Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud External Key Manager

Dieses Thema bietet einen Überblick über den Cloud External Key Manager (Cloud EKM).

Terminologie

Externer Schlüsselmanager (EKM)

Schlüsselverwaltungssystem, das außerhalb von Google Cloud zum Verwalten Ihrer Schlüssel verwendet wird.
Cloud External Key Manager (Cloud EKM)

Einen Google Cloud-Dienst zur Verwendung Ihrer externen Schlüssel, die in einem unterstützten EKM verwaltet werden.
Cloud EKM über das Internet

Eine Version von Cloud EKM, mit der Google Cloud kommuniziert externes Schlüsselverwaltungssystem über das Internet.
Cloud EKM über eine VPC

Eine Version von Cloud EKM, mit der Google Cloud kommuniziert externe Schlüsselverwaltung über eine Virtual Private Cloud (VPC). Weitere Informationen Weitere Informationen
EKM-Schlüsselverwaltung über Cloud KMS

Bei Verwendung von Cloud EKM über eine VPC mit einem Partner für die externe Schlüsselverwaltung, der Cloud EKM unterstützt Steuerungsebene haben, können Sie den Cloud KMS EKM Verwaltungsmodus verwenden, um die Verwaltung externer Schlüssel in Ihrem externen Schlüsselverwaltungspartner und in Cloud EKM. Weitere Informationen finden Sie unter Koordinierte externe Schlüssel und EKM-Schlüsselverwaltung von Cloud KMS auf dieser Seite.
Kryptoraum

Ein Container für Ihre Ressourcen innerhalb Ihres Partners für die externe Schlüsselverwaltung. Ihr Kryptobereich durch einen eindeutigen Kryptobereich-Pfad identifiziert. Das Format des Kryptobereichs Der Pfad variiert je nach Partner für die externe Schlüsselverwaltung, z. B. v0/cryptospaces/YOUR_UNIQUE_PATH
Vom Partner verwalteter EKM

Eine Vereinbarung, bei der Ihr EKM von einem vertrauenswürdigen Partner für Sie verwaltet wird. Weitere Informationen finden Sie unter Vom Partner verwalteter EKM in dieser Seite.
Key Access Justifications

Wenn Sie Cloud EKM mit Key Access Justifications verwenden, wird jede Anfrage an Ihre „Partner für die externe Schlüsselverwaltung“ enthält ein Feld, in dem der Grund für jede Anfrage angegeben ist. Sie können Ihren Partner für die externe Schlüsselverwaltung so konfigurieren, dass Anfragen basierend auf den Key Access Justifications bereitgestellt. Weitere Informationen zu Key Access Justifications siehe Key Access Justifications .

Übersicht

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie in einem unterstützten Partner für die externe Schlüsselverwaltung zum Schutz von Daten in Google Cloud Sie können ruhende Daten in der unterstützten CMEK-Integration schützen. oder die Cloud Key Management Service API direkt aufrufen.

Cloud EKM bietet mehrere Vorteile:

Schlüsselherkunft:Sie bestimmen den Standort und die Verteilung extern verwalteten Schlüsseln. Extern verwaltete Schlüssel werden nie im Cache gespeichert oder gespeichert in Google Cloud. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.
Zugriffssteuerung:Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel in externe Schlüsselverwaltung. Sie können keinen extern verwalteten Schlüssel verwenden in Google Cloud, ohne zuerst das Google Cloud-Projekt zu gewähren Zugriff auf den Schlüssel in Ihrem External Key Manager. Sie können diesen Zugriff widerrufen. jederzeit ändern.
Zentrale Schlüsselverwaltung:Sie können Ihre Schlüssel und Zugriffsrichtlinien verwalten. über eine einzige Benutzeroberfläche verfügen, unabhängig davon, ob sich die geschützten Daten in der Cloud oder bei Ihnen vor Ort.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Sie können mit Ihrem External Key Manager kommunizieren über das Internet oder über eine Virtual Private Cloud (VPC).

