Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud External Key Manager

Diese Seite bietet eine Übersicht über Cloud External Key Manager (Cloud EKM).

Terminologie

Externer Schlüsselmanager (EKM)

Der Schlüsselmanager, der außerhalb von Google Cloud zum Verwalten Ihrer Schlüssel verwendet wird.
Cloud External Key Manager (Cloud EKM)

Einen Google Cloud-Dienst zur Verwendung Ihrer externen Schlüssel, die in einem unterstützten EKM verwaltet werden.
Cloud EKM über das Internet

Eine Version von Cloud EKM, bei der Google Cloud über das Internet mit Ihrem externen Schlüsselverwaltungssystem kommuniziert.
Cloud EKM über eine VPC

Eine Version von Cloud EKM, bei der Google Cloud über eine Virtual Private Cloud (VPC) mit Ihrem externen Schlüsselmanager kommuniziert. Weitere Informationen finden Sie unter VPC-Netzwerk – Übersicht.
EKM-Schlüsselverwaltung von Cloud KMS

Bei Verwendung von Cloud EKM über eine VPC mit einem Partner für die externe Schlüsselverwaltung, der Cloud EKM unterstützt Steuerungsebene haben, können Sie den Cloud KMS EKM Verwaltungsmodus verwenden, um die Verwaltung externer Schlüssel in Ihrem externen Schlüsselverwaltungspartner und in Cloud EKM. Weitere Informationen finden Sie unter Koordinierte externe Schlüssel und EKM-Schlüsselverwaltung von Cloud KMS.
Crypto Space

Ein Container für Ihre Ressourcen innerhalb Ihres Partners für die externe Schlüsselverwaltung. Ihr Crypto Space wird durch einen eindeutigen Crypto Space-Pfad identifiziert. Das Format des Crypto Space-Pfads variiert je nach Partner für die externe Schlüsselverwaltung, z. B. v0/cryptospaces/YOUR_UNIQUE_PATH.
Vom Partner verwalteter EKM

Eine Vereinbarung, bei der Ihr EKM von einem vertrauenswürdigen Partner für Sie verwaltet wird. Weitere Informationen finden Sie auf dieser Seite unter Vom Partner verwaltete EKM.
Key Access Justifications

Wenn Sie Cloud EKM mit Key Access Justifications verwenden, enthält jede Anfrage an Ihren Partner für die externe Schlüsselverwaltung ein Feld, in dem der Grund für die Anfrage angegeben ist. Sie können Ihren Partner für die externe Schlüsselverwaltung so konfigurieren, dass Anfragen basierend auf den Key Access Justifications bereitgestellt. Weitere Informationen zu Begründungen für den Schlüsselzugriff finden Sie unter Begründungen für den Schlüsselzugriff.

Übersicht

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie in einem unterstützten Partner für die externe Schlüsselverwaltung zum Schutz von Daten in Google Cloud Sie können inaktive Daten in unterstützten CMEK-Integrationsdiensten schützen oder die Cloud Key Management Service API direkt aufrufen.

Cloud EKM bietet mehrere Vorteile:

Schlüsselherkunft: Sie bestimmen die Position und Verteilung Ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden nie im Cache gespeichert oder gespeichert in Google Cloud. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.
Zugriffssteuerung: Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel in Ihrem externen Schlüsselmanager. Sie können keinen extern verwalteten Schlüssel verwenden in Google Cloud, ohne zuerst das Google Cloud-Projekt zu gewähren Zugriff auf den Schlüssel in Ihrem External Key Manager. Sie können diesen Zugriff widerrufen. jederzeit ändern.
Zentrale Schlüsselverwaltung:Sie können Ihre Schlüssel und Zugriffsrichtlinien verwalten. über eine einzige Benutzeroberfläche verfügen, unabhängig davon, ob sich die geschützten Daten in der Cloud oder bei Ihnen vor Ort.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Sie können mit Ihrem externen Schlüsselmanager über das Internet oder über eine Virtual Private Cloud (VPC) kommunizieren.

