FAQ zu Cloud KMS

Über Cloud KMS

Was ist Cloud KMS? Wie funktioniert Cloud KMS?

Cloud KMS ist ein in der Cloud gehosteter Schlüsselverwaltungsdienst, der es Ihnen ermöglicht, die Verschlüsselung Ihrer Clouddienste genauso wie vor Ort zu verwalten. Sie können kryptografische Schlüssel generieren, verwenden, rotieren und löschen. Cloud KMS ist in Cloud Identity and Access Management und Cloud-Audit-Logging integriert. Sie haben dadurch die Möglichkeit, Berechtigungen für einzelne Schlüssel zu verwalten und die Verwendung der Schlüssel zu überwachen.

Kann ich Secrets speichern?

Mit Cloud KMS können Sie Secrets verschlüsseln, die Sie an anderer Stelle speichern. Beispielsweise können Sie ein Secret in einem Cloud Storage-Bucket speichern. Weitere Informationen finden Sie unter Secrets speichern.

Gibt es ein SLA?

Ja, siehe Cloud Key Management Service (Cloud KMS) Service Level Agreement (SLA).

Wie gebe ich Feedback zum Produkt?

Kontaktieren Sie das Entwicklerteam unter cloudkms-feedback@google.com.

Wie gebe ich Feedback zur Dokumentation?

Klicken Sie beim Anzeigen der Cloud KMS-Dokumentation oben rechts auf der Seite auf Feedback geben. Dadurch öffnet sich ein Feedbackformular.

Welche Möglichkeiten habe ich, wenn ich Hilfe brauche?

Nutzer können Fragen in Stack Overflow stellen. Zusammen mit der Stack Overflow-Community überwacht unser Team aktiv die in Stack Overflow geposteten Beiträge und beantwortet Fragen mit dem Tag google-cloud-kms.

Je nach Ihren Anforderungen bieten wir verschiedene Supportstufen an. Informationen über zusätzliche Supportoptionen finden Sie unter Cloud Platform-Supportoptionen.

Gelten bei Cloud KMS irgendwelche Kontingente?

Ja, Cloud KMS hat Kontingente für die folgenden Vorgänge:

  • Leseanfragen: Die Anzahl der Leseanfragen für Schlüssel, Schlüsselbund und Schlüsselversion pro Minute.

  • Schreibanfragen: Die Anzahl der Schreibanfragen für Schlüssel, Schlüsselbund und Schlüsselversion pro Minute.

  • Kryptographische Anfragen: Die Anzahl der Verschlüsselungs- und Entschlüsselungsanfragen pro Minute.

Wie finde ich heraus, wie viel ich vom Kontingent verwendet habe oder wie viel ich noch übrig habe?

Sie können das Kontingent Ihres aktuellen Projekts auf der Seite Cloud KMS-Kontingente der Google Cloud Platform Console anzeigen.

Wie fordere ich ein höheres Kontingent an?

Sie können Ihre Kontingente (bis zu einer bestimmten Höhe) auf der Seite Cloud KMS-Kontingente der GCP Console automatisch erhöhen. Wenn Sie Ihr Kontingent weiter erhöhen möchten, können Sie ein höheres Kontingent beantragen.

Gibt es ein Limit für die Anzahl der Schlüssel oder anderer Cloud KMS-Ressourcen, die ich haben kann?

Nein. Es gibt kein Limit für Schlüssel, Schlüsselbunde oder Schlüsselversionen. Auch die möglichen Schlüssel pro Schlüsselbund und Schlüsselversionen pro Schlüssel sind unbegrenzt.

In welchen Ländern kann ich Cloud KMS verwenden?

Sie können Cloud KMS in jedem Land verwenden, in dem Google Cloud Platform-Dienste unterstützt werden.

Schlüssel

Welche Art von Schlüssel generiert Cloud KMS?

Siehe Schlüsselzwecke und Algorithmen.

Werden Schlüssel über ein HSM gesichert?

Schlüssel mit dem Schutzniveau HSM werden über ein Hardwaresicherheitsmodul (HSM) gesichert, Schlüssel mit dem Schutzniveau SOFTWARE hingegen nicht.

Wie wird das Schlüsselmaterial generiert?

Mit Cloud KMS per Software geschützte Schlüssel werden mit der kryptografischen Bibliothek und einem von Google entwickelten Zufallszahlengenerator (Random Number Generator, RNG) generiert. HSM-geschützte Schlüssel werden sicher vom HSM generiert, das FIPS 140-2 L3 entspricht.

Welche Bibliothek wird verwendet, um Schlüsselmaterial zu generieren?

Cloud KMS-Schlüssel werden mithilfe der allgemeinen kryptografischen Bibliothek von Google generiert, die kryptografische Algorithmen mithilfe von BoringSSL implementiert. Weitere Informationen finden Sie unter Allgemeine kryptografische Bibliothek von Google.

Sind Schlüssel an einen geografischen Ort gebunden?

Schlüssel gehören zu einer Region, sind jedoch nicht auf diese Region beschränkt. Weitere Informationen finden Sie unter Cloud KMS-Standorte.

Kann ich Schlüssel automatisch löschen?

Nein.

Kann ich Schlüssel automatisch rotieren?

Schlüssel mit dem Schlüsselzweck ENCRYPT_DECRYPT, ja. Weitere Informationen finden Sie unter Automatische Rotation: Rotationszeitraum für einen Schlüssel festlegen.

Schlüssel mit dem Schlüsselzweck ASYMMETRIC_SIGN oder ASYMMETRIC_DECRYPT, nein. Weitere Informationen finden Sie unter Asymmetrische Schlüsselrotation.

Werden bei der Schlüsselrotation die Daten neu verschlüsselt? Wenn nein, warum nicht?

