Informazioni su Cloud KMS
Che cos'è Cloud KMS? Cosa può fare?
Cloud Key Management Service (Cloud KMS) è un servizio di gestione delle chiavi ospitato nel cloud che consente di gestire la crittografia dei servizi cloud esattamente come si gestisce la crittografia on-premise. Puoi generare, utilizzare, ruotare ed eliminare le chiavi di crittografia. Cloud KMS è integrato con Identity and Access Management (IAM) e Cloud Audit Logs per consentirti di gestire le autorizzazioni per le singole chiavi e monitorarne l'utilizzo.
Posso archiviare i secret?
Cloud KMS archivia le chiavi e i metadati relativi alle chiavi e non ha un'API di archiviazione dati generale. Secret Manager è consigliato per l'archiviazione e l'accesso ai dati sensibili da utilizzare in Google Cloud.
È previsto uno SLA?
Sì, consulta l'Accordo sul livello del servizio di Cloud KMS.
Come faccio a inviare un feedback sul prodotto?
Contatta il team tecnico all'indirizzo cloudkms-feedback@google.com.
Come faccio a fornire un feedback sulla documentazione?
Mentre visualizzi la documentazione di Cloud KMS, fai clic su Invia feedback nella parte in alto a destra della pagina. Si aprirà un modulo di feedback.
Se ho bisogno di assistenza, quali sono le opzioni a mia disposizione?
Invitiamo i nostri utenti a pubblicare le loro domande su Stack Overflow. Insieme alla community attiva di Stack Overflow, il nostro team monitora attivamente i post di Stack Overflow e risponde alle domande con il tag google-cloud-kms.
Offriamo inoltre diversi livelli di assistenza in base alle esigenze. Per ulteriori opzioni di assistenza, consulta i nostri pacchetti di assistenza Google Cloud.
Cloud KMS prevede quote?
Sì. Per informazioni sulle quote, incluse la visualizzazione o la richiesta di quote aggiuntive, consulta Quote di Cloud KMS.
Non sono previsti limiti al numero di chiavi, keyring o versioni delle chiavi. Inoltre, non sono previsti limiti al numero di chiavi per keyring e alle versioni delle chiavi per chiave.
In quali paesi posso utilizzare Cloud KMS?
Puoi utilizzare Cloud KMS in tutti i paesi in cui sono supportati i servizi Google Cloud.
Chiavi
Quali tipi di chiavi vengono generati da Cloud KMS?
Consulta la sezione Scopi e algoritmi chiave.
Le chiavi sono archiviate in un HSM?
Le chiavi con livello di protezione HSM sono memorizzate in un modulo di sicurezza hardware (HSM).
Le chiavi con livello di protezione SOFTWARE sono memorizzate nel software.
Una chiave supportata da HSM non persiste mai al di fuori di un HSM.
A quali standard sono conformi le chiavi?
Le chiavi generate in Cloud KMS e le operazioni crittografiche eseguite con queste chiavi sono conformi alla pubblicazione FIPS (Federal Information Processing Standard) Requisiti di sicurezza per i moduli crittografici 140-2.
Le chiavi generate con il livello di protezione
SOFTWAREe le operazioni di crittografia che eseguono sono conformi allo standard FIPS 140-2 livello 1.Le chiavi generate con il livello di protezione
HSMe le operazioni crittografiche che vengono eseguite sono conformi allo standard FIPS 140-2 livello 3.Per le chiavi generate al di fuori di Cloud KMS e poi importate, i clienti con requisiti FIPS sono responsabili di garantire che vengano generate in modo conforme a FIPS.
Come viene generato il materiale della chiave?
Le chiavi protette dal software di Cloud KMS vengono generate mediante la libreria crittografica comune di Google utilizzando un generatore di numeri casuali (RNG) creato da Google. Le chiavi protette da HSM vengono generate in modo sicuro da HSM, che è stato convalidato come conforme allo standard FIPS 140-2 livello 3.
Quale libreria viene utilizzata per generare il materiale delle chiavi?
Le chiavi Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google, che implementa gli algoritmi crittografici utilizzando BoringSSL. Per ulteriori informazioni, consulta la libreria crittografica comune di Google.
Le chiavi sono limitate a una posizione geografica?
Le chiavi appartengono a una regione, ma non sono vincolate a quella regione. Per ulteriori informazioni, consulta le località di Cloud KMS.
Posso eliminare automaticamente le chiavi?
No.
Posso ruotare automaticamente i tasti?
Per le chiavi utilizzate per la crittografia simmetrica, sì. Consulta Rotazione automatica: impostare il periodo di rotazione per una chiave.
Per le chiavi utilizzate per la crittografia asimmetrica o la firma asimmetrica, no. Per saperne di più, consulta Considerazioni sulla rotazione delle chiavi asimmetriche.
La rotazione della chiave cripta nuovamente i dati? Se non è così, perché?
La rotazione della chiave non ricripta automaticamente i dati. Quando decripta i dati, Cloud KMS sa quale versione della chiave utilizzare per la decrittografia. Finché una versione della chiave non è disabilitata o eliminata, Cloud KMS può decriptare i dati protetti con quella chiave.
Perché non posso eliminare chiavi o keyring?