Funktionsweise von Cloud EKM

Cloud EKM-Schlüsselversionen bestehen aus folgenden Teilen:

Externes Schlüsselmaterial: Das externe Schlüsselmaterial eines Cloud EKM-Schlüssels ist kryptografisches Material, das in Ihrem EKM erstellt und gespeichert wird. Dieses Material verlässt Ihren EKM nicht und wird auch nicht an Google weitergegeben.
Schlüsselreferenz: Jede Cloud EKM-Schlüsselversion enthält entweder eine Schlüssel-URI oder einen Schlüsselpfad. Dies ist eine eindeutige Kennung für das externe Schlüsselmaterial den Cloud EKM bei der Anforderung kryptografischer Vorgänge mit den Schlüssel.
Internes Schlüsselmaterial: Wenn ein symmetrischer Cloud EKM-Schlüssel erstellt wird, wird in Cloud KMS zusätzliches Schlüsselmaterial erstellt, das nie Cloud KMS verlässt. Dieses Schlüsselmaterial wird bei der Kommunikation mit Ihrem EKM als zusätzliche Verschlüsselungsebene verwendet. Dieses interne Schlüsselmaterial gilt nicht für asymmetrische Signaturschlüssel.

Wenn Sie Ihre Cloud EKM-Schlüssel verwenden möchten, sendet Cloud EKM Anfragen für kryptografische Vorgänge an Ihr EKM. Wenn Sie beispielsweise Daten mit einem symmetrischen Verschlüsselungsschlüssel verschlüsseln möchten, verschlüsselt Cloud EKM die Daten zuerst mit dem internen Schlüsselmaterial. Die verschlüsselten Daten sind in einer Anfrage an den EKM enthalten. Der EKM umschließt die verschlüsselten Daten in einer weiteren Verschlüsselungsschicht mithilfe des externes Schlüsselmaterial und gibt dann den resultierenden Geheimtext zurück. Daten, die mit einem Cloud EKM-Schlüssel verschlüsselt wurden, können nicht ohne das externe und das interne Schlüsselmaterial entschlüsselt werden.

Wenn Ihre Organisation Key Access Justifications aktiviert hat, zeichnet Ihr externer Partner für die Schlüsselverwaltung die angegebene Zugriffsberechtigung auf und führt die Anfrage nur für Berechtigungscodes aus, die gemäß Ihrer Richtlinie für Key Access Justifications für den externen Partner für die Schlüsselverwaltung zulässig sind.

Das Erstellen und Verwalten von Cloud EKM-Schlüsseln erfordert entsprechende Änderungen in Cloud KMS und den EKM. Die entsprechenden Änderungen werden verarbeitet, für manuell verwaltete externe Schlüssel und koordinierte externe Schlüssel unterschiedlich. Alle externe Schlüssel, auf die über das Internet zugegriffen wird, werden manuell verwaltet. Externe Schlüssel, auf die über ein VPC-Netzwerk zugegriffen wird, können je nach EKM-Verwaltungsmodus des EKM über die VPC-Verbindung manuell verwaltet oder koordiniert werden. Der manuelle EKM wird für manuell verwaltete Schlüssel verwendet. Die Der Cloud KMS EKM-Verwaltungsmodus wird für koordinierte externe Schlüssel verwendet. Weitere Informationen zu den EKM-Verwaltungsmodi siehe Manuell verwaltet extern Schlüssel und koordinierte externe Schlüssel auf dieser Seite.

Das folgende Diagramm zeigt, wie Cloud KMS in das Schlüsselverwaltungsmodell passt. In diesem Diagramm werden Compute Engine und BigQuery als zwei Beispiele verwendet. Eine vollständige Liste der Dienste, die Cloud EKM-Schlüssel unterstützen, finden Sie ebenfalls.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Manuell verwaltete externe Schlüssel

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem manuell verwalteten externen Schlüssels.

