Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud External Key Manager

Dieses Thema bietet einen Überblick über den Cloud External Key Manager (Cloud EKM).

Terminologie

Externer Schlüsselmanager (EKM)

Der Schlüsselmanager, der außerhalb von Google Cloud zum Verwalten Ihrer Schlüssel verwendet wird.
Cloud External Key Manager (Cloud EKM)

Einen Google Cloud-Dienst zur Verwendung Ihrer externen Schlüssel, die in einem unterstützten EKM verwaltet werden.
Cloud EKM über das Internet

Eine Version von Cloud EKM, bei der Google Cloud über das Internet mit Ihrem External Key Manager kommuniziert.
Cloud EKM über eine VPC

Eine Version von Cloud EKM, bei der Google Cloud über eine Virtual Private Cloud (VPC) mit Ihrem External Key Manager kommuniziert. Weitere Informationen finden Sie unter VPC-Netzwerk (Virtual Private Cloud) – Übersicht.

Übersicht

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten, um Daten in Google Cloud zu schützen. Sie können ruhende Daten in unterstützten CMEK-Diensten oder direkt durch Aufrufen der Cloud Key Management Service API schützen.

Cloud EKM bietet mehrere Vorteile:

Schlüsselherkunft:Sie steuern den Speicherort und die Verteilung Ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden nie in Google Cloud zwischengespeichert oder gespeichert. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.
Zugriffssteuerung: Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel. Bevor Sie einen extern verwalteten Schlüssel in Google Cloud verwenden können, müssen Sie dem Google Cloud-Projekt Zugriff auf den Schlüssel gewähren. Sie können diesen Zugriff jederzeit widerrufen.
Zentrale Schlüsselverwaltung: Sie können Ihre Schlüssel und Zugriffsrichtlinien über eine zentrale Benutzeroberfläche verwalten, unabhängig davon, ob sich die geschützten Daten in der Cloud oder lokal befinden.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Sie können mit Ihrem External Key Manager über das Internet oder über eine Virtual Private Cloud (VPC) kommunizieren.

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

Aktuell unterstützt:
- Fortanix
- FutureX
- Thales
- Virtru

Dienste, die CMEK mit Cloud EKM unterstützen

Die folgenden Dienste unterstützen die Einbindung in Cloud KMS für externe Schlüssel (Cloud EKM):

Artifact Registry
BigQuery
Cloud Bigtable
Cloud Composer
Cloud Functions
Cloud Logging: Daten im Log Router und Daten im Logging-Speicher
Cloud Run
Cloud Spanner
Cloud SQL
Cloud Storage
Compute Engine: Nichtflüchtige Speicher , Snapshots , und Benutzerdefinierte Images
Dataflow
Dataproc
Dataproc Metastore
Eventarc
Google Distributed Cloud Edge
Google Kubernetes Engine: Daten auf VM-Laufwerken und Secrets auf Anwendungsebene
Pub/Sub
Secret Manager
Referent-ID (eingeschränkte Verfügbarkeit)
Vertex AI

Funktionsweise

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem externen Schlüssel funktioniert. Sie können auch der Schritt-für-Schritt-Anleitung folgen, um einen Cloud EKM-Schlüssel zu erstellen, auf den über das Internet oder über eine VPC zugegriffen wird.

Erstellen oder verwenden Sie zuerst einen vorhandenen Schlüssel bei einem unterstützten Partnersystem für die externe Schlüsselverwaltung. Dieser Schlüssel hat einen eindeutigen URI oder Schlüsselpfad.
Als Nächstes erteilen Sie Ihrem Google Cloud-Projekt Zugriff auf den Schlüssel im Partnersystem für die externe Schlüsselverwaltung.
In Ihrem Google Cloud-Projekt erstellen Sie einen Cloud EKM-Schlüssel mit dem URI oder Schlüsselpfad für den extern verwalteten Schlüssel.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL oder EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Der externe Schlüssel wird Google niemals zugänglich gemacht.

Das folgende Diagramm zeigt, wie Cloud KMS in das Schlüsselverwaltungsmodell passt. In diesem Diagramm werden zwei Beispiele für Compute Engine und BigQuery verwendet. Sie können auch die vollständige Liste der Dienste, die Cloud EKM-Schlüssel unterstützen, ansehen.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Hinweise

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie die außerhalb der Google Cloud verwalteten Schlüssel verlieren, kann Google Ihre Daten nicht wiederherstellen.
Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.
Lesen Sie das Service Level Agreement (SLA).
Die Kommunikation mit einem externen Dienst über das Internet kann zu Problemen mit Zuverlässigkeit, Verfügbarkeit und Latenz führen. Verwenden Sie für Anwendungen mit geringer Toleranz für diese Art von Risiken die Verwendung von Cloud HSM oder Cloud KMS, um Ihr Schlüsselmaterial zu speichern.
- Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.
  
  Aktivieren Sie das Audit-Logging von Daten, um alle Fehler im Zusammenhang mit Cloud EKM zu erfassen. Fehlermeldungen enthalten detaillierte Informationen, anhand derer Sie die Fehlerquelle ermitteln können. Ein Beispiel für einen häufigen Fehler ist, dass ein Partner für die externe Schlüsselverwaltung nicht innerhalb eines angemessenen Zeitraums auf eine Anfrage reagiert.
- Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. Google Cloud
  
  Support kann nur bei Problemen mit Google Cloud-Diensten und nicht direkt bei Problemen mit externen Systemen helfen. Manchmal müssen Sie mit dem Support auf beiden Seiten zusammenarbeiten, um Interoperabilitätsprobleme zu beheben.
Cloud EKM kann mit Hosted Private HSM verwendet werden, um eine in Cloud KMS integrierte HSM-Lösung für einzelne Mandanten zu erstellen. Wählen Sie einen Cloud EKM-Partner aus, der HSMs für einzelne Mandanten unterstützt, und lesen Sie die Anforderungen für gehostete private HSMs, um mehr zu erfahren.