Per evitare conflitti tra i nomi delle risorse, le risorse del keyring e delle chiavi NON POSSONO essere eliminate. Non possono essere eliminate neppure le versioni delle chiavi, ma è possibile eliminarne il materiale in modo che le risorse non vengano più utilizzate. Per ulteriori informazioni, consulta la sezione Durata degli oggetti. La fatturazione si basa sul numero di versioni delle chiavi attive; se elimini tutto il materiale della versione della chiave attiva, non viene addebitato alcun costo per i keyring, le chiavi e le versioni delle chiavi rimanenti.
Posso esportare le chiavi?
No. Per impostazione predefinita, le chiavi non sono esportabili da Cloud KMS. Tutte le operazioni di crittografia e decrittografia con queste chiavi devono essere eseguite all'interno di Cloud KMS. Ciò contribuisce a prevenire fughe di dati e usi impropri e consente a Cloud KMS di emettere un audit trail quando vengono utilizzate le chiavi.
Posso importare chiavi?
Sì. Puoi importare solo nelle chiavi con livello di protezione HSM o SOFTWARE.
Per ulteriori informazioni, vedi Importazione di una chiave.
Separatamente da Cloud KMS, i seguenti prodotti supportano la funzionalità della chiave di crittografia fornita dal cliente (CSEK).
| Prodotto | Argomento CSEK |
|---|---|
| Compute Engine | Crittografia dei dischi con chiavi di crittografia fornite dal cliente |
| Cloud Storage | Utilizzo delle chiavi di crittografia fornite dal cliente |
Dopo quanto tempo dopo l'eliminazione di una versione della chiave posso recuperarla?
Dopo aver pianificato l'eliminazione di una versione della chiave, hai un periodo di tempo predefinito di 24 ore prima che la versione della chiave venga effettivamente eliminata. Il periodo di tempo prima dell'eliminazione di una versione della chiave è configurabile. Durante questo periodo, se necessario puoi ripristinare la versione della chiave.
Posso modificare il periodo di 24 ore prima dell'eliminazione di una chiave pianificata?
Sì, puoi configure il periodo di tempo che deve trascorrere prima dell'eliminazione della chiave. Tieni presente che puoi impostare la durata solo al momento della creazione della chiave.
Quando apporto modifiche a una chiave, quanto rapidamente vengono applicate?
Alcune operazioni alle risorse di Cloud KMS sono a elevata coerenza, mentre altre sono coerenti e la propagazione può richiedere fino a 3 ore. Per maggiori dettagli, consulta Coerenza delle risorse di Cloud KMS.
Perché la mia chiave è nello stato PENDING_GENERATION?
A causa del costo della CPU associato alla generazione del materiale della chiave, la creazione di una versione della chiave di firma asimmetrica o di crittografia asimmetrica potrebbe richiedere alcuni minuti. Anche le versioni delle chiavi protette da un modulo di sicurezza hardware (HSM) richiedono del tempo. Quando una versione della chiave appena creata è pronta, il suo stato diventa automaticamente ATTIVATA.
Autorizzazione e autenticazione
Come faccio a eseguire l'autenticazione nell'API Cloud KMS?
Il modo in cui i client autenticano può variare leggermente a seconda della piattaforma su cui viene eseguito il codice. Per maggiori dettagli, consulta la sezione Accesso all'API.
Quali ruoli IAM devo utilizzare?
Per applicare il principio del privilegio minimo, assicurati che gli account utente e di servizio nella tua organizzazione dispongano solo delle autorizzazioni essenziali per l'esecuzione delle funzioni previste. Per ulteriori informazioni, consulta la sezione Separazione dei compiti.
Quanto ci vuole prima che un'autorizzazione IAM venga rimossa?
La rimozione di un'autorizzazione dovrebbe essere effettiva entro meno di un'ora.
Vari
Che cosa sono i dati aggiuntivi autenticati e quando è possibile utilizzarli?
Per dati autenticati aggiuntivi (AAD) si intende qualsiasi stringa passata a Cloud KMS come parte di una richiesta di crittografia o decriptazione. Viene utilizzata come controllo dell'integrità e può aiutarti a proteggere i tuoi dati da un attacco di un vicepresidente. Per ulteriori informazioni, vedi Dati autenticati aggiuntivi.
I log di accesso ai dati sono abilitati per impostazione predefinita? Come si abilitano i log di accesso ai dati?
I log degli accessi ai dati non sono abilitati per impostazione predefinita. Per ulteriori informazioni, consulta Abilitazione dei log di accesso ai dati.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi degli account di servizio?
Le chiavi degli account di servizio vengono utilizzate per l'autenticazione tra servizi in Google Cloud. Le chiavi degli account di servizio non sono correlate alle chiavi Cloud KMS.
Qual è la correlazione tra le chiavi Cloud KMS e le chiavi API?
Una chiave API è una semplice stringa criptata che può essere utilizzata per la chiamata di determinate API che non richiedono l'accesso ai dati privati dell'utente. Le chiavi API monitorano le richieste API associate al progetto per quanto riguarda quota e fatturazione. Le chiavi API non sono correlate alle chiavi Cloud KMS.
Disponi di ulteriori dettagli sui moduli HSM utilizzati da Cloud HSM?
Tutti i dispositivi HSM sono prodotti da Marvell (in precedenza Cavium). Il certificato FIPS per i dispositivi è disponibile sul sito web del NIST.