Sie erstellen oder verwenden einen vorhandenen Schlüssel in einem unterstützten Partnersystem für die externe Schlüsselverwaltung. Dieser Schlüssel hat einen eindeutigen URI oder Schlüsselpfad.
Sie erteilen Ihrem Google Cloud-Projekt Zugriff auf den Schlüssel im Partnersystem für die externe Schlüsselverwaltung.
Erstellen Sie in Ihrem Google Cloud-Projekt eine Cloud EKM-Schlüsselversion unter Verwendung des URI oder Schlüsselpfads für den extern verwalteten Schlüssel.
Wartungsvorgänge wie die Schlüsselrotation müssen manuell verwaltet werden zwischen Ihren EKM und Cloud EKM. So müssen beispielsweise die Rotation oder das Löschen von Schlüsselversionen sowohl direkt in Ihrem EKM als auch in Cloud KMS ausgeführt werden.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL oder EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Das externe Schlüsselmaterial wird Google niemals zugänglich gemacht.

Koordinierte externe Schlüssel

Dieser Abschnitt bietet einen Überblick darüber, wie Cloud EKM mit einem koordinierten externen Schlüssel funktioniert.

Sie richten einen EKM über eine VPC-Verbindung ein und legen den EKM-Verwaltungsmodus auf Cloud KMS fest. Während der Einrichtung müssen Sie Ihr EKM für den Zugriff auf Ihr VPC-Netzwerk und Ihr Google Cloud-Projektdienstkonto für den Zugriff auf Ihren Krypto-Speicher in Ihrem EKM autorisieren. Ihre EKM-Verbindung verwendet den Hostnamen Ihres EKM und eine Kryptografie Pfad, der Ihre Ressourcen in Ihrem EKM identifiziert.
Sie erstellen einen externen Schlüssel in Cloud KMS Wenn Sie einen Cloud EKM-Schlüssel mit einem EKM erstellen über eine VPC-Verbindung mit aktiviertem Cloud KMS EKM-Verwaltungsmodus, der Die folgenden Schritte werden automatisch ausgeführt:
1. Cloud EKM sendet eine Anfrage zur Schlüsselerstellung an Ihren EKM.
2. Ihr EKM erstellt das angeforderte Schlüsselmaterial. Dieses externe Schlüsselmaterial bleibt im EKM und wird niemals an Google gesendet.
3. Ihr EKM gibt einen Schlüsselpfad an Cloud EKM zurück.
4. Cloud EKM erstellt Ihre Cloud EKM-Schlüsselversion anhand des von Ihrem EKM bereitgestellten Schlüsselpfads.
Wartungsvorgänge für koordinierte externe Schlüssel können über Cloud KMS Zum Beispiel koordinierte externe Schlüssel, die für lässt sich die symmetrische Verschlüsselung nach einem festgelegten Zeitplan automatisch rotieren. Die wird die Erstellung neuer Schlüsselversionen in Ihrem EKM von Cloud EKM Sie können das Erstellen oder Löschen von Schlüsselversionen in Ihrem EKM auch über Cloud KMS mit der Google Cloud Console, der gcloud CLI, der Cloud KMS API oder Cloud KMS-Clientbibliotheken auslösen.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Das Material des externen Schlüssels wird niemals Google.

EKM-Schlüsselverwaltung von Cloud KMS

Koordinierte externe Schlüssel werden durch EKM-über-VPC-Verbindungen ermöglicht, die die EKM-Schlüsselverwaltung von Cloud KMS verwenden. Wenn Ihr EKM die Cloud EKM-Steuerungsebene unterstützt, können Sie die EKM-Schlüsselverwaltung von Cloud KMS für Ihren EKM über VPC-Verbindungen aktivieren, um koordinierte externe Schlüssel zu erstellen. Wenn die EKM-Schlüsselverwaltung von Cloud KMS aktiviert ist, kann Cloud EKM die folgenden Änderungen an Ihrem EKM anfordern:

