Domande frequenti su Cloud KMS

Informazioni su Cloud KMS

Che cos'è Cloud KMS? Cosa può fare?

Cloud Key Management Service (Cloud KMS) è un servizio di gestione dei token ospitato nel cloud che consente di gestire la crittografia per i servizi cloud esattamente come si gestisce la crittografia on-premise. Puoi generare, utilizzare, ruotare ed eliminare chiavi di crittografia. Cloud KMS è integrato con Identity and Access Management (IAM) e Cloud Audit Logs per consentirti di gestire le autorizzazioni per le singole chiavi e monitorarne l'utilizzo.

Posso archiviare i secret?

Cloud KMS archivia chiavi e metadati relativi alle chiavi e non dispone di un'API generale per l'archiviazione di dati. Secret Manager è consigliato per l'archiviazione e l'accesso ai dati sensibili da utilizzare in Google Cloud.

C'è uno SLA?

Sì, vedi Accordo sul livello del servizio di Cloud KMS.

Come faccio a fornire un feedback sul prodotto?

Contatta il team di tecnici all'indirizzo cloudkms-feedback@google.com.

Come faccio a fornire un feedback sulla documentazione?

Durante la visualizzazione della documentazione di Cloud KMS, fai clic su Invia feedback nella parte in alto a destra della pagina. Si aprirà un modulo di feedback.

Se ho bisogno di assistenza, quali sono le opzioni a mia disposizione?

Invitiamo i nostri utenti a pubblicare le loro domande su Stack Overflow. Insieme alla community attiva di Stack Overflow, il nostro team monitora attivamente i post di Stack Overflow e risponde alle domande con il tag google-cloud-kms.

Inoltre, offriamo diversi livelli di assistenza in base alle tue esigenze. Per ulteriori opzioni di assistenza, consulta i nostri Pacchetti di assistenza Google Cloud.

Cloud KMS ha quote?

Sì. Per informazioni sulle quote, incluse la visualizzazione o la richiesta di quote aggiuntive, consulta le quote di Cloud KMS.

Non esiste alcun limite al numero di chiavi, a keyring o versioni. Inoltre, non c'è limite al numero di chiavi per keyring e alle versioni delle chiavi.

In quali paesi posso utilizzare Cloud KMS?

Puoi utilizzare Cloud KMS in tutti i paesi in cui sono supportati i servizi Google Cloud.

Chiavi

Che tipo di chiave genera Cloud KMS?

Consulta gli scopi e gli algoritmi principali.

Le chiavi sono archiviate in un HSM?

Le chiavi con il livello di protezione HSM sono archiviate in un modulo di sicurezza hardware (HSM).

Le chiavi con livello di protezione SOFTWARE sono memorizzate nel software.

Una chiave supportata da HSM non persiste mai al di fuori di un HSM.

A quali standard rispettano i token?

Le chiavi generate in Cloud KMS e le operazioni crittografiche eseguite con tali chiavi sono conformi alla pubblicazione FIPS (Federal Information Processing Standard) Requisiti di sicurezza per i moduli crittografici 140-2.

  • Le chiavi generate con livello di protezione SOFTWARE e le operazioni crittografiche eseguite con tali dispositivi sono conformi al livello 1 FIPS 140-2.

  • Le chiavi generate con livello di protezione HSM e le operazioni crittografiche eseguite con tali livelli sono conformi al livello 3 FIPS 140-2.

  • Per le chiavi generate al di fuori di Cloud KMS e poi importate, i clienti in possesso dei requisiti FIPS devono assicurarsi che le chiavi siano generate in modo conforme a FIPS.

Come viene generato il materiale chiave?

Le chiavi dei software protette da Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google mediante un generatore di numeri casuali (RNG) creato da Google. Le chiavi protette da HSM vengono generate in modo sicuro da HSM, che è stato convalidato per soddisfare il livello 3 FIPS 140-2.

Quale libreria viene utilizzata per generare il materiale chiave?

Le chiavi di Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google che implementa gli algoritmi crittografici utilizzando BoringSSL. Per ulteriori informazioni, consulta la libreria crittografica comune di Google.

Le chiavi sono vincolate a una posizione geografica?

Le chiavi appartengono a un'area geografica, ma non sono vincolate a tale area. Per ulteriori informazioni, consulta le località di Cloud KMS.

Posso eliminare automaticamente le chiavi?

N.

Posso eseguire la rotazione automatica delle chiavi?

Sì, per le chiavi utilizzate per la crittografia simmetrica. Consulta la pagina Rotazione automatica: impostazione del periodo di rotazione per una chiave.

Per le chiavi utilizzate per la crittografia asimmetrica o la firma asimmetrica, no. Per ulteriori informazioni, consulta Considerazioni sulla rotazione delle chiavi asimmetriche.

La rotazione della chiave esegue nuovamente la crittografia dei dati? Se no, perché?

La rotazione chiavi non ricripta automaticamente i dati. Quando decripti i dati, Cloud KMS sa quale versione della chiave utilizzare per la decriptazione. Finché una versione della chiave non è disabilitata o eliminata, Cloud KMS può decriptare i dati protetti con tale chiave.