Funktionsweise von Cloud EKM

Die Cloud EKM-Schlüsselversionen bestehen aus folgenden Teilen:

Externes Schlüsselmaterial: Das externe Schlüsselmaterial eines Cloud EKM Schlüssel ist kryptografisches Material, das in Ihrem EKM erstellt und gespeichert wird. Dieses Material verlässt Ihren EKM nicht und wird auch nicht an Google weitergegeben.
Schlüsselreferenz: Jede Cloud EKM-Schlüsselversion enthält entweder einen Schlüssel URI oder Schlüsselpfad. Dies ist eine eindeutige Kennung für das externe Schlüsselmaterial den Cloud EKM bei der Anforderung kryptografischer Vorgänge mit den Schlüssel.
Internes Schlüsselmaterial: Wenn ein symmetrischer Cloud EKM-Schlüssel erstellt, erstellt Cloud KMS zusätzliches Schlüsselmaterial in Cloud KMS, das Cloud KMS nicht verlässt. Dieses Schlüsselmaterial wird bei der Kommunikation mit Ihrem EKM als zusätzliche Verschlüsselungsebene verwendet. Dieses interne Schlüsselmaterial gilt nicht für asymmetrische Signaturschlüssel.

Zur Verwendung Ihrer Cloud EKM-Schlüssel sendet Cloud EKM Anfragen für kryptografischer Vorgänge zu Ihrem EKM hinzufügen. Zum Verschlüsseln von Daten mit einer symmetrischen Verschlüsselungsschlüssel verwenden, verschlüsselt Cloud EKM die Daten zuerst internes Schlüsselmaterial. Die verschlüsselten Daten sind in einer Anfrage an den EKM enthalten. Der EKM umschließt die verschlüsselten Daten in einer weiteren Verschlüsselungsschicht mithilfe des externes Schlüsselmaterial und gibt dann den resultierenden Geheimtext zurück. Datenverschlüsselung mit einem Cloud EKM-Schlüssel können nicht ohne den externen Schlüssel entschlüsselt werden. und das interne Schlüsselmaterial.

Wenn Key Access Justifications für Ihre Organisation aktiviert ist, ist Ihr Partner für die externe Schlüsselverwaltung zeichnet die angegebene Zugriffsbegründung auf und schließt nur die Anfrage ab für Codes für Begründungen, die von Ihrem Key Access Justifications für den Partner für die externe Schlüsselverwaltung.

Zum Erstellen und Verwalten von Cloud EKM-Schlüsseln sind entsprechende Änderungen erforderlich sowohl in Cloud KMS als auch im EKM. Die entsprechenden Änderungen werden verarbeitet, für manuell verwaltete externe Schlüssel und für koordinierte externe Schlüssel. Alle externen Schlüssel, auf die über das Internet zugegriffen wird, werden manuell verwaltet werden. Externe Schlüssel, auf die über ein VPC-Netzwerk zugegriffen wird, können manuell verwaltet oder koordiniert, abhängig vom EKM-Verwaltungsmodus des EKM-über-VPC-Verbindung. Der EKM-Verwaltungsmodus manuell wird für manuell verwaltete Schlüssel verwendet. Die Der Cloud KMS EKM-Verwaltungsmodus wird für koordinierte externe Schlüssel verwendet. Für Weitere Informationen zu den EKM-Verwaltungsmodi finden Sie unter Manuell verwaltet extern Schlüssel und koordinierte externe Schlüssel auf dieser Seite.

Das folgende Diagramm zeigt, wie Cloud KMS in die Schlüsselverwaltung integriert wird modellieren. In diesem Diagramm werden Compute Engine und BigQuery als Beispiele verwendet. Vollständige Liste der Dienste, die Cloud EKM unterstützen Schlüssel.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Manuell verwaltete externe Schlüssel

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem manuell verwalteten externen Schlüssel.

Sie erstellen oder verwenden einen vorhandenen Schlüssel bei einem unterstützten Partner für die externe Schlüsselverwaltung. . Dieser Schlüssel hat einen eindeutigen URI oder Schlüsselpfad.
Sie gewähren Ihrem Google Cloud-Projekt Zugriff zur Verwendung des Schlüssels. im externen Schlüsselverwaltungs-Partnersystem.
In Ihrem Google Cloud-Projekt erstellen Sie einen Cloud EKM-Schlüssel Version unter Verwendung des URI oder Schlüsselpfads für den extern verwalteten Schlüssel.
Wartungsvorgänge wie die Schlüsselrotation müssen manuell verwaltet werden zwischen Ihren EKM und Cloud EKM. Zum Beispiel die Schlüsselversionsrotation oder Das Löschen von Schlüsselversionen muss sowohl direkt in in Ihrem EKM und in Cloud KMS.