Schlüssel erstellen: Wenn Sie einen extern verwalteten Schlüssel in Cloud KMS mit einem kompatiblen EKM über eine VPC-Verbindung erstellen, sendet Cloud EKM Ihre Anfrage zum Erstellen des Schlüssels an Ihr EKM. Bei Erfolg erstellt Ihr EKM den neuen Schlüssel und das Schlüsselmaterial und gibt den Schlüsselpfad zurück, den Cloud EKM für den Zugriff auf den Schlüssel verwenden soll.
Schlüssel rotieren: Wenn Sie einen extern verwalteten Schlüssel rotieren Cloud KMS über eine kompatible EKM-über-VPC-Verbindung, Cloud EKM sendet die Rotationsanfrage an Ihren EKM. Wenn der Vorgang erfolgreich war, erstellt Ihr EKM neues Schlüsselmaterial und gibt den Schlüsselpfad für Cloud EKM für den Zugriff auf die neue Schlüsselversion.
Schlüssel löschen: Wenn Sie eine Schlüsselversion für einen extern verwalteten Schlüssel in Cloud KMS mit einem kompatiblen EKM über eine VPC-Verbindung löschen, wird die Schlüsselversion in Cloud KMS zum Löschen geplant. Wenn die Schlüsselversion nicht vor Ablauf des Zeitraums Zum Löschen vorgemerkt wiederhergestellt wird, zerstört Cloud EKM seinen Teil des kryptografischen Materials des Schlüssels und sendet eine Löschanfrage an Ihren EKM.

Daten, die mit dieser Schlüsselversion verschlüsselt wurden, können nicht mehr entschlüsselt werden, nachdem die Schlüsselversion in Cloud KMS gelöscht wurde, auch wenn die Schlüsselversion vom EKM noch nicht gelöscht wurde. Sie können sehen, ob der EKM hat die Schlüsselversion gelöscht, indem die Details des Schlüssels in Cloud KMS

Wenn Schlüssel in Ihrem EKM über Cloud KMS verwaltet werden, wird das Schlüsselmaterial weiterhin in Ihrem externen Schlüsselverwaltungssystem (EKM) gespeichert ist. Google kann ohne ausdrückliche Genehmigung keine Schlüsselverwaltungsanfragen an Ihren EKM senden. Google kann keine Berechtigungen oder Richtlinien für Key Access Justifications in Ihrem Partnersystem für die externe Schlüsselverwaltung ändern. Wenn Sie die Berechtigungen von Google in Ihrem EKM widerrufen, schlagen Schlüsselverwaltungsvorgänge in Cloud KMS fehl.

Kompatibilität

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

Zur Zeit unterstützt:
- Fortanix
- Futurex
- Thales
- Virtru

Dienste, die CMEK mit Cloud EKM unterstützen

Die folgenden Dienste unterstützen die Einbindung in Cloud KMS für externe Schlüssel (Cloud EKM):

Agent Assist
AlloyDB for PostgreSQL
Apigee API-Hub
Artifact Registry
Sicherung für GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Healthcare API
Cloud Logging: Daten im Log-Router und Daten im Logging-Speicher
Cloud Run
Cloud Run-Funktionen
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Nichtflüchtige Speicher , Schnappschüsse , Benutzerdefinierte Images , und Maschinen-Images
Contact Center AI Insights
Database Migration Service: MySQL-Migrationen – Daten, die in Datenbanken geschrieben werden , PostgreSQL-Migrationen – Daten, die in Datenbanken geschrieben werden , PostgreSQL-zu-AlloyDB-Migrationen – Daten, die in Datenbanken geschrieben werden , und Ruhedaten von Oracle zu PostgreSQL
Dataflow
Dataform
Dataproc: Dataproc-Clusterdaten auf VM-Laufwerken und Dataproc-Serverless-Daten auf VM-Laufwerken
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc
Filestore
Firestore
Google Distributed Cloud
Google Kubernetes Engine: Daten auf VM-Laufwerken und Secrets auf Anwendungsebene
Looker (Google Cloud Core)
Memorystore for Redis
Migrate to Virtual Machines
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (eingeschränkt verfügbar)
Speech-to-Text
Vertex AI
Vertex AI Workbench-Instanzen
Workflows

Hinweise

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie Schlüssel verlieren, die Sie außerhalb von Google Cloud verwalten, kann Google Ihre Daten nicht wiederherstellen.
Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.
Lesen Sie das Service Level Agreement (SLA).
Wenn Sie mit einem externen Dienst über das Internet kommunizieren, kann das zu Problemen hinsichtlich Zuverlässigkeit, Verfügbarkeit und Latenz führen. Für Apps mit niedriger Toleranz für diese Arten von Risiken ist, sollten Sie Cloud HSM oder Cloud KMS zum Speichern Ihres Schlüsselmaterials.
- Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.
  
