'altra Chiavi Cloud KMS e Cloud HSM, con livello di protezione EXTERNAL_VPC. La chiave Cloud EKM e la chiave esterna del partner per la gestione delle chiavi funzionano per proteggere i tuoi dati. Il materiale della chiave esterna non è mai esposto in tutti i canali Google.

Gestione delle chiavi EKM da Cloud KMS

Le chiavi esterne coordinate sono rese possibili dall'EKM mediante connessioni VPC che utilizzano Gestione delle chiavi EKM da Cloud KMS. Se il tuo EKM supporta Cloud EKM di controllo, puoi abilitare la gestione delle chiavi EKM da Cloud KMS per Connessioni EKM tramite VPC per creare chiavi esterne coordinate. Con Gestione delle chiavi EKM da Cloud KMS abilitata, Cloud EKM può richiedere le modifiche seguenti nel tuo EKM:

Crea una chiave: quando crei una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM tramite VPC compatibile, Cloud EKM invia la richiesta di creazione della chiave al tuo EKM. Quando riuscito, l'EKM crea la nuova chiave e il materiale della chiave e restituisce che Cloud EKM utilizzerà per accedere alla chiave.
Ruota una chiave: quando ruoti una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM tramite VPC compatibile, Cloud EKM invia la richiesta di rotazione al tuo EKM. Una volta completata l'operazione, l'EKM crea un nuovo materiale della chiave e restituisce il percorso della chiave Cloud EKM da utilizzare per accedere alla nuova versione della chiave.
Elimina una chiave: quando elimini la versione di una chiave per una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM tramite VPC compatibile, Cloud KMS pianifica l'eliminazione della versione della chiave di Cloud KMS. Se la versione della chiave non viene ripristinata prima della pianificazione per l'eliminazione, Cloud EKM elimina la sua parte il materiale crittografico della chiave e invia una richiesta di eliminazione al tuo EKM.

I dati criptati con questa versione della chiave non possono essere decriptati dopo la chiave è stata eliminata in Cloud KMS, anche se l'EKM non ha ancora ha eliminato la versione della chiave. Puoi verificare se l'EKM ha eseguito correttamente ha eliminato la versione della chiave visualizzando i dettagli della chiave di Cloud KMS.

Quando le chiavi nel tuo EKM vengono gestite da Cloud KMS, il materiale delle chiavi risiede ancora nel tuo EKM. Google non può effettuare richieste di gestione delle chiavi al tuo EKM senza autorizzazione esplicita. Google non può modificare le autorizzazioni o Criteri Key Access Justifications nel tuo sistema esterno di gestione delle chiavi del partner. Se revochi Autorizzazioni di Google nel tuo EKM, operazioni di gestione delle chiavi tentate in Cloud KMS non riesce.

Compatibilità

Gestori di chiavi supportati

Puoi archiviare le chiavi esterne nei seguenti sistemi esterni dei partner di gestione delle chiavi:

Supportato oggi:
- Fortanix
- Futurex
- Thales
- Virtru

Servizi che supportano CMEK con Cloud EKM

I seguenti servizi supportano l'integrazione con Cloud KMS per chiavi esterne (Cloud EKM):

AlloyDB per PostgreSQL
Artifact Registry
Backup per GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
API Cloud Healthcare
Cloud Logging: Dati nel router dei log e Dati nello spazio di archiviazione di Logging
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Dischi permanenti , Istantanee , Immagini personalizzate , e Immagini macchina
Approfondimenti di Contact Center AI
Database Migration Service: Migrazioni MySQL: dati scritti nei database , Migrazioni PostgreSQL - Dati scritti nei database , Migrazioni da PostgreSQL ad AlloyDB - Dati scritti nei database , e Dati at-rest da Oracle a PostgreSQL
Dataflow
Dataproc: Dati dei cluster Dataproc su dischi VM e Dati serverless di Dataproc su dischi VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc
Filestore
Firestore (anteprima)
Google Distributed Cloud
Google Kubernetes Engine: Dati sui dischi VM e Secret a livello di applicazione
Looker (Google Cloud core)
Memorystore for Redis
Eseguire la migrazione alle macchine virtuali
Pub/Sub
Secret Manager
Gestione delle fonti sicure
Spanner
ID speaker (GA con limitazioni)
Speech-to-Text
Vertex AI
Istanze di Vertex AI Workbench
Workflows