Perché non posso eliminare chiavi o keyring?

Per evitare conflitti tra i nomi delle risorse, i keyring e le risorse delle chiavi NON POSSONO essere eliminati. Non possono essere eliminate neppure le versioni delle chiavi, ma è possibile eliminarne il materiale in modo che le risorse non vengano più utilizzate. Per ulteriori informazioni, consulta la sezione Numero di oggetti. La fatturazione è basata sul numero di versioni delle chiavi attive; se distruggi tutto il materiale delle versioni delle chiavi attive, non vengono addebitati costi per keyring, chiavi e versioni delle chiavi rimanenti.

Posso esportare le chiavi?

No. Le chiavi non sono esportabili da Cloud KMS. Tutte le operazioni di crittografia e decriptazione con queste chiavi devono essere eseguite in Cloud KMS. In questo modo si evitano fughe di dati e usi impropri e consenti a Cloud KMS di emettere un audit trail quando vengono utilizzate le chiavi.

Posso importare le chiavi?

Sì. Puoi importare solo in chiavi con livello di protezione HSM o SOFTWARE. Per ulteriori informazioni, consulta la sezione Importare una chiave.

Separatamente da Cloud KMS, i seguenti prodotti supportano la chiave di crittografia fornita dal cliente (CSEK).

Prodotto Argomento CSEK
Compute Engine Crittografia dei dischi con chiavi di crittografia fornite dal cliente
Cloud Storage Utilizzo delle chiavi di crittografia fornite dal cliente

Dopo quanto tempo ho distrutto una versione della chiave, posso ripristinarla?

Dopo aver pianificato l'eliminazione di una versione della chiave, hai un periodo di tempo predefinito di 24 ore prima che la versione della chiave venga effettivamente eliminata. Il periodo di tempo prima che una versione della chiave venga eliminata è configurabile. In questo periodo, se necessario, puoi ripristinare la versione della chiave.

Posso modificare il periodo di 24 ore prima che una chiave pianificata venga eliminata?

Sì, puoi configurare il periodo di tempo prima che la chiave venga eliminata. Tieni presente che puoi impostare la durata solo al momento della creazione della chiave.

Quando apporto modifiche a una chiave, con quale rapidità vengono applicate?

Alcune operazioni alle risorse Cloud KMS sono coerenti, mentre altre sono coerenti e la propagazione può richiedere fino a tre ore. Per maggiori dettagli, consulta la coerenza della risorsa di Cloud KMS.

Perché la mia chiave è nello stato PENDING_GENERATION?

A causa del costo di CPU di generazione del materiale della chiave, la creazione di una versione della firma asimmetrica o della chiave di crittografia asimmetrica potrebbe richiedere alcuni minuti. Anche le versioni delle chiavi protette da un modulo di sicurezza hardware (HSM) richiedono del tempo. Quando una versione della chiave appena creata è pronta, il suo stato viene modificato automaticamente in ATTIVATA.

Autorizzazione e autenticazione

Come faccio ad autenticarmi all'API Cloud KMS?

La modalità di autenticazione dei client può variare leggermente in base alla piattaforma su cui viene eseguito il codice. Per maggiori dettagli, consulta l'articolo sull'accesso all'API.

Quali ruoli IAM devo utilizzare?

Per applicare il principio del privilegio minimo, assicurati che gli account utente e di servizio della tua organizzazione dispongano delle autorizzazioni necessarie per eseguire le funzioni previste. Per ulteriori informazioni, vedi Separazione dei compiti.

Quanto tempo occorre per rimuovere un'autorizzazione IAM?

La rimozione di un'autorizzazione dovrebbe essere applicata entro meno di un'ora.

Vari

Che cosa sono i dati autenticati aggiuntivi e quando devo utilizzarli?

I dati autenticati aggiuntivi (AAD) sono stringhe precedute da Cloud KMS nell'ambito di una richiesta di crittografia o decriptazione. Viene usato come controllo dell'integrità e può aiutarti a proteggere i tuoi dati da un attacco confuso. Per saperne di più, vedi Dati autenticati aggiuntivi.

I log di accesso ai dati sono abilitati per impostazione predefinita? Come faccio ad attivare i log di accesso ai dati?

I log di accesso ai dati non sono attivi per impostazione predefinita. Per ulteriori informazioni, consulta la pagina relativa all'abilitazione dei log di accesso ai dati.

Qual è la relazione tra le chiavi Cloud KMS e le chiavi degli account di servizio?

Le chiavi account di servizio vengono utilizzate per l'autenticazione da servizio a servizio all'interno di Google Cloud. Le chiavi degli account di servizio non sono correlate alle chiavi di Cloud KMS.

Qual è la relazione tra chiavi Cloud KMS e chiavi API?

Una chiave API è una semplice stringa criptata che può essere utilizzata durante la chiamata di determinate API che non richiedono l'accesso ai dati utente privati. Le chiavi API monitorano le richieste API associate al tuo progetto per la quota e la fatturazione. Le chiavi API non sono correlate alle chiavi Cloud KMS.