Cloud KMS
Was ist Cloud KMS? Wie funktioniert Cloud KMS?
Cloud Key Management Service (Cloud KMS) ist ein in der Cloud gehosteter Schlüsselverwaltungsdienst, mit dem Sie die Verschlüsselung Ihrer Clouddienste genauso verwalten können wie lokal bei Ihnen vor Ort. Sie können kryptografische Schlüssel generieren, verwenden, rotieren und löschen. Cloud KMS ist in Identity and Access Management (IAM) und Cloud-Audit-Logging eingebunden, sodass Sie Berechtigungen für einzelne Schlüssel verwalten und deren Verwendung im Blick behalten können.
Kann ich Secrets speichern?
Cloud KMS speichert Schlüssel und Metadaten zu Schlüsseln und hat keine allgemeine Datenspeicher-API. Secret Manager wird zum Speichern und Zugreifen auf vertrauliche Daten zur Verwendung in Google Cloud empfohlen.
Gibt es ein SLA?
Ja, siehe Cloud Key Management Service (Cloud KMS) Service Level Agreement (SLA).
Wie gebe ich Feedback zum Produkt?
Kontaktieren Sie das Entwicklerteam unter cloudkms-feedback@google.com.
Wie gebe ich Feedback zur Dokumentation?
Klicken Sie beim Anzeigen der Cloud KMS-Dokumentation oben rechts auf der Seite auf Feedback geben. Dadurch öffnet sich ein Feedbackformular.
Welche Möglichkeiten habe ich, wenn ich Hilfe brauche?
Nutzer können Fragen in Stack Overflow stellen. Zusammen mit der Stack Overflow-Community überwacht unser Team aktiv die in Stack Overflow geposteten Beiträge und beantwortet Fragen mit dem Tag google-cloud-kms.
Je nach Ihren Anforderungen bieten wir verschiedene Supportstufen an. Weitere Supportoptionen finden Sie in unseren Google Cloud-Supportpaketen.
Gelten bei Cloud KMS irgendwelche Kontingente?
Ja. Informationen zu Kontingenten, einschließlich Aufrufen oder Anfordern zusätzlicher Kontingente, finden Sie unter Cloud KMS-Kontingente.
Es gibt keine Beschränkung für die Anzahl der Schlüssel, Schlüsselbunde oder Schlüsselversionen. Darüber hinaus gibt es keine Beschränkung für die Anzahl der Schlüssel pro Schlüsselbund und die Schlüsselversionen pro Schlüssel.
In welchen Ländern kann ich Cloud KMS verwenden?
Sie können Cloud KMS in jedem Land verwenden, in dem Google Cloud-Dienste unterstützt werden.
Schlüssel
Welche Art von Schlüssel generiert Cloud KMS?
Siehe Schlüsselzwecke und Algorithmen.
Werden Schlüssel in einem HSM gespeichert?
Schlüssel mit dem Schutzniveau HSM werden in einem Hardware Security Module (HSM) gespeichert.
Schlüssel mit dem Schutzniveau SOFTWARE werden in Software gespeichert.
Ein HSM-gestützter Schlüssel bleibt nie außerhalb eines HSM bestehen.
Welchen Standards entsprechen die Schlüssel?
In Cloud KMS generierte Schlüssel und die mit diesen Schlüsseln durchgeführten kryptografischen Vorgänge entsprechen der FIPS (Federal Information Processing Standard)-Veröffentlichung Sicherheitsanforderungen für kryptografische Module 140–2.
Schlüssel, die mit der Schutzstufe
SOFTWAREgeneriert wurden, und die damit durchgeführten kryptografischen Vorgänge entsprechen FIPS 140-2 Level 1.Schlüssel, die mit der Schutzstufe
HSMgeneriert wurden, und die damit durchgeführten kryptografischen Vorgänge entsprechen FIPS 140-2 Level 3.Bei Schlüsseln, die außerhalb von Cloud KMS generiert und dann importiert werden, sind Kunden mit FIPS-Anforderungen dafür verantwortlich, dass ihre Schlüssel FIPS-konform generiert werden.
Wie wird das Schlüsselmaterial generiert?