Considerazioni

Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulle la disponibilità della chiave gestita esternamente nel sistema esterno di gestione delle chiavi del partner. Se perdi le chiavi che gestisci al di fuori di Google Cloud, Google non potrà recuperare i dati.
Consulta le linee guida relative alle regioni e ai partner esterni per la gestione delle chiavi quando e scegliere le località per le tue chiavi Cloud EKM.
Leggi l'accordo sul livello del servizio (SLA) di Cloud EKM.
La comunicazione con un servizio esterno su internet può comportare i problemi di affidabilità, disponibilità e latenza. Per applicazioni con una bassa tolleranza per questi tipi di rischi, è consigliabile utilizzare Cloud HSM oppure Cloud KMS per archiviare il materiale delle chiavi.
- Se una chiave esterna non è disponibile, Cloud KMS restituisce un FAILED_PRECONDITION e fornisce dettagli nel PreconditionFailure dettaglio dell'errore.
  
  Attiva il logging di controllo dei dati per conservare un record di tutti relativi a Cloud EKM. I messaggi di errore contengono informazioni che consentano di individuare l'origine dell'errore. Un esempio di errore comune si verifica quando un partner esterno di gestione delle chiavi non risponde a una richiesta entro un periodo di tempo ragionevole.
- È necessario un contratto di assistenza con il partner esterno per la gestione delle chiavi. L'assistenza Google Cloud può offrire aiuto solo per problemi relativi a: nei servizi Google Cloud e non possono fornire assistenza diretta per problemi relativi a sistemi esterni. A volte, è necessario collaborare con entrambi i lati per risolvere i problemi di interoperabilità.
Cloud EKM può essere utilizzato con HSM Bare Metal Rack per creare una soluzione HSM single-tenant integrata di Cloud KMS. Per saperne di più, scegli un partner Cloud EKM che supporta i moduli HSM a singolo tenant ed esamina il requisiti per i moduli HSM in rack Bare Metal.
Abilita l'audit logging nel gestore di chiavi esterno per acquisire l'accesso e l'utilizzo delle chiavi EKM.

Attenzione: quando utilizzi le chiavi Cloud EKM su internet, è disponibile un che la chiave possa non essere più disponibile. A seconda dei servizi che utilizzi questo può causare errori irreversibili o dati inaccessibili. Ad esempio, se Utilizzare una chiave CMEK esterna per criptare a livello di applicazione Google Kubernetes Engine i secret, i nodi possono diventare non disponibili se non riescono a decriptare i tuoi segreti. Anche l'impossibilità di accedere alla chiave esterna può causare la presenza di dati permanenti o una perdita di dati. Ad esempio, se la chiave CMEK utilizzata per criptare un database Spanner rimane non disponibile per più di 30 giorni consecutivi, automaticamente il database. Se la versione attuale della chiave non è disponibile, non puoi recuperare i dati ruotando a una nuova versione della chiave. Per una migliore disponibilità, valuta l'utilizzo di Cloud EKM su VPC Chiavi Cloud HSM.

Limitazioni

La rotazione automatica non è supportata.
Quando crei una chiave Cloud EKM utilizzando l'API o Google Cloud CLI, non deve avere una versione iniziale della chiave. Non applicabile alle chiavi Cloud EKM create utilizzando la console Google Cloud.
Le operazioni di Cloud EKM sono soggette a quote specifiche. oltre alle quote sulle operazioni di Cloud KMS.

Chiavi di crittografia simmetriche

Le chiavi di crittografia simmetriche sono supportate solo per:
- Chiavi di crittografia gestite dal cliente (CMEK) nei servizi di integrazione supportati.
- Crittografia simmetrica e decriptazione utilizzando direttamente Cloud KMS.
Dati criptati da Cloud EKM mediante un sistema gestito esternamente la chiave non può essere decriptata senza utilizzare Cloud EKM.

Chiavi di firma asimmetriche

Le chiavi di firma asimmetriche sono limitate a un sottoinsieme di Cloud KMS degli algoritmi.
Le chiavi di firma asimmetriche sono supportate solo per:
- Firma asimmetrica utilizzando direttamente Cloud KMS.
- Chiave di firma personalizzata con Access Approval.
Dopo aver impostato un algoritmo di firma asimmetrico su una chiave Cloud EKM, non può essere modificato.
È necessario firmare nel campo data.