In Google Cloud wird der Schlüssel neben den anderen Cloud KMS- und Cloud HSM-Schlüssel mit Schutzniveau EXTERNAL oder EXTERNAL_VPC. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Den externen Schlüssel das Material nicht Google ausgesetzt wird.

Koordinierte externe Schlüssel

Dieser Abschnitt bietet einen Überblick darüber, wie Cloud EKM mit einem koordinierten externen Schlüssel.

Sie richten einen EKM über VPC ein. Verbindung Der EKM-Verwaltungsmodus wird auf Cloud KMS festgelegt. Während der Einrichtung muss Ihren EKM für den Zugriff auf Ihr VPC-Netzwerk autorisieren. Das Dienstkonto des Google Cloud-Projekts für den Zugriff auf Ihren Kryptobereich in Ihres externen Schlüsselverwaltungssystems. Ihre EKM-Verbindung verwendet den Hostnamen Ihres EKM und eine Kryptografie Pfad, der Ihre Ressourcen in Ihrem EKM identifiziert.
Sie erstellen einen externen Schlüssel in Cloud KMS Wenn Sie einen Cloud EKM-Schlüssel mit einem EKM erstellen über eine VPC-Verbindung mit aktiviertem Cloud KMS EKM-Verwaltungsmodus, der Die folgenden Schritte werden automatisch ausgeführt:
1. Cloud EKM sendet eine Anfrage zur Schlüsselerstellung an Ihren EKM.
2. Ihr EKM erstellt das angeforderte Schlüsselmaterial. Dieses externe Schlüsselmaterial bleibt im EKM erhalten und wird niemals an Google gesendet.
3. Ihr EKM gibt einen Schlüsselpfad zu Cloud EKM zurück.
4. Cloud EKM erstellt Ihre Cloud EKM-Schlüsselversion mithilfe der Schlüsselpfad, der von Ihrem EKM bereitgestellt wird.
Wartungsvorgänge für koordinierte externe Schlüssel können über Cloud KMS Zum Beispiel koordinierte externe Schlüssel, die für lässt sich die symmetrische Verschlüsselung nach einem festgelegten Zeitplan automatisch rotieren. Die wird die Erstellung neuer Schlüsselversionen in Ihrem EKM von Cloud EKM Sie können auch das Erstellen oder Löschen Schlüsselversionen in Ihrem EKM aus Cloud KMS mithilfe der Google Cloud Console, die gcloud CLI, Cloud KMS API- oder Cloud KMS-Clientbibliotheken.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Partnerschlüssel für die externe Schlüsselverwaltung funktionieren um Ihre Daten zu schützen. Das Material des externen Schlüssels wird niemals Google.

EKM-Schlüsselverwaltung über Cloud KMS

Koordinierte externe Schlüssel werden durch EKM-über-VPC-Verbindungen ermöglicht, die EKM-Schlüsselverwaltung über Cloud KMS Wenn Ihr EKM Cloud EKM unterstützt Steuerungsebene haben, können Sie die EKM-Schlüsselverwaltung über Cloud KMS für Ihr EKM-über-VPC-Verbindungen zum Erstellen koordinierter externer Schlüssel. Mit EKM-Schlüsselverwaltung über Cloud KMS aktiviert ist, kann Cloud EKM die folgenden Änderungen anfordern in Ihrem EKM:

