Cloud External Key Manager

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Thema bietet einen Überblick über den Cloud External Key Manager (Cloud EKM).

Terminologie

  • Externer Schlüsselmanager (EKM)

    Der Schlüsselmanager, der außerhalb von Google Cloud zum Verwalten Ihrer Schlüssel verwendet wird.

  • Cloud External Key Manager (Cloud EKM)

    Einen Google Cloud-Dienst zur Verwendung Ihrer externen Schlüssel, die in einem unterstützten EKM verwaltet werden.

  • Cloud EKM über das Internet

    Eine Version von Cloud EKM, bei der Google Cloud über das Internet mit Ihrem External Key Manager kommuniziert.

  • Cloud EKM über eine VPC

    Eine Version von Cloud EKM, bei der Google Cloud über eine Virtual Private Cloud (VPC) mit Ihrem External Key Manager kommuniziert. Weitere Informationen finden Sie unter VPC-Netzwerk (Virtual Private Cloud) – Übersicht.

Übersicht

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten, um Daten in Google Cloud zu schützen. Sie können ruhende Daten in unterstützten CMEK-Diensten oder direkt durch Aufrufen der Cloud Key Management Service API schützen.

Cloud EKM bietet mehrere Vorteile:

  • Schlüsselherkunft: Sie steuern den Speicherort und die Verteilung Ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden nie in Google Cloud zwischengespeichert oder gespeichert. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.

  • Zugriffssteuerung: Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel. Bevor Sie einen extern verwalteten Schlüssel in Google Cloud verwenden können, müssen Sie dem Google Cloud-Projekt Zugriff auf den Schlüssel gewähren. Sie können diesen Zugriff jederzeit widerrufen.

  • Zentrale Schlüsselverwaltung:Sie können Ihre Schlüssel und Zugriffsrichtlinien über eine zentrale Benutzeroberfläche verwalten, unabhängig davon, ob sich die geschützten Daten in der Cloud oder lokal befinden.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Sie können mit Ihrem External Key Manager über das Internet oder über eine Virtual Private Cloud (VPC) kommunizieren.

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

Dienste, die CMEK mit Cloud EKM unterstützen

Die folgenden Dienste unterstützen die Einbindung in Cloud KMS für externe Schlüssel (Cloud EKM):

Funktionsweise

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem externen Schlüssel funktioniert. Sie können auch der Schritt-für-Schritt-Anleitung folgen, um einen Cloud EKM-Schlüssel zu erstellen, auf den über das Internet oder über eine VPC zugegriffen wird.

  1. Erstellen oder verwenden Sie zuerst einen vorhandenen Schlüssel bei einem unterstützten Partnersystem für die externe Schlüsselverwaltung. Dieser Schlüssel hat einen eindeutigen URI oder Schlüsselpfad.
  2. Als Nächstes erteilen Sie Ihrem Google Cloud-Projekt Zugriff auf den Schlüssel im Partnersystem für die externe Schlüsselverwaltung.
  3. In Ihrem Google Cloud-Projekt erstellen Sie einen Cloud EKM-Schlüssel mit dem URI oder Schlüsselpfad für den extern verwalteten Schlüssel.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL oder EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Der externe Schlüssel wird Google niemals zugänglich gemacht.

Das folgende Diagramm zeigt, wie Cloud KMS in das Schlüsselverwaltungsmodell passt. In diesem Diagramm werden zwei Beispiele für Compute Engine und BigQuery verwendet. Sie können auch die vollständige Liste der Dienste, die Cloud EKM-Schlüssel unterstützen, ansehen.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Hinweise

  • Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie die außerhalb der Google Cloud verwalteten Schlüssel verlieren, kann Google Ihre Daten nicht wiederherstellen.

  • Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.

  • Lesen Sie das Service Level Agreement (SLA).