  Aktivieren Sie das Audit-Logging von Daten, um alle Fehler im Zusammenhang mit Cloud EKM Fehlermeldungen enthalten detaillierte Informationen, anhand derer Sie die Ursache des Fehlers ermitteln können. Ein Beispiel für eine Häufiger Fehler: Ein Partner für die externe Schlüsselverwaltung reagiert nicht auf eine Anfrage innerhalb eines angemessenen Zeitrahmens.
- Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. Der Google Cloud-Support kann nur bei Problemen mit Google Cloud-Diensten helfen und bei Problemen mit externen Systemen nicht direkt behilflich sein. Möglicherweise müssen Sie mit dem Support beider Seiten zusammenarbeiten, um Interoperabilitätsprobleme zu beheben.
Cloud EKM kann mit Bare-Metal-Rack-HSM zum Erstellen eines einzelnen Mandanten In Cloud KMS integrierte HSM-Lösung. Weitere Informationen erhalten Sie von einem Cloud EKM-Partner, der Einzelmandanten-HSMs unterstützt. Lesen Sie auch die Anforderungen für Bare-Metal-Rack-HSMs.
Aktivieren Sie Audit-Logging in Ihrem External Key Manager, um den Zugriff und Nutzung zu Ihren EKM-Schlüsseln.

Achtung: Wenn Sie Cloud EKM-Schlüssel über das Internet verwenden, besteht das Risiko, dass der Schlüssel nicht mehr verfügbar ist. Je nachdem, welche Dienste Sie verwenden, kann dies zu fatalen Fehlern oder nicht zugänglichen Daten führen. Wenn Sie beispielsweise einen externen CMEK-Schlüssel zum Verschlüsseln von Geheimnissen der Anwendungsebene der Google Kubernetes Engine verwenden, sind Ihre Knoten möglicherweise nicht verfügbar, wenn sie die Geheimnisse nicht entschlüsseln können. Wenn kein Zugriff auf den externen Schlüssel möglich ist, kann dies auch zu dauerhaften Datenverlusten führen. Wenn der CMEK-Schlüssel, der zum Verschlüsseln einer Spanner-Datenbank verwendet wird, beispielsweise länger als 30 Tage nicht verfügbar ist, löscht Spanner die Datenbank automatisch. Wenn die aktuelle Schlüsselversion nicht verfügbar ist, können Sie die Daten nicht durch das Wechseln zu einer neuen Schlüsselversion wiederherstellen. Für eine bessere Verfügbarkeit, sollten Sie Cloud EKM über VPC oder Cloud HSM-Schlüssel.

Beschränkungen

Eine automatische Rotation wird nicht unterstützt.
Wenn Sie einen Cloud EKM-Schlüssel mithilfe der API oder des Google Cloud CLI darf keine anfängliche Schlüsselversion haben. Das bedeutet nicht, gelten für Cloud EKM-Schlüssel, die mit der Google Cloud Console erstellt wurden.
Cloud EKM-Vorgänge unterliegen spezifischen Kontingente zusätzlich zu den Kontingenten für Cloud KMS-Vorgänge.

Symmetrische Verschlüsselungsschlüssel

Symmetrische Verschlüsselungsschlüssel werden nur für die folgenden Elemente unterstützt:
- Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in unterstützter Integration Dienste.
- Symmetrische Ver- und Entschlüsselung direkt mit Cloud KMS.
Daten, die von Cloud EKM mithilfe eines extern verwalteten Schlüssels verschlüsselt wurden, können ohne Cloud EKM nicht entschlüsselt werden.

Asymmetrische Signaturschlüssel

Asymmetrische Signaturschlüssel sind auf einen Teil von Cloud KMS beschränkt Algorithmen.
Asymmetrische Signaturschlüssel werden nur für die folgenden Anwendungsfälle unterstützt:
- Asymmetrisches Signieren mit Cloud KMS direkt.
- Benutzerdefinierter Signaturschlüssel mit Zugriffsgenehmigung
Nachdem ein asymmetrischer Signaturalgorithmus für einen Cloud EKM-Schlüssel festgelegt wurde, kann er nicht mehr geändert werden.
Sie müssen im Feld data signieren.