Schlüssel erstellen: Wenn Sie einen extern verwalteten Schlüssel in Cloud KMS über eine kompatible EKM-über-VPC-Verbindung, Cloud EKM sendet Ihre Anfrage zur Schlüsselerstellung an Ihren EKM. Wann? erfolgreich war, erstellt Ihr EKM den neuen Schlüssel und das Schlüsselmaterial Schlüsselpfad, den Cloud EKM für den Zugriff auf den Schlüssel verwendet.
Schlüssel rotieren: Wenn Sie einen extern verwalteten Schlüssel rotieren Cloud KMS über eine kompatible EKM-über-VPC-Verbindung, Cloud EKM sendet die Rotationsanfrage an Ihren EKM. Wenn der Vorgang erfolgreich war, erstellt Ihr EKM neues Schlüsselmaterial und gibt den Schlüsselpfad für Cloud EKM für den Zugriff auf die neue Schlüsselversion.
Schlüssel löschen: Wenn Sie eine Schlüsselversion für einen extern verwalteten Schlüssel löschen in Cloud KMS über eine kompatible EKM-über-VPC-Verbindung, Cloud KMS plant das Löschen der Schlüsselversion in Cloud KMS Wird die Schlüsselversion nicht vor der geplanten Version zum Löschen vor, zerstört Cloud EKM seinen Teil des kryptografischen Materials aus und sendet eine Löschanfrage an Ihren EKM.

Daten, die mit dieser Schlüsselversion verschlüsselt sind, können nach dem Schlüssel nicht entschlüsselt werden Version in Cloud KMS gelöscht wird, auch wenn der EKM dies noch nicht getan hat die Schlüsselversion gelöscht hat. Sie sehen, ob der EKM hat die Schlüsselversion gelöscht, indem die Details des Schlüssels in Cloud KMS

Wenn Schlüssel in Ihrem EKM über Cloud KMS verwaltet werden, wird das Schlüsselmaterial weiterhin in Ihrem externen Schlüsselverwaltungssystem (EKM) gespeichert ist. Google kann keine Anfragen zur Schlüsselverwaltung an Ihr EKM ohne ausdrückliche Genehmigung verwendet. Google kann weder Berechtigungen ändern noch Key Access Justifications in Ihrem Partnersystem für die externe Schlüsselverwaltung. Wenn Sie den Zugriff widerrufen Berechtigungen von Google in Ihrem externen Schlüsselverwaltungssystem, versuchte Schlüsselverwaltungsvorgänge in Fehler bei Cloud KMS.

Kompatibilität

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

Zur Zeit unterstützt:
- Fortanix
- Futurex
- Thales
- Virtru

Dienste, die CMEK mit Cloud EKM unterstützen

Die folgenden Dienste unterstützen die Einbindung von Cloud KMS für externe Schlüssel (Cloud EKM):

AlloyDB for PostgreSQL
Artifact Registry
Sicherung für GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
Cloud Healthcare API
Cloud Logging: Daten im Logrouter und Daten im Logging-Speicher
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Nichtflüchtige Speicher , Schnappschüsse , Benutzerdefinierte Images , und Maschinen-Images
Contact Center AI Insights
Database Migration Service: MySQL-Migrationen – Daten werden in Datenbanken geschrieben , PostgreSQL-Migrationen – Daten, die in Datenbanken geschrieben werden , Migrationen von PostgreSQL zu AlloyDB – Daten, die in Datenbanken geschrieben werden , und Oracle zu PostgreSQL-Daten im Ruhezustand
Dataflow
Dataproc: Dataproc-Clusterdaten auf VM-Laufwerken und Serverlose Dataproc-Daten auf VM-Laufwerken
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc
Filestore
Firestore (Vorschau)
Google Distributed Cloud
Google Kubernetes Engine: Daten auf VM-Laufwerken und Secrets auf Anwendungsebene
Looker (Google Cloud Core)
Memorystore for Redis
Migrate to Virtual Machines
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Lautsprecher-ID (Google Analytics eingeschränkt)
Speech-to-Text
Vertex AI
Vertex AI Workbench-Instanzen
Workflows

Hinweise

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über den Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie Schlüssel verlieren, die Sie außerhalb von Google Cloud verwalten, kann Google keine Ihre Daten wiederherstellen.
Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.
Lesen Sie das Service Level Agreement (SLA).
Die Kommunikation mit externen Diensten über das Internet kann zu Probleme mit der Zuverlässigkeit, Verfügbarkeit und Latenz. Für Apps mit niedriger Toleranz für diese Arten von Risiken ist, sollten Sie Cloud HSM oder Cloud KMS zum Speichern Ihres Schlüsselmaterials.
- Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.
  
