Informazioni su Cloud KMS
Che cos'è Cloud KMS? Cosa può fare?
Cloud Key Management Service (Cloud KMS) è un servizio di gestione delle chiavi ospitato nel cloud che consente di e per gestire la crittografia per i servizi cloud esattamente come si gestisce la crittografia on-premise. Tu può generare, utilizzare, ruotare ed eliminare le chiavi di crittografia. Cloud KMS è integrato con Identity and Access Management (IAM) e Cloud Audit Logs puoi gestire le autorizzazioni per le singole chiavi e monitorarne l'utilizzo.
Posso memorizzare i segreti?
Cloud KMS archivia le chiavi e i metadati delle chiavi e non un'API generale di archiviazione dei dati. Secret Manager è Consigliato per archiviare e accedere a dati sensibili da utilizzare in Google Cloud.
Esiste uno SLA?
Sì, vedi l'Accordo sul livello del servizio di Cloud KMS.
Come faccio a inviare un feedback su un prodotto?
Contatta il team tecnico all'indirizzo cloudkms-feedback@google.com.
Come faccio a inviare un feedback sulla documentazione?
Mentre visualizzi la documentazione di Cloud KMS, fai clic su Invia feedback accanto a in alto a destra nella pagina. Si aprirà un modulo di feedback.
Se ho bisogno di assistenza, quali sono le opzioni a mia disposizione?
Invitiamo i nostri utenti a pubblicare le loro domande su Stack Overflow. Insieme a la community attiva di Stack Overflow, il nostro team monitora attivamente pubblica e risponde alle domande con il tag google-cloud-kms.
Offriamo inoltre diversi livelli di assistenza a seconda delle esigenze. Per ulteriori delle opzioni di assistenza, vedi i nostri pacchetti di assistenza per Google Cloud.
Cloud KMS prevede quote?
Sì. Per informazioni sulle quote, inclusa la visualizzazione o la richiesta di vedi Quote di Cloud KMS.
Non sono previsti limiti al numero di chiavi, keyring o versioni delle chiavi. Inoltre, non sono previsti limiti al numero di chiavi per keyring e di versioni delle chiavi per chiave.
In quali paesi posso utilizzare Cloud KMS?
Puoi utilizzare Cloud KMS in qualsiasi paese in cui i servizi Google Cloud sono supportati.
Chiavi
Quali tipi di chiavi vengono generati da Cloud KMS?
Consulta Scopi e algoritmi principali.
Le chiavi sono archiviate in un HSM?
Le chiavi con livello di protezione HSM sono memorizzate in un modulo di sicurezza hardware
(HSM).
Le chiavi con livello di protezione SOFTWARE sono memorizzate nel software.
Una chiave supportata da HSM non persiste mai al di fuori di un HSM.
A quali standard rispettano le chiavi?
Chiavi generate in Cloud KMS e nelle operazioni di crittografia eseguite con queste chiavi devono essere conformi al Federal Information Processing Standard (FIPS) pubblicazione Requisiti di sicurezza per i moduli crittografici 140-2.
Le chiavi sono state generate con livello di protezione
SOFTWAREe la crittografia operazioni eseguite, sono conformi allo standard FIPS 140-2 Livello 1.Chiavi generate con livello di protezione
HSMe operazioni crittografiche devono essere conformi allo standard FIPS 140-2 Livello 3.Per le chiavi generate all'esterno di Cloud KMS e quindi importati, i clienti con requisiti FIPS sono tenuti a garantire che le loro chiavi vengono generate secondo una modalità conforme a FIPS.
Come viene generato il materiale della chiave?
Le chiavi protette da software di Cloud KMS vengono generate utilizzando libreria crittografica comune mediante un generatore di numeri casuali (RNG) creato in tutti i canali Google. Le chiavi protette da HSM vengono generate in modo sicuro da HSM, convalidato per soddisfare lo standard FIPS 140-2 Livello 3.
Quale libreria viene utilizzata per generare il materiale delle chiavi?
Le chiavi Cloud KMS vengono generate utilizzando la tecnologia crittografica comune di Google che implementa gli algoritmi crittografici utilizzando BoringSSL. Per Per ulteriori informazioni, consulta la libreria crittografica comune di Google.
Le chiavi sono vincolate a una posizione geografica?
Le chiavi appartengono a una regione, ma non sono vincolate a questa regione. Per ulteriori informazioni consulta Località di Cloud KMS.
Posso eliminare automaticamente le chiavi?
No.
Posso ruotare automaticamente i tasti?
Per le chiavi utilizzate per la crittografia simmetrica, sì. Consulta Rotazione automatica: impostazione del periodo di rotazione per una chiave.
Per le chiavi utilizzate per la crittografia asimmetrica o la firma asimmetrica, no. Per saperne di più, consulta Considerazioni sulla rotazione delle chiavi asimmetriche.
La rotazione della chiave ricripta i dati? Se no, perché?
La rotazione della chiave non ricripta automaticamente i dati. Quando decripta i dati, Cloud KMS sa quale versione della chiave utilizzare per la decriptazione. Come purché la versione della chiave non venga disabilitata o eliminata, Cloud KMS può decriptare i dati protetti con quella chiave.
Perché non riesco a eliminare chiavi o keyring?