Mit Cloud KMS per Software geschützte Schlüssel werden mit der kryptografischen Bibliothek und einem von Google entwickelten Zufallszahlengenerator (Random Number Generator, RNG) generiert. HSM-geschützte Schlüssel werden sicher vom HSM generiert, das FIPS 140–2 Level 3 entspricht.
Welche Bibliothek wird verwendet, um Schlüsselmaterial zu generieren?
Cloud KMS-Schlüssel werden mithilfe der allgemeinen kryptografischen Bibliothek von Google generiert, die kryptografische Algorithmen mithilfe von BoringSSL implementiert. Weitere Informationen finden Sie unter Allgemeine kryptografische Bibliothek von Google.
Sind Schlüssel an einen geografischen Ort gebunden?
Schlüssel gehören zu einer Region, sind jedoch nicht auf diese Region beschränkt. Weitere Informationen finden Sie unter Cloud KMS-Standorte.
Kann ich Schlüssel automatisch löschen?
Nein.
Kann ich Schlüssel automatisch rotieren?
Schlüssel, die für die symmetrische Verschlüsselung verwendet werden, ja. Weitere Informationen finden Sie unter Automatische Rotation: Rotationszeitraum für einen Schlüssel festlegen.
Schlüssel, die für die asymmetrische Verschlüsselung oder asymmetrische Signaturen verwendet werden, nein. Weitere Informationen finden Sie unter Überlegungen zur asymmetrischen Schlüsselrotation.
Werden bei der Schlüsselrotation die Daten neu verschlüsselt? Wenn nein, warum nicht?
Die Schlüsselrotation verschlüsselt die Daten nicht automatisch neu. Beim Entschlüsseln von Daten weiß Cloud KMS, welche Schlüsselversion für die Entschlüsselung verwendet werden soll. Solange eine Schlüsselversion nicht deaktiviert oder gelöscht wird, kann Cloud KMS mit diesem Schlüssel geschützte Daten entschlüsseln.
Warum kann ich Schlüssel oder Schlüsselbunde nicht löschen?
Um Kollisionen von Ressourcennamen zu verhindern, dürfen der Schlüsselbund und die Schlüsselressourcen NICHT gelöscht werden. Obwohl Schlüsselversionen ebenfalls nicht gelöscht werden können, kann Schlüsselversionsmaterial gelöscht werden, damit die Ressourcen nicht mehr verwendet werden können. Weitere Informationen finden Sie unter Lebensdauer von Objekten. Die Abrechnung basiert auf der Zahl der aktiven Schlüsselversionen. Wenn Sie das gesamte aktive Schlüsselversionsmaterial vernichten, fallen für die verbleibenden Schlüsselbunde, Schlüssel und Schlüsselversionen keine Gebühren an.
Kann ich Schlüssel exportieren?
Nein. Schlüssel können aus Cloud KMS nicht exportiert werden. Alle Ver- und Entschlüsselungen mit diesen Schlüsseln müssen innerhalb von Cloud KMS erfolgen. Auf diese Weise werden Sicherheitslücken und Missbrauch vermieden. Darüber hinaus wird Cloud KMS in die Lage versetzt, bei der Verwendung von Schlüsseln Audit-Trails auszugeben.
Kann ich Schlüssel importieren?
Ja. Sie können nur Schlüssel mit Schutzniveau HSM oder SOFTWARE importieren.
Weitere Informationen finden Sie unter Schlüssel importieren.
Neben Cloud KMS unterstützen folgende Produkte die CSEK-Funktion (Customer-Supplied Encryption Key, vom Kunden bereitgestellter Schlüssel).
| Produkt | CSEK-Thema |
|---|---|
| Compute Engine | Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln |
| Cloud Storage | Vom Kunden bereitgestellte Verschlüsselungsschlüssel verwenden |
Wie lange kann ich eine Schlüsselversion wiederherstellen, nachdem ich sie gelöscht habe?
Nachdem Sie das Löschen einer Schlüsselversion geplant haben, gilt ein Standardzeitraum von 24 Stunden, bevor die Schlüsselversion tatsächlich gelöscht wird. Der Zeitraum vor dem Löschen einer Schlüsselversion ist konfigurierbar. Während dieser Zeit können Sie bei Bedarf die Schlüsselversion wiederherstellen.