  Aktivieren Sie das Audit-Logging von Daten, um alle Fehler im Zusammenhang mit Cloud EKM Fehlermeldungen enthalten detaillierte um die Ursache des Fehlers zu ermitteln. Ein Beispiel für eine Häufiger Fehler: Ein Partner für die externe Schlüsselverwaltung reagiert nicht auf eine Anfrage innerhalb eines angemessenen Zeitrahmens.
- Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. Der Google Cloud-Support kann Ihnen nur bei Problemen in Google Cloud-Dienste und kann bei Problemen mit externen Systemen. Manchmal müssen Sie beide Seiten unterstützen, um Interoperabilitätsprobleme zu beheben.
Cloud EKM kann mit Bare-Metal-Rack-HSM verwendet werden um eine einmandantenfähige HSM-Lösung zu erstellen, Cloud KMS Wählen Sie einen Cloud EKM-Partner aus, um weitere Informationen zu erhalten die HSMs für einzelne Mandanten unterstützt, und prüfen Sie Anforderungen für Bare-Metal-Rack-HSMs.
Aktivieren Sie Audit-Logging in Ihrem External Key Manager, um den Zugriff und Nutzung zu Ihren EKM-Schlüsseln.

Achtung :Wenn Sie Cloud EKM-Schlüssel über das Internet verwenden, dass der Schlüssel nicht mehr verfügbar ist. Je nachdem, welche Dienste Sie nutzen, kann dies zu schwerwiegenden Fehlern oder unzugänglichen Daten führen. Wenn beispielsweise Sie verwenden einen externen CMEK-Schlüssel, um die Anwendungsebene der Google Kubernetes Engine zu verschlüsseln. Secrets sind Ihre Knoten möglicherweise nicht mehr verfügbar, wenn sie die Daten nicht entschlüsseln können, und Geheimnissen. Wenn Sie nicht auf den externen Schlüssel zugreifen können, kann dies auch zu dauerhaften Daten führen. Verlust. Wenn beispielsweise der CMEK-Schlüssel zum Verschlüsseln einer Spanner-Datenbank verwendet wird, für mehr als 30 aufeinanderfolgende Tage nicht verfügbar ist, wird die Datenbank automatisch gelöscht. Wenn die aktuelle Schlüsselversion nicht verfügbar ist, können Sie die Daten nicht durch Rotieren zu einer neuen Schlüsselversion wiederherstellen. Für eine bessere Verfügbarkeit, sollten Sie Cloud EKM über VPC oder Cloud HSM-Schlüssel.

Einschränkungen

Eine automatische Rotation wird nicht unterstützt.
Wenn Sie einen Cloud EKM-Schlüssel mithilfe der API oder des Google Cloud CLI darf keine anfängliche Schlüsselversion haben. Dies gilt nicht. auf Cloud EKM-Schlüssel, die mit der Google Cloud Console erstellt wurden.
Für Cloud-EKM-Vorgänge gelten zusätzlich zu den Kontingenten für Cloud KMS-Vorgänge bestimmte Kontingente.

Symmetrische Verschlüsselungsschlüssel

Symmetrische Verschlüsselungsschlüssel werden nur unterstützt für: <ph type="x-smartling-placeholder">
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) in unterstützten Integrationsdiensten.
- Symmetrische Ver- und Entschlüsselung direkt mit Cloud KMS.
Daten, die von Cloud EKM mithilfe eines extern verwalteten Schlüssel kann ohne Cloud EKM nicht entschlüsselt werden.

Asymmetrische Signaturschlüssel

Asymmetrische Signaturschlüssel sind auf einen Teil von Cloud KMS beschränkt Algorithmen.
Asymmetrische Signaturschlüssel werden nur unterstützt für: <ph type="x-smartling-placeholder">
- Asymmetrisches Signieren mit Cloud KMS direkt:
- Benutzerdefinierter Signaturschlüssel mit Access Approval
Wenn ein asymmetrischer Signaturalgorithmus für einen Cloud EKM-Schlüssel festgelegt ist, kann nicht geändert werden.
Du musst im Feld data signieren.

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einen Google Cloud-Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Weitere Informationen zur Standortverfügbarkeit des Partners finden Sie in der Partnerdokumentation.