Per evitare collisioni di nomi delle risorse, il keyring e le risorse delle chiavi NON POSSONO eliminati. Non possono essere eliminate neppure le versioni delle chiavi, ma è possibile eliminarne il materiale in modo che le risorse non vengano più utilizzate. Per ulteriori informazioni, consulta Durata degli oggetti. La fatturazione è basata sul numero di account le versioni delle chiavi; se elimini tutto il materiale della versione della chiave attiva, non viene addebitato alcun costo per i keyring, le chiavi e le versioni delle chiavi rimanenti.
Posso esportare le chiavi?
No. Per impostazione predefinita, le chiavi non sono esportabili da Cloud KMS. Tutti la crittografia e la decrittografia con queste chiavi devono essere eseguite all'interno di Cloud KMS. Ciò contribuisce a evitare fughe di dati e usi impropri e consente Cloud KMS per emettere un audit trail quando vengono utilizzate le chiavi.
Posso importare le chiavi?
Sì. Puoi eseguire l'importazione solo nelle chiavi con livello di protezione HSM o SOFTWARE.
Per ulteriori informazioni, consulta la sezione Importazione di una chiave.
Separatamente da Cloud KMS, i seguenti prodotti supportano Funzionalità della chiave di crittografia fornita dal cliente (CSEK).
| Prodotto | Argomento CSEK |
|---|---|
| Compute Engine | Crittografia dei dischi con chiavi di crittografia fornite dal cliente |
| Cloud Storage | Utilizzo delle chiavi di crittografia fornite dal cliente |
Dopo quanto tempo ho eliminato la versione di una chiave, posso ripristinarla?
Dopo aver pianificato l'eliminazione di una versione della chiave, verrà visualizzato un periodo di tempo predefinito 30 giorni prima che la versione della chiave venga effettivamente eliminata. Il periodo di tempo precedente a quando una versione della chiave viene eliminata è configurabile. Durante questo periodo, se necessario, puoi ripristinare la versione della chiave.
Posso modificare il periodo di 30 giorni prima dell'eliminazione di una chiave pianificata?
Sì, puoi configurare la durata prima dell'eliminazione della chiave. Tieni presente che puoi impostare la durata solo al momento della creazione della chiave.
Quando apporto modifiche a una chiave, quanto velocemente vengono applicate?
Alcune operazioni alle risorse Cloud KMS sono a elevata coerenza, mentre gli altri sono a coerenza finale e la propagazione può richiedere fino a 3 ore. Per ulteriori dettagli, vedi Coerenza delle risorse di Cloud KMS.
Perché la mia chiave è in stato PENDING_GENERATION?
A causa dei costi della CPU legati alla generazione del materiale delle chiavi, la creazione di una struttura di firma o della chiave di crittografia asimmetrica potrebbero richiedere alcuni minuti. Legenda protette da un modulo di sicurezza hardware (HSM) richiedono anch'essi nel tempo. Quando una versione della chiave appena creata è pronta, il suo stato viene automaticamente cambia in ABILITATO.
Autorizzazione e autenticazione
Come faccio a eseguire l'autenticazione nell'API Cloud KMS?
Le modalità di autenticazione dei client possono variare leggermente a seconda della piattaforma utilizzata mentre il codice è in esecuzione. Per maggiori dettagli, consulta Accesso all'API.
Quali ruoli IAM devo utilizzare?
Per applicare il principio del privilegio minimo, assicurati che l'utente e il servizio gli account della tua organizzazione dispongono solo delle autorizzazioni essenziali per eseguire le funzioni previste. Per ulteriori informazioni, consulta la sezione Separazione dei compiti.
Quanto rapidamente viene rimossa un'autorizzazione IAM?
La rimozione di un'autorizzazione dovrebbe essere effettiva entro meno di un'ora.
Vari
Che cosa sono i dati autenticati aggiuntivi e quando dovrei utilizzarli?
Per dati autenticati aggiuntivi (AAD) si intende qualsiasi stringa che passi Cloud KMS nell'ambito di una richiesta di crittografia o decriptazione. È utilizzato come un controllo dell'integrità e può aiutare a proteggere i dati da un vicepresidente confuso un attacco informatico. Per ulteriori informazioni, vedi Dati autenticati aggiuntivi.
I log di accesso ai dati sono abilitati per impostazione predefinita? Come faccio ad abilitare i log di accesso ai dati?
I log di accesso ai dati non sono abilitati per impostazione predefinita. Per ulteriori informazioni, vedi Attivazione dei log di accesso ai dati.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi degli account di servizio?
Le chiavi dell'account di servizio vengono utilizzate per l'autenticazione da servizio a servizio all'interno di in Google Cloud. Le chiavi dell'account di servizio non sono correlate a Cloud KMS chiave.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi API?
Una chiave API è una semplice stringa criptata che può essere utilizzata per chiamare alcune API che non necessitano dell'accesso a dati privati dell'utente. Monitoraggio chiavi API Richieste API associate al tuo progetto per quota e fatturazione. Le chiavi API sono non correlati alle chiavi Cloud KMS.
Disponi di ulteriori dettagli sugli HSM utilizzati da Cloud HSM?
Tutti i dispositivi HSM sono prodotti da Marvell (ex Cavium). La Il certificato FIPS per i dispositivi è disponibile sul sito web del NIST.