Kann ich den Zeitraum von 24 Stunden, bis ein vorgemerkter Schlüssel gelöscht wird, ändern?
Ja, Sie können die Zeitspanne bis zum Löschen des Schlüssels configure. Beachten Sie, dass Sie die Dauer nur bei der Schlüsselerstellung festlegen können.
Wie schnell werden die Änderungen an einem Schlüssel wirksam?
Einige Vorgänge für Cloud KMS-Ressourcen sind stark konsistent. Andere sind letztendlich konsistent. Bei letzteren kann es bis zu 3 Stunden dauern, bis Änderungen wirksam werden. Weitere Informationen finden Sie unter Konsistenz von Cloud KMS-Ressourcen.
Warum hat mein Schlüssel den Status PENDING_GENERATION?
Aufgrund der CPU-Kosten für die Generierung von Schlüsselmaterial kann die Erstellung einer asymmetrischen Signatur oder der Version eines asymmetrischen Verschlüsselungsschlüssels einige Minuten dauern. Schlüsselversionen, die durch ein Hardwaresicherheitsmodul (HSM) gesichert sind, benötigen ebenfalls einige Zeit. Sobald eine neu erstellte Schlüsselversion bereit ist, ändert sich ihr Status automatisch in ENABLED.
Autorisierung und Authentifizierung
Wie authentifiziere ich mich bei der Cloud KMS API?
Wie sich Clients authentifizieren, hängt von der Plattform ab, auf der der Code ausgeführt wird. Weitere Informationen finden Sie unter Zugriff auf die API.
Welche IAM-Rollen soll ich verwenden?
Sorgen Sie dafür, dass die Nutzer- und Dienstkonten in Ihrer Organisation ausschließlich Berechtigungen haben, die für die Ausführung der vorgesehenen Funktionen erforderlich sind, um das Prinzip der geringsten Berechtigung durchzusetzen. Weitere Informationen finden Sie unter Aufgabentrennung.
Wie schnell wird eine IAM-Berechtigung entfernt?
Die Entfernung einer Berechtigung sollte in weniger als einer Stunde wirksam sein.
Sonstiges
Was sind zusätzliche authentifizierte Daten und wann sollte ich sie verwenden?
Zusätzliche authentifizierte Daten (Additional Authenticated Data, AAD) sind beliebige Strings, die Sie bei einer Verschlüsselungs- oder Entschlüsselungsanfrage an den Cloud KMS übergeben. Sie werden als Integritätsprüfung verwendet und können dabei helfen, Ihre Daten vor einer Confused Deputy Attack zu schützen. Weitere Informationen finden Sie unter Zusätzliche authentifizierte Daten.
Sind Datenzugriffslogs standardmäßig aktiviert? Wie aktiviere ich Datenzugriffslogs?
Datenzugriffslogs werden nicht standardmäßig aktiviert. Weitere Informationen finden Sie unter Datenzugriffslogs aktivieren.
Wie hängen Cloud KMS-Schlüssel mit Dienstkontoschlüsseln zusammen?
Dienstkontoschlüssel werden für die Dienst-zu-Dienst-Authentifizierung in Google Cloud verwendet. Dienstkontoschlüssel stehen in keinem Zusammenhang mit Cloud KMS-Schlüsseln.
Wie hängen Cloud KMS-Schlüssel mit API-Schlüsseln zusammen?
Ein API-Schlüssel ist ein einfach verschlüsselter String, der beim Aufrufen bestimmter APIs verwendet werden kann, die nicht auf private Nutzerdaten zugreifen müssen. API-Schlüssel verfolgen Ihrem Projekt zugeordnete API-Anfragen für Kontingente und die Abrechnung. API-Schlüssel stehen nicht in Zusammenhang mit Cloud KMS-Schlüsseln.
Haben Sie weitere Informationen zu den von Cloud HSM verwendeten HSMs?
Alle HSM-Geräte werden von Marvell (ehemals Cavium) hergestellt. Das FIPS-Zertifikat für die Geräte finden Sie auf der NIST-Website.