Acerca do Cloud KMS
O que é o Cloud KMS? O que pode fazer?
O Cloud Key Management Service (Cloud KMS) é um serviço de gestão de chaves alojado na nuvem que lhe permite gerir a encriptação dos seus serviços na nuvem da mesma forma que o faz nas instalações. Pode gerar, usar, rodar e destruir chaves criptográficas. O Cloud KMS está integrado com a Identity and Access Management (IAM) e os registos de auditoria do Google Cloud, para que possa gerir as autorizações de acesso em chaves individuais e monitorizar a forma como são usadas.
Posso armazenar secrets?
O Cloud KMS armazena chaves e metadados sobre chaves, e não tem uma API de armazenamento de dados geral. O Secret Manager é recomendado para armazenar e aceder a dados confidenciais para utilização no Google Cloud.
Existe um SLA?
Sim, consulte o Contrato de Nível de Serviço do Cloud KMS.
Como posso enviar feedback sobre o produto?
Contacte a equipa de engenharia através do endereço de email cloudkms-feedback@google.com.
Como posso enviar feedback sobre a documentação?
Ao ver a documentação do Cloud KMS, clique em Enviar feedback junto à parte superior direita da página. Esta ação abre um formulário de feedback.
Se precisar de ajuda, quais são as minhas opções?
Convidamos os nossos utilizadores a publicarem as suas perguntas no Stack Overflow. Juntamente com a comunidade ativa do Stack Overflow, a nossa equipa monitoriza ativamente as publicações do Stack Overflow e responde a perguntas com a etiqueta google-cloud-kms.
Também oferecemos vários níveis de apoio técnico, consoante as suas necessidades. Para ver opções de apoio técnico adicionais, consulte os nossos Google Cloud Pacotes de apoio técnico.
O Cloud KMS tem quotas?
Sim. Para informações sobre quotas, incluindo a visualização ou o pedido de quotas adicionais, consulte o artigo Quotas do Cloud KMS.
Não existe limite para o número de chaves, conjuntos de chaves ou versões de chaves. Além disso, não existe limite para o número de chaves por conjunto de chaves e versões de chaves por chave.
Em que países posso usar o Cloud KMS?
Pode usar o Cloud KMS em qualquer país onde os Google Cloud serviços sejam suportados.
Chaves
Que tipos de chaves gera o Cloud KMS?
Consulte Objetivos e algoritmos principais.
As chaves são armazenadas num HSM?
As chaves com nível de proteção HSM são armazenadas num módulo de segurança de hardware (HSM).
As chaves com o nível de proteção SOFTWARE são armazenadas no software.
Uma chave suportada por HSM nunca persiste fora de um HSM.
Com que normas estão as chaves em conformidade?
As chaves geradas no Cloud KMS e as operações criptográficas realizadas com essas chaves estão em conformidade com a publicação do Federal Information Processing Standard (FIPS) Requisitos de segurança para módulos criptográficos 140-2.
As chaves geradas com o nível de proteção
SOFTWAREe as operações criptográficas realizadas com as mesmas estão em conformidade com o nível 1 da FIPS 140-2.As chaves geradas com o nível de proteção
HSMe as operações criptográficas realizadas com as mesmas estão em conformidade com o nível 3 da FIPS 140-2.Para chaves geradas fora do Cloud KMS e, em seguida, importadas, os clientes com requisitos FIPS são responsáveis por garantir que as respetivas chaves são geradas em conformidade com o FIPS.
Como é gerado o material essencial?
As chaves protegidas por software do Cloud KMS são geradas através da biblioteca criptográfica comum da Google com um gerador de números aleatórios (RNG) criado pela Google. As chaves protegidas por HSM são geradas em segurança pelo HSM, que foi validado para cumprir o nível 3 da FIPS 140-2.
Que biblioteca é usada para gerar material de chaves?
As chaves do Cloud KMS são geradas através da biblioteca criptográfica comum da Google, que implementa algoritmos criptográficos através do BoringSSL. Para mais informações, consulte a biblioteca criptográfica comum da Google.
As chaves estão restritas a uma localização geográfica?
As chaves pertencem a uma região, mas não estão restritas a essa região. Para mais informações, consulte o artigo Localizações do Cloud KMS.
Posso eliminar chaves automaticamente?
Não.
Posso rodar as chaves automaticamente?
Sim, para chaves usadas para encriptação simétrica. Consulte o artigo Rotação automática: definir o período de rotação de uma chave.
Não, para chaves usadas para encriptação assimétrica ou assinatura assimétrica. Para saber mais, consulte as Considerações para a rotação de chaves assimétricas.
A rotação de chaves reencripta os dados? Se não, porquê?
A rotação de chaves não volta a encriptar automaticamente os dados. Quando desencripta dados, o Cloud KMS sabe que versão da chave usar para a desencriptação. Enquanto uma versão de chave não for desativada nem destruída, o Cloud KMS pode desencriptar dados protegidos com essa chave.