Achtung: Wenn Sie Cloud EKM-Schlüssel über das Internet verwenden, besteht das Risiko, dass der Schlüssel nicht mehr verfügbar ist. Je nachdem, welche Dienste Sie verwenden, kann dies zu schwerwiegenden Fehlern oder nicht zugänglichen Daten führen. Wenn Sie beispielsweise einen externen CMEK-Schlüssel zum Verschlüsseln von Secrets auf Anwendungsebene in Google Kubernetes Engine verwenden, sind Ihre Knoten möglicherweise nicht mehr verfügbar, wenn sie die Secrets nicht entschlüsseln können. Wenn Sie nicht auf den externen Schlüssel zugreifen können, kann dies zu einem dauerhaften Datenverlust führen. Wenn der zum Verschlüsseln einer Cloud Spanner-Datenbank verwendete CMEK zum Beispiel länger als 30 aufeinanderfolgende Tage nicht verfügbar ist, wird die Datenbank von Cloud Spanner automatisch gelöscht. Wenn die aktuelle Schlüsselversion nicht verfügbar ist, können Sie die Daten nicht durch eine neue Schlüsselversion wiederherstellen. Verwenden Sie für eine bessere Verfügbarkeit Cloud EKM über VPC- oder Cloud HSM-Schlüssel.

Einschränkungen

Eine automatische Rotation wird nicht unterstützt.
Wenn Sie einen Cloud EKM-Schlüssel mit der API oder der Google Cloud CLI erstellen, darf er keine anfängliche Schlüsselversion haben. Dies gilt nicht für Cloud EKM-Schlüssel, die mit der Google Cloud Console erstellt wurden.
Für Cloud-EKM-Vorgänge gelten zusätzlich zu den Kontingenten für Cloud KMS-Vorgänge bestimmte Kontingente.

Symmetrische Verschlüsselungsschlüssel

Symmetrische Verschlüsselungsschlüssel werden nur für Folgendes unterstützt:
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) in unterstützten Integrationsdiensten.
- Symmetrische Ver- und Entschlüsselung direkt mit Cloud KMS.
Daten, die von Cloud EKM mit einem extern verwalteten Schlüssel verschlüsselt wurden, können ohne Cloud EKM nicht entschlüsselt werden.

Asymmetrische Signaturschlüssel

Asymmetrische Signaturschlüssel sind auf eine Teilmenge von Cloud KMS-Algorithmen beschränkt.
Asymmetrische Signaturschlüssel werden nur für Folgendes unterstützt:
- Asymmetrische Signatur direkt mit Cloud KMS.
- Benutzerdefinierter Signaturschlüssel mit Access Approval
Sobald ein asymmetrischer Signaturalgorithmus für einen Cloud EKM-Schlüssel festgelegt wurde, kann er nicht mehr geändert werden.
Die Unterschrift muss im Feld data erfolgen.

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einen Google Cloud-Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Weitere Informationen zur Standortverfügbarkeit des Partners finden Sie in der Partnerdokumentation.

Cloud EKM über das Internet: verfügbar an allen Google Cloud-Standorten, die für Cloud KMS unterstützt werden, mit Ausnahme von global
Cloud EKM über eine VPC: nur an regionalen Standorten verfügbar, die für Cloud KMS unterstützt werden

Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel mit mehreren Regionen verwenden, sind die Metadaten des Schlüssels in mehreren Rechenzentren innerhalb des multiregionalen Standorts verfügbar. Diese Metadaten enthalten die Informationen, die für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlich sind. Wenn Ihre Anwendung innerhalb des multiregionalen Rechenzentrums ein Failover auf ein anderes Rechenzentrum ausführt, initiiert das neue Rechenzentrum wichtige Anfragen. Das neue Rechenzentrum kann andere Netzwerkmerkmale als das vorherige haben, einschließlich der Entfernung vom Partner für die externe Schlüsselverwaltung und der Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, Multi-Regionen nur mit Cloud EKM zu verwenden, wenn der von Ihnen ausgewählte externe Schlüsselmanager eine niedrige Latenz für alle Bereiche dieser Multiregion bietet.

Cloud EKM-Nutzung überwachen

Mit Cloud Monitoring können Sie Ihre EKM-Verbindung überwachen. Anhand der folgenden Messwerte können Sie Ihre EKM-Nutzung besser nachvollziehen:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Weitere Informationen zu diesen Messwerten finden Sie unter cloudkms Messwerte. Sie können ein Dashboard erstellen, um diese Messwerte zu verfolgen. Informationen zum Einrichten eines Dashboards zum Überwachen Ihrer EKM-Verbindung finden Sie unter EKM-Nutzung überwachen.

Nächste Schritte

Cloud EKM über das Internet verwenden und Cloud EKM über eine VPC verwenden
Mit der Verwendung der API beginnen.
Cloud KMS API-Referenz
Weitere Informationen zu Logging in Cloud KMS. Das Logging basiert auf Vorgängen und gilt für Schlüssel mit HSM- und Softwareschutzlevel.
Empfehlungen zur Konfiguration einer externen EKM-Dienstbereitstellung in Cloud EKM finden Sie unter Referenzarchitekturen für die zuverlässige Bereitstellung von Cloud EKM-Diensten.

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.