Gestori di chiavi esterni e regioni

Cloud EKM deve poter raggiungere le tue chiavi rapidamente per evitare un errore. Quando crei una chiave Cloud EKM, scegli una la località di Google Cloud geograficamente vicina alla località chiave esterna del partner per la gestione delle chiavi. Fai riferimento alla documentazione del partner per ulteriori dettagli. la disponibilità della località del partner.

Cloud EKM tramite internet: disponibile in qualsiasi Google Cloud località supportate per Cloud KMS, tranne global e nam-eur-asia1.
Cloud EKM tramite VPC: disponibile solo in località regionali supportate per Cloud KMS

Consulta la documentazione del tuo partner esterno per la gestione delle chiavi per determinare in quali località assistenza in tempo reale.

Utilizzo in più regioni

Quando utilizzi una chiave gestita esternamente con più regioni, i metadati della chiave è disponibile in più data center all'interno di più regioni. Questi metadati include le informazioni necessarie per comunicare con il partner esterno per la gestione delle chiavi. Se le tue il failover di un'applicazione da un data center all'altro all'interno di più regioni, il nuovo data center avvia richieste chiave. Il nuovo data center potrebbe avere caratteristiche di rete dal precedente data center, inclusa la distanza dalla il partner esterno per la gestione delle chiavi e la probabilità di timeout. Ti consigliamo di utilizzare solo più regioni con Cloud EKM se il gestore di chiavi esterno scelto fornisce bassa latenza in tutte le aree multiregionali.

EKM gestito dai partner

L'EKM gestito dai partner ti consente di utilizzare Cloud EKM attraverso una sovranità affidabile che gestisce il tuo sistema EKM per te. Con EKM gestito dai partner, partner crea e gestisce le chiavi che in Cloud EKM. Il partner garantisce che il tuo EKM sia conforme requisiti di sovranità.

Quando fai l'onboarding con il tuo partner sovrano, quest'ultimo fornisce risorse in Google Cloud e nel tuo EKM. Queste risorse includono un Cloud KMS progetto per gestire le chiavi Cloud EKM e un EKM tramite connessione VPC per la gestione delle chiavi EKM da Cloud KMS. Il tuo partner crea risorse in Località di Google Cloud in base ai tuoi requisiti di residenza dei dati.

Ogni chiave Cloud EKM include Metadati Cloud KMS, che consentono a Cloud EKM di inviare richieste al tuo EKM per eseguire operazioni crittografiche utilizzando il materiale della chiave esterna non uscirà mai dal tuo EKM. Le chiavi simmetriche di Cloud EKM includono anche Materiale della chiave interna di Cloud KMS che non lascia mai Google Cloud. Per ulteriori informazioni sugli aspetti interni ed esterni di Cloud EKM consulta Come funziona Cloud EKM in questa pagina.

Per saperne di più sull'EKM gestito dai partner, consulta Configurare l'EKM gestito dai partner Cloud KMS.

Monitora l'utilizzo di Cloud EKM

Puoi utilizzare Cloud Monitoring per monitorare la connessione EKM. Le seguenti possono aiutarti a comprendere il tuo utilizzo di EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Per ulteriori informazioni su queste metriche, consulta metriche cloudkms. Puoi creare un dashboard per monitorare queste metriche. Per scoprire come configurare una dashboard per monitorare la connessione EKM, consulta Monitorare l'utilizzo di EKM.

Richiedere assistenza

Se riscontri un problema con Cloud EKM, contatta l'assistenza.

Passaggi successivi

Configura Cloud EKM tramite internet.
Crea una connessione EKM per utilizzare EKM tramite VPC.
Inizia a utilizzare l'API.
Leggi il Riferimento API Cloud KMS.
Scopri di più su Logging in Cloud KMS. Il logging è basato sulle operazioni e si applica alle chiavi con protezione hardware e software diversi.
Consulta le architetture di riferimento per un deployment affidabile dei servizi Cloud EKM per suggerimenti sulla configurazione di un servizio di gestore di chiavi esterno (EKM) integrato con Cloud EKM.