Die Schlüsselrotation verschlüsselt die Daten nicht automatisch neu. Beim Entschlüsseln von Daten weiß Cloud KMS, welche Schlüsselversion für die Entschlüsselung verwendet werden soll. Solange eine Schlüsselversion nicht deaktiviert oder gelöscht wird, kann Cloud KMS die Schlüsselversion für die Entschlüsselung verwenden.

Warum kann ich Schlüssel oder Schlüsselbunde nicht löschen?

Um Kollisionen von Ressourcennamen zu verhindern, dürfen der Schlüsselbund und die Schlüsselressourcen NICHT gelöscht werden. Obwohl Schlüsselversionen ebenfalls nicht gelöscht werden können, kann Schlüsselversionsmaterial gelöscht werden, damit die Ressourcen nicht mehr verwendet werden können. Weitere Informationen finden Sie unter Lebensdauer von Objekten.

Kann ich Schlüssel exportieren?

Nein. Schlüssel können aus Cloud KMS nicht exportiert werden. Alle Ver- und Entschlüsselungen mit diesen Schlüsseln müssen innerhalb von Cloud KMS erfolgen. Auf diese Weise werden Sicherheitslücken und Missbrauch vermieden. Darüber hinaus wird Cloud KMS in die Lage versetzt, bei der Verwendung von Schlüsseln Audit-Trails auszugeben.

Kann ich Schlüssel importieren?

Nein, Sie können keine Schlüssel in Cloud KMS importieren.

Neben Cloud KMS unterstützen folgende Produkte die CSEK-Funktion (Customer-Supplied Encryption Key, vom Kunden bereitgestellter Schlüssel).

Produkt CSEK-Thema
Compute Engine Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln
Cloud Storage Vom Kunden bereitgestellte Verschlüsselungsschlüssel verwenden

Wie lange kann ich eine Schlüsselversion wiederherstellen, nachdem ich sie gelöscht habe?

Nachdem Sie eine Schlüsselversion zum Löschen vorgemerkt haben, bleiben Ihnen 24 Stunden, bevor die Schlüsselversion tatsächlich gelöscht wird. Während dieser Zeit können Sie bei Bedarf die Schlüsselversion wiederherstellen.

Kann ich den Zeitraum von 24 Stunden, bis ein vorgemerkter Schlüssel gelöscht wird, ändern?

Nein.

Wie schnell werden die Änderungen an einem Schlüssel wirksam?

Einige Vorgänge für Cloud KMS-Ressourcen sind stark konsistent. Andere sind letztendlich konsistent. Bei letzteren kann es bis zu 3 Stunden dauern, bis Änderungen wirksam werden. Weitere Informationen finden Sie unter Konsistenz von Cloud KMS-Ressourcen.

Warum hat mein Schlüssel den Status PENDING_GENERATION?

Aufgrund der CPU-Kosten für die Generierung von Schlüsselmaterial kann die Erstellung einer asymmetrischen Schlüsselversion einige Minuten dauern. Schlüsselversionen, die durch ein Hardwaresicherheitsmodul (HSM) gesichert sind, benötigen ebenfalls einige Zeit. Sobald eine neu erstellte Schlüsselversion bereit ist, ändert sich ihr Status automatisch in ENABLED.

Autorisierung und Authentifizierung

Wie authentifiziere ich mich bei der Cloud KMS API?

Wie sich Clients authentifizieren, hängt von der Plattform ab, auf der der Code ausgeführt wird. Weitere Informationen finden Sie unter Zugriff auf die API.

Welche Cloud IAM-Rollen sollte ich verwenden?

Sorgen Sie dafür, dass die Nutzer- und Dienstkonten in Ihrer Organisation ausschließlich über Berechtigungen verfügen, die für die Ausführung der vorgesehenen Funktionen erforderlich sind, um das Prinzip der geringsten Berechtigung durchzusetzen. Weitere Informationen finden Sie unter Aufgabentrennung.

Wie schnell wird eine Cloud IAM-Berechtigung entfernt?

Die Entfernung einer Berechtigung sollte in weniger als einer Stunde wirksam sein.

Sonstiges

Was sind zusätzliche authentifizierte Daten und wann sollte ich sie verwenden?

Zusätzliche authentifizierte Daten (Additional Authenticated Data, AAD) sind beliebige Strings, die Sie bei einer Verschlüsselungs- oder Entschlüsselungsanfrage an Cloud KMS weiterleiten. Sie werden als Integritätsprüfung verwendet und können dabei helfen, Ihre Daten vor einer Confused Deputy Attack zu schützen. Weitere Informationen finden Sie unter Zusätzliche authentifizierte Daten.

Sind Datenzugriffs-Logs standardmäßig aktiviert? Wie aktiviere ich Datenzugriffs-Logs?

Datenzugriffs-Logs sind nicht standardmäßig aktiviert. Informationen zum Aktivieren von Datenzugriffs-Logs finden Sie unter Datenzugriffs-Logs aktivieren.

Wie hängen Cloud KMS-Schlüssel mit Dienstkontoschlüsseln zusammen?

Dienstkontoschlüssel werden für die Dienst-zu-Dienst-Authentifizierung innerhalb der Google Cloud Platform verwendet.

Wie hängen Cloud KMS-Schlüssel mit API-Schlüsseln zusammen?

API-Schlüssel sind einfache verschlüsselte Strings, die beim Aufruf bestimmter APIs verwendet werden können, die nicht auf private Nutzerdaten zugreifen müssen. Sie werden verwendet, um für Kontingente und die Abrechnung mit Ihrem Projekt verbundene API-Anfragen zu verfolgen. API-Schlüssel stehen nicht in Zusammenhang mit Cloud KMS-Schlüsseln.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Cloud KMS-Dokumentation