Cloud EKM über das Internet: in jeder Google Cloud verfügbar locations, die für Cloud KMS unterstützt werden, außer global und nam-eur-asia1.
Cloud EKM über eine VPC: nur verfügbar in regionale Standorte unterstützt für Cloud KMS

Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel mit einer Mehrfachregion verwenden, werden die Metadaten der Schlüssel ist in mehreren Rechenzentren innerhalb des multiregionalen Standorts verfügbar. Diese Metadaten enthält die Informationen, die für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlich sind. Wenn Ihr und Anwendungen innerhalb der Multiregion von einem Rechenzentrum zu einem anderen wechseln, initiiert das neue Rechenzentrum Schlüsselanfragen. Das neue Rechenzentrum kann andere Netzwerkeigenschaften vom vorherigen Rechenzentrum, einschließlich der Entfernung den Partner für die externe Schlüsselverwaltung und die Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, nur eine Multi-Region mit Cloud EKM, wenn Sie das externe Schlüsselverwaltungssystem ausgewählt haben bietet eine niedrige Latenz für alle Bereiche der Multiregion.

Von Partnern verwalteter EKM

Mit dem vom Partner verwalteten EKM können Sie Cloud EKM über eine vertrauenswürdige Datenhoheit nutzen Partner, der Ihr EKM-System für Sie verwaltet. Mit dem von Partnern verwalteten EKM erstellt und verwaltet die Schlüssel, die Sie die in Cloud EKM verwendet werden. Der Partner stellt sicher, dass Ihr EKM die Anforderungen an die Datenhoheit.

Wenn Sie Ihren Datenhoheitspartner einrichten, stellt der Partner Ressourcen bereit in Google Cloud und in Ihrem externen Schlüsselverwaltungssystem (EKM). Zu diesen Ressourcen gehört ein Cloud KMS Projekt zum Verwalten Ihrer Cloud EKM-Schlüssel und einer EKM-über-VPC-Verbindung die für die EKM-Schlüsselverwaltung über Cloud KMS konfiguriert sind. Ihr Partner erstellt Ressourcen in Google Cloud-Standorte entsprechend Ihren Anforderungen an den Datenstandort.

Jeder Cloud EKM-Schlüssel umfasst Cloud KMS-Metadaten, mit denen Cloud EKM Anfragen an Ihren EKM zur Durchführung kryptografischer Vorgänge mit dem externen Schlüsselmaterial, das verlässt Ihren EKM nie. Symmetric Cloud EKM-Schlüssel enthalten außerdem Internes Cloud KMS-Schlüsselmaterial, das Google Cloud nie verlässt. Weitere Informationen zu den internen und externen Seiten von Cloud EKM finden Sie auf dieser Seite unter Funktionsweise von Cloud EKM.

Weitere Informationen zum Partner-verwalteten EKM finden Sie unter Von Partnern verwalteten EKM konfigurieren. Cloud KMS

Cloud EKM-Nutzung überwachen

Mit Cloud Monitoring können Sie Ihre EKM-Verbindung überwachen. Die folgenden Messwerte können Ihnen helfen, Ihre EKM-Nutzung zu verstehen:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Weitere Informationen zu diesen Messwerten finden Sie unter cloudkms-Messwerte: Sie können ein um diese Messwerte zu verfolgen. Um zu erfahren, wie Sie ein Dashboard zum Überwachen einrichten Informationen zu Ihrer EKM-Verbindung finden Sie unter EKM-Nutzung überwachen.

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.

Nächste Schritte

Cloud EKM über das Internet einrichten
Erstellen Sie eine EKM-Verbindung, um EKM über VPC zu verwenden.
Mit der Verwendung der API beginnen.
Cloud KMS API-Referenz lesen
Weitere Informationen zu Logging in Cloud KMS. Das Logging basiert auf Vorgängen und gilt für Schlüssel mit HSM- und Softwareschutzlevel.
Siehe Referenzarchitekturen für die zuverlässige Bereitstellung von Cloud EKM-Diensten finden Sie Empfehlungen zur Konfiguration eines External Key Manager-Dienstes (EKM) in Cloud EKM eingebundene Bereitstellung.