Por que motivo não consigo eliminar chaves nem conjuntos de chaves?
Para evitar colisões de nomes de recursos, NÃO é possível eliminar os recursos de chaves e o conjunto de chaves. Também não é possível eliminar versões de chaves, mas é possível destruir o material das versões de chaves para que os recursos deixem de poder ser usados. Para mais informações, consulte o artigo Tempo de vida dos objetos. A faturação baseia-se no número de versões de chaves ativas. Se destruir todo o material da versão de chave ativa, não é cobrado nenhum valor pelos conjuntos de chaves, pelas chaves e pelas versões de chaves restantes.
Posso exportar chaves?
Não. As chaves não são exportáveis a partir do Cloud KMS por predefinição. Toda a encriptação e desencriptação com estas chaves tem de ser feita no Cloud KMS. Isto ajuda a evitar fugas e utilização indevida, e permite que o Cloud KMS emita uma trilha de auditoria quando as chaves são usadas.
Posso importar chaves?
Sim. Só pode importar para chaves com o nível de proteção HSM ou SOFTWARE.
Para mais informações, consulte o artigo Importar uma chave.
Separadamente do Cloud KMS, os seguintes produtos suportam a funcionalidade de chave de encriptação fornecida pelo cliente (CSEK).
| Produto | Tópico CSEK |
|---|---|
| Compute Engine | Encriptar discos com chaves de encriptação fornecidas pelos clientes |
| Cloud Storage | Usar chaves de encriptação fornecidas pelos clientes |
Quanto tempo tenho para recuperar uma versão de chave depois de a destruir?
Depois de agendar uma versão de chave para destruição, tem um período predefinido de 30 dias antes de a versão de chave ser efetivamente destruída. O período antes de uma versão da chave ser destruída é configurável. Durante esse período, se necessário, pode restaurar a versão da chave.
Posso alterar o período antes de uma chave agendada ser destruída?
Sim, pode configurar a duração do tempo antes de a chave ser destruída. Tenha em atenção que só pode definir a duração no momento da criação da chave.
Quando faço alterações a uma chave, com que rapidez é que as alterações entram em vigor?
Algumas operações nos recursos do Cloud KMS são fortemente consistentes, enquanto outras são eventualmente consistentes e podem demorar até 3 horas a propagar-se. Para mais detalhes, consulte o artigo Consistência dos recursos do Cloud KMS.
Por que motivo a minha chave está no estado PENDING_GENERATION?
Devido ao custo da CPU da geração de material de chaves, a criação de uma versão de chave de assinatura assimétrica ou de encriptação assimétrica pode demorar alguns minutos. As versões das chaves protegidas por um módulo de segurança de hardware (HSM) também demoram algum tempo. Quando uma versão da chave criada recentemente estiver pronta, o respetivo estado é alterado automaticamente para ATIVADO.
Autorização e autenticação
Como posso autenticar-me na API Cloud KMS?
A forma como os clientes se autenticam pode variar ligeiramente consoante a plataforma em que o código está a ser executado. Para ver detalhes, consulte o artigo Aceder à API.
Que funções do IAM devo usar?
Para aplicar o princípio do menor privilégio, certifique-se de que as contas de utilizador e de serviço na sua organização têm apenas as autorizações essenciais para realizar as respetivas funções pretendidas. Para mais informações, consulte o artigo Separação de funções.
Com que rapidez é removida uma autorização de IAM?
A remoção de uma autorização deve estar em vigor em menos de uma hora.
Diversos
O que são dados autenticados adicionais e quando os devo usar?
Os dados autenticados adicionais (AAD) são qualquer string que transmite ao Cloud KMS como parte de um pedido de encriptação ou desencriptação. É usado como uma verificação de integridade e pode ajudar a proteger os seus dados de um ataque de confused deputy. Para mais informações, consulte o artigo Dados autenticados adicionais.
Os registos de acesso aos dados estão ativados por predefinição? Como posso ativar os registos de acesso aos dados?
Os registos de acesso a dados não estão ativados por predefinição. Para mais informações, consulte o artigo Ativar registos de acesso a dados.
Como é que as chaves do Cloud KMS se relacionam com as chaves de contas de serviço?
As chaves de contas de serviço são usadas para a autenticação de serviço para serviço no âmbito do Google Cloud. As chaves de contas de serviço não estão relacionadas com as chaves do Cloud KMS.
Como é que as chaves do Cloud KMS se relacionam com as chaves da API?
Uma chave da API é uma string encriptada simples que pode ser usada quando chama determinadas APIs que não precisam de acesso a dados privados do utilizador. As chaves da API monitorizam os pedidos da API associados ao seu projeto para fins de quota e faturação. As chaves da API não estão relacionadas com as chaves do Cloud KMS.
Tem detalhes adicionais sobre os HSMs usados pelo Cloud HSM?
Todos os dispositivos HSM são fabricados pela Marvell (anteriormente Cavium). O certificado FIPS para os dispositivos está no Website do NIST.