Informazioni su Cloud KMS
Che cos'è Cloud KMS? Cosa può fare?
Cloud Key Management Service (Cloud KMS) è un servizio di gestione delle chiavi ospitato nel cloud che consente di gestire la crittografia per i servizi cloud esattamente come si gestisce la crittografia on-premise. Puoi generare, utilizzare, ruotare ed eliminare le chiavi di crittografia. Cloud KMS è integrato con Identity and Access Management (IAM) e Cloud Audit Logs in modo da gestire le autorizzazioni per le singole chiavi e monitorarne l'utilizzo.
Posso memorizzare i secret?
Cloud KMS archivia chiavi e metadati relativi alle chiavi e non ha un'API di archiviazione dati generale. Secret Manager è consigliato per archiviare e accedere ai dati sensibili da utilizzare in Google Cloud.
Esiste un SLA (accordo sul livello del servizio)?
Sì, consulta l'Accordo sul livello del servizio di Cloud KMS.
Come faccio a fornire un feedback sul prodotto?
Contatta il team di ingegneria all'indirizzo cloudkms-feedback@google.com.
Come faccio a fornire un feedback sulla documentazione?
Mentre visualizzi la documentazione di Cloud KMS, fai clic su Invia feedback in alto a destra nella pagina. Si aprirà un modulo di feedback.
Se ho bisogno di assistenza, quali sono le opzioni a mia disposizione?
Invitiamo i nostri utenti a pubblicare le loro domande su Stack Overflow. Insieme alla community attiva di Stack Overflow, il nostro team monitora attivamente i post di Stack Overflow e risponde alle domande con il tag google-cloud-kms.
Offriamo inoltre vari livelli di assistenza a seconda delle tue esigenze. Per altre opzioni di assistenza, consulta i nostri pacchetti di assistenza Google Cloud.
Cloud KMS prevede delle quote?
Sì. Per informazioni sulle quote, inclusa la visualizzazione o la richiesta di quote aggiuntive, consulta Quote di Cloud KMS.
Non esiste alcun limite al numero di chiavi, keyring o versioni delle chiavi. Inoltre, non esiste alcun limite al numero di chiavi per keyring e di versioni delle chiavi per chiave.
In quali paesi posso utilizzare Cloud KMS?
Puoi utilizzare Cloud KMS in qualsiasi paese in cui sono supportati i servizi Google Cloud.
Chiavi
Quali tipi di chiavi genera Cloud KMS?
Consulta la sezione Finalità e algoritmi delle chiavi.
Le chiavi sono archiviate in un HSM?
Le chiavi con livello di protezione HSM vengono archiviate in un modulo di sicurezza hardware (HSM).
Le chiavi con livello di protezione SOFTWARE vengono memorizzate nel software.
Una chiave basata su HSM non viene mai mantenuta al di fuori di un HSM.
A quali standard sono conformi le chiavi?
Le chiavi generate in Cloud KMS e le operazioni di crittografia eseguite con queste chiavi sono conformi alla pubblicazione Requisiti di sicurezza per i moduli di crittografia 140-2 del Federal Information Processing Standard (FIPS).
Le chiavi generate con livello di protezione
SOFTWAREe le operazioni di crittografia che eseguono sono conformi allo standard FIPS 140-2 livello 1.Le chiavi generate con livello di protezione
HSMe le operazioni di crittografia eseguite con queste chiavi sono conformi allo standard FIPS 140-2 livello 3.Per le chiavi generate al di fuori di Cloud KMS e poi importate, i clienti con requisiti FIPS sono responsabili di garantire che le chiavi vengano generate in modo conforme a FIPS.
Come viene generato il materiale della chiave?
Le chiavi protette da software di Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google e un generatore di numeri casuali (RNG) creato da Google. Le chiavi protette dall'HSM vengono generate in modo sicuro dall'HSM, che è stato convalidato per soddisfare il livello 3 di FIPS 140-2.
Quale libreria viene utilizzata per generare il materiale della chiave?
Le chiavi Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google, che implementa gli algoritmi crittografici utilizzando BoringSSL. Per maggiori informazioni, consulta la libreria crittografica comune di Google.
Le chiavi sono vincolate a una posizione geografica?
Le chiavi appartengono a una regione, ma non sono limitate a quella regione. Per ulteriori informazioni, consulta Località di Cloud KMS.
Posso eliminare automaticamente le chiavi?
No.
Posso ruotare automaticamente le chiavi?
Per le chiavi utilizzate per la crittografia simmetrica, sì. Consulta Rotazione automatica: impostazione del periodo di rotazione per una chiave.
Per le chiavi utilizzate per la crittografia asimmetrica o la firma asimmetrica, no. Per saperne di più, consulta Considerazioni per la rotazione delle chiavi asimmetriche.
Rotazione della chiave cripta nuovamente i dati? Se no, perché?
La rotazione delle chiavi non cripta automaticamente di nuovo i dati. Quando decripti i dati, Cloud KMS sa quale versione della chiave utilizzare per la decriptazione. Finché una versione della chiave non viene disattivata o distrutta, Cloud KMS può decriptare i dati protetti con quella chiave.
Perché non riesco a eliminare chiavi o keyring?