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einen Google Cloud-Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Weitere Informationen zur Standortverfügbarkeit des Partners finden Sie in der Partnerdokumentation.

Cloud EKM über das Internet: Verfügbar in allen Google Cloud-Standorten, die für Cloud KMS unterstützt werden, mit Ausnahme von global und nam-eur-asia1.
Cloud EKM über eine VPC: nur verfügbar in regionale Standorte unterstützt für Cloud KMS

Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel in mehreren Regionen verwenden, stehen die Metadaten des Schlüssels in mehreren Rechenzentren innerhalb dieser Regionen zur Verfügung. Diese Metadaten enthalten die Informationen, die für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlich sind. Wenn Ihr dass die Anwendung innerhalb der Multiregion von einem Rechenzentrum zu einem anderen wechselt. initiiert das neue Rechenzentrum Schlüsselanfragen. Das neue Rechenzentrum verfügt möglicherweise über andere Netzwerkmerkmale als das vorherige, einschließlich der Entfernung zum Partner für die externe Schlüsselverwaltung und der Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, nur dann eine Mehrfachregion mit Cloud EKM zu verwenden, wenn der ausgewählte externe Schlüsselmanager für alle Bereiche dieser Mehrfachregion eine geringe Latenz bietet.

Von Partnern verwalteter EKM

Mit dem vom Partner verwalteten EKM können Sie Cloud EKM über eine vertrauenswürdige Datenhoheit nutzen Partner, der Ihr EKM-System für Sie verwaltet. Mit dem von Partnern verwalteten EKM erstellt und verwaltet die Schlüssel, die Sie die in Cloud EKM verwendet werden. Der Partner sorgt dafür, dass Ihr EKM die Souveränitätsanforderungen erfüllt.

Wenn Sie Ihren souveränen Partner einbinden, stellt er Ressourcen in Google Cloud und Ihrem EKM bereit. Dazu gehören ein Cloud KMS-Projekt zur Verwaltung Ihrer Cloud EKM-Schlüssel und eine EKM-VPC-Verbindung, die für die EKM-Schlüsselverwaltung von Cloud KMS konfiguriert ist. Ihr Partner erstellt Ressourcen an Google Cloud-Standorten gemäß Ihren Anforderungen an den Datenstandort.

Jeder Cloud EKM-Schlüssel umfasst Cloud KMS-Metadaten, mit denen Cloud EKM Anfragen an Ihren EKM zur Durchführung kryptografischer Vorgänge mit dem externen Schlüsselmaterial, das verlässt Ihren EKM nie. Symmetrische Cloud EKM-Schlüssel umfassen auch internes Cloud KMS-Schlüsselmaterial, das Google Cloud nie verlässt. Weitere Informationen zur internen und externen Seite von Cloud EKM-Schlüsseln finden Sie auf dieser Seite unter Funktionsweise von Cloud EKM.

Weitere Informationen zum Partner-verwalteten EKM finden Sie unter Von Partnern verwalteten EKM konfigurieren. Cloud KMS

Cloud EKM-Nutzung überwachen

Sie können Ihre EKM-Verbindung mit Cloud Monitoring überwachen. Die folgenden Messwerte können Ihnen helfen, Ihre EKM-Nutzung zu verstehen:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Weitere Informationen zu diesen Messwerten finden Sie unter CloudKMS-Messwerte. Sie können ein um diese Messwerte zu verfolgen. Informationen zum Einrichten eines Dashboards zum Überwachen Ihrer EKM-Verbindung finden Sie unter EKM-Nutzung überwachen.

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.

Nächste Schritte

Cloud EKM über das Internet einrichten
Erstellen Sie eine EKM-Verbindung, um EKM über VPC
Mit der Verwendung der API beginnen.
Lesen Sie die Cloud KMS API-Referenz.
Weitere Informationen zu Logging in Cloud KMS. Logging basiert und gilt für Schlüssel mit HSM und Softwareschutz Niveau.
Siehe Referenzarchitekturen für die zuverlässige Bereitstellung von Cloud EKM Dienste finden Sie Empfehlungen zur Konfiguration eines externen Schlüssels. Manager-Dienstbereitstellung (EKM), die in Cloud EKM eingebunden ist.