Cloud External Key Manager

Dieses Thema bietet einen Überblick über den Cloud External Key Manager (Cloud EKM). Wie Sie externe Schlüssel erstellen und verwalten, finden Sie unter Cloud EKM-Schlüssel verwalten.

Übersicht

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten, um Daten in Google Cloud zu schützen. Sie können inaktive Daten in BigQuery oder dem nichtflüchtigen Compute Engine-Speicher schützen oder die Cloud Key Management Service API direkt aufrufen.

Cloud EKM bietet mehrere Vorteile:

  • Schlüsselherkunft: Sie bestimmen die Position und Verteilung Ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden nie im Cache von Google Cloud oder direkt dort gespeichert. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.

  • Zugriffssteuerung: Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel. Bevor Sie einen extern verwalteten Schlüssel zum Verschlüsseln oder Entschlüsseln von Daten in Google Cloud verwenden können, müssen Sie dem Google Cloud-Projekt Zugriff zur Verwendung des Schlüssels gewähren. Sie können die erteilten Zugriffsrechte jederzeit entziehen.

  • Zentrale Schlüsselverwaltung: Sie können Ihre Schlüssel und Zugriffsrichtlinien zentral und über eine Benutzeroberfläche verwalten, unabhängig davon, ob die geschützten Daten in der Cloud oder bei Ihnen lokal gespeichert sind.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

So gehts:

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem externen Schlüssel funktioniert. Sie können auch die Schritt-für-Schritt-Anleitung befolgen, um einen Cloud EKM-Schlüssel zu erstellen.

  1. Erstellen oder verwenden Sie zuerst einen vorhandenen Schlüssel bei einem unterstützten Partnersystem für die externe Schlüsselverwaltung. Dieser Schlüssel hat einen eindeutigen URI.
  2. Als Nächstes erteilen Sie Ihrem Google Cloud-Projekt Zugriff auf den Schlüssel im Partnersystem für die externe Schlüsselverwaltung.
  3. Erstellen Sie in Ihrem Google Cloud-Projekt einen Cloud-EKM-Schlüssel unter Verwendung der URI für den extern verwalteten Schlüssel.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Der externe Schlüssel wird Google niemals zugänglich gemacht.

Das folgende Diagramm zeigt, wie Cloud KMS in das Schlüsselverwaltungsmodell passt.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Weitere Informationen

Hinweise

  • Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie die Schlüssel verlieren, die Sie außerhalb der Google Cloud verwalten, kann Google Ihre Daten nicht wiederherstellen.

  • Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.

  • Wenn Sie mit einem externen Dienst über das Internet kommunizieren, kann das zu Problemen hinsichtlich Zuverlässigkeit, Verfügbarkeit und Latenz führen. Bei Anwendungen, die eine geringe Toleranz für diese Risiken haben, sollten Sie Cloud HSM oder Cloud KMS zum Speichern Ihres Schlüsselmaterials in Betracht ziehen.

    • Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.

      Audit-Logging von Daten aktivieren, um alle Fehler im Zusammenhang mit Cloud EKM zu erfassen. Fehlermeldungen enthalten detaillierte Informationen, anhand derer Sie die Ursache des Fehlers ermitteln können. Ein Beispiel für einen häufigen Fehler ist, wenn ein Partner für die externe Schlüsselverwaltung auf eine Anfrage nicht innerhalb eines angemessenen Zeitraums antwortet.

    • Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. Der Google Cloud-Support kann nur Support für Probleme in Google Cloud-Diensten bieten und bei Problemen mit externen Systemen nicht direkt behilflich sein. Möglicherweise müssen Sie mit dem Support beider Seiten zusammenarbeiten, um Interoperabilitätsprobleme zu beheben.

Beschränkungen

Für diesen beta-Release gelten die folgenden Einschränkungen.

  • Es werden nur symmetrische Schlüssel unterstützt, und zwar nur für die folgenden:
  • Daten, die von Cloud EKM mithilfe eines extern verwalteten Schlüssels verschlüsselt wurden, können ohne Cloud EKM nicht entschlüsselt werden.
  • Vorgänge mit externen Schlüsseln werden vom Service Level Agreement für Cloud KMS auf Dienstebene nicht abgedeckt. Weitere Informationen finden Sie unter Phasen der Produkteinführung.
  • Eine automatische Rotation wird nicht unterstützt.
  • Wenn Sie den Cloud EKM-Schlüssel mit der API oder dem gcloud-Befehlszeilentool erstellen, darf er keine anfängliche Schlüsselversion haben. Dies gilt nicht für Cloud EKM-Schlüssel, die mit der Cloud Console erstellt wurden.
  • Das Kontingent für kryptografische Vorgänge für alle Cloud EKM-Schlüssel an einem einzelnen Google Cloud-Standort pro Projekt beträgt 600 Abfragen pro Minute.

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einen Google Cloud-Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Weitere Informationen zur Standortverfügbarkeit des Partners finden Sie in der Partnerdokumentation.

Sie können Cloud EKM in allen Google Cloud-Standorten verwenden, die für Cloud KMS unterstützt werden, ausgenommen global.

Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel in mehreren Regionen verwenden, stehen die Metadaten des Schlüssels, einschließlich der für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlichen Informationen, in mehreren Rechenzentren innerhalb diesen Regionen zur Verfügung. Wird bei Ihrer Anwendung innerhalb dieser Regionen von einem Rechenzentrum zu einem anderen ein Failover durchgeführt, werden vom neuen Rechenzentrum Schlüsselanfragen initiiert. Das neue Rechenzentrum verfügt möglicherweise über andere Netzwerkmerkmale als das vorherige, einschließlich der Entfernung zum Partner für die externe Schlüsselverwaltung und der Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, nur dann mehrere Regionen mit Cloud EKM zu verwenden, wenn der Partner für die externe Schlüsselverwaltung eine Abdeckung bietet, die der Abdeckung der verfügbaren Cloud EKM-Mehrfachregionen entspricht.

API-Änderungen

Die folgenden API-Änderungen wurden vorgenommen, um diese Version von beta zu unterstützen.