Per evitare conflitti per i nomi delle risorse, non è possibile eliminare i keyring e le risorse delle chiavi. Non possono essere eliminate neppure le versioni delle chiavi, ma è possibile eliminarne il materiale in modo che le risorse non vengano più utilizzate. Per ulteriori informazioni, consulta la pagina Ciclo di vita degli oggetti. La fatturazione si basa sul numero di versioni attive delle chiavi. Se distruggi tutto il materiale delle versioni attive delle chiavi, non viene addebitato alcun costo per gli anelli portachiavi, le chiavi e le versioni delle chiavi rimanenti.
Posso esportare le chiavi?
No. Le chiavi non sono esportabili da Cloud KMS per design. Tutte le operazioni di crittografia e decriptazione con queste chiavi devono essere svolte in Cloud KMS. Tale misura contribuisce a evitare fughe di dati e usi impropri e consente a Cloud KMS di emettere un audit trail quando le chiavi vengono utilizzate.
Posso importare le chiavi?
Sì. Puoi eseguire l'importazione solo in chiavi con livello di protezione HSM o SOFTWARE.
Per ulteriori informazioni, consulta la sezione Importare una chiave.
A parte Cloud KMS, i seguenti prodotti supportano la funzionalità delle chiavi di crittografia fornite dal cliente (CSEK).
| Prodotto | Argomento CSEK |
|---|---|
| Compute Engine | Crittografia dei dischi con chiavi di crittografia fornite dal cliente |
| Cloud Storage | Utilizzo delle chiavi di crittografia fornite dal cliente |
Quanto tempo dopo aver distrutto una versione della chiave posso recuperarla?
Dopo aver pianificato l'eliminazione di una versione della chiave, hai un periodo di tempo predefinito di 30 giorni prima che la versione della chiave venga effettivamente eliminata. Il periodo di tempo prima dell'eliminazione di una versione della chiave è configurabile. Durante questo periodo, se necessario, puoi ripristinare la versione della chiave.
Posso modificare il periodo di tempo prima dell'eliminazione di una chiave pianificata?
Sì, puoi configurare il periodo di tempo prima che la chiave venga distrutta. Tieni presente che puoi impostare la durata solo al momento della creazione della chiave.
Quando apporto modifiche a una chiave, quanto velocemente vengono applicate?
Alcune operazioni sulle risorse Cloud KMS sono fortemente coerenti, mentre altre sono eventualmente coerenti e la loro propagazione può richiedere fino a 3 ore. Per ulteriori dettagli, consulta la sezione Coerenza delle risorse Cloud KMS.
Perché la mia chiave è in stato PENDING_GENERATION?
A causa del costo della CPU per la generazione del materiale della chiave, la creazione di una versione di una chiave di firma asimmetrica o di una chiave di crittografia asimmetrica può richiedere alcuni minuti. Anche le versioni delle chiavi protette da un modulo di sicurezza hardware (HSM) richiedono un po' di tempo. Quando una versione della chiave appena creata è pronta, il relativo stato cambierà automaticamente in ENABLED.
Autorizzazione e autenticazione
Come faccio ad autenticarmi nell'API Cloud KMS?
Il modo in cui i client si autenticano può variare leggermente a seconda della piattaforma su cui viene eseguito il codice. Per maggiori dettagli, vedi Accedere all'API.
Quali ruoli IAM devo utilizzare?
Per applicare il principio del privilegio minimo, assicurati che gli account utente e di servizio della tua organizzazione dispongano solo delle autorizzazioni essenziali per l'esecuzione delle funzioni previste. Per ulteriori informazioni, consulta la sezione Separazione delle responsabilità.
Quanto tempo occorre per rimuovere un'autorizzazione IAM?
La rimozione di un'autorizzazione dovrebbe essere applicata entro meno di un'ora.
Vari
Che cosa sono gli altri dati autenticati e quando li devo utilizzare?
I dati autenticati aggiuntivi (AAD) sono qualsiasi stringa passata a Cloud KMS nell'ambito di una richiesta di crittografia o decrittografia. Viene utilizzato come controllo dell'integrità e può contribuire a proteggere i tuoi dati da un attacco di amministratore confuso. Per ulteriori informazioni, consulta Altri dati autenticati.
I log di accesso ai dati sono abilitati per impostazione predefinita? Come faccio ad attivare i log di accesso ai dati?
I log di accesso ai dati non sono abilitati per impostazione predefinita. Per ulteriori informazioni, consulta la pagina sulla configurazione dei log degli accessi ai dati.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi dell'account di servizio?
Le chiavi degli account di servizio vengono utilizzate per l'autenticazione tra servizi all'interno di Google Cloud. Le chiavi degli account di servizio non sono correlate alle chiavi Cloud KMS.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi API?
Una chiave API è una semplice stringa criptata che può essere utilizzata per chiamare determinate API che non richiedono l'accesso ai dati privati dell'utente. Le chiavi API monitorano le richieste API associate al tuo progetto per quota e fatturazione. Le chiavi API non sono correlate alle chiavi Cloud KMS.
Hai ulteriori dettagli sugli HSM utilizzati da Cloud HSM?
Tutti i dispositivi HSM sono prodotti da Marvell (in precedenza Cavium). Il certificato FIPS per i dispositivi è disponibile sul sito web del NIST.