  • Die Kommunikation mit einem externen Dienst über das Internet kann zu Problemen mit Zuverlässigkeit, Verfügbarkeit und Latenz führen. Verwenden Sie für Anwendungen mit geringer Toleranz für diese Art von Risiken die Verwendung von Cloud HSM oder Cloud KMS, um Ihr Schlüsselmaterial zu speichern.

    • Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.

      Aktivieren Sie das Audit-Logging von Daten, um alle Fehler im Zusammenhang mit Cloud EKM zu erfassen. Fehlermeldungen enthalten detaillierte Informationen, anhand derer Sie die Fehlerquelle ermitteln können. Ein Beispiel für einen häufigen Fehler ist, dass ein Partner für die externe Schlüsselverwaltung nicht innerhalb eines angemessenen Zeitraums auf eine Anfrage reagiert.

    • Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. Google Cloud

      Support kann nur bei Problemen mit Google Cloud-Diensten und nicht direkt bei Problemen mit externen Systemen helfen. Manchmal müssen Sie mit dem Support auf beiden Seiten zusammenarbeiten, um Interoperabilitätsprobleme zu beheben.

  • Cloud EKM kann mit Hosted Private HSM verwendet werden, um eine in Cloud KMS integrierte HSM-Lösung für einzelne Mandanten zu erstellen. Wählen Sie einen Cloud EKM-Partner aus, der HSMs für einzelne Mandanten unterstützt, und lesen Sie die Anforderungen für gehostete private HSMs, um mehr zu erfahren.

Einschränkungen

  • Eine automatische Rotation wird nicht unterstützt.
  • Wenn Sie einen Cloud EKM-Schlüssel mit der API oder der Google Cloud CLI erstellen, darf er keine anfängliche Schlüsselversion haben. Dies gilt nicht für Cloud EKM-Schlüssel, die mit der Google Cloud Console erstellt wurden.
  • Für Cloud-EKM-Vorgänge gelten zusätzlich zu den Kontingenten für Cloud KMS-Vorgänge bestimmte Kontingente.

Symmetrische Verschlüsselungsschlüssel

Asymmetrische Signaturschlüssel

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einen Google Cloud-Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Weitere Informationen zur Standortverfügbarkeit des Partners finden Sie in der Partnerdokumentation.

  • Cloud EKM über das Internet: verfügbar an allen Google Cloud-Standorten, die für Cloud KMS unterstützt werden, mit Ausnahme von global
  • Cloud EKM über eine VPC: nur an regionalen Standorten verfügbar, die für Cloud KMS unterstützt werden

Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel mit mehreren Regionen verwenden, sind die Metadaten des Schlüssels in mehreren Rechenzentren innerhalb des multiregionalen Standorts verfügbar. Diese Metadaten enthalten die Informationen, die für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlich sind. Wenn Ihre Anwendung innerhalb des multiregionalen Rechenzentrums ein Failover auf ein anderes Rechenzentrum ausführt, initiiert das neue Rechenzentrum wichtige Anfragen. Das neue Rechenzentrum kann andere Netzwerkmerkmale als das vorherige haben, einschließlich der Entfernung vom Partner für die externe Schlüsselverwaltung und der Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, Multi-Regionen nur mit Cloud EKM zu verwenden, wenn der von Ihnen ausgewählte externe Schlüsselmanager eine niedrige Latenz für alle Bereiche dieser Multiregion bietet.

Cloud EKM-Nutzung überwachen

Mit Cloud Monitoring können Sie Ihre EKM-Verbindung überwachen. Anhand der folgenden Messwerte können Sie Ihre EKM-Nutzung besser nachvollziehen:

  • cloudkms.googleapis.com/ekm/external/request_latencies
  • cloudkms.googleapis.com/ekm/external/request_count

Weitere Informationen zu diesen Messwerten finden Sie unter cloudkms Messwerte. Sie können ein Dashboard erstellen, um diese Messwerte zu verfolgen. Informationen zum Einrichten eines Dashboards zum Überwachen Ihrer EKM-Verbindung finden Sie unter EKM-Nutzung überwachen.

Nächste Schritte

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.