Informazioni su Cloud KMS
Che cos'è Cloud KMS? Cosa può fare?
Cloud Key Management Service (Cloud KMS) è un servizio di gestione delle chiavi ospitato nel cloud che consente di gestire la crittografia per i servizi cloud allo stesso modo in cui si fa on-premise. Puoi generare, utilizzare, ruotare ed eliminare le chiavi di crittografia. Cloud KMS è integrato in Identity and Access Management (IAM) e Cloud Audit Logs per gestire le autorizzazioni per le singole chiavi e monitorarne l'utilizzo.
Posso archiviare i secret?
Cloud KMS archivia le chiavi e i metadati relativi alle chiavi e non dispone di un'API generale per l'archiviazione dei dati. Secret Manager è consigliato per l'archiviazione e l'accesso ai dati sensibili da utilizzare in Google Cloud.
Esiste uno SLA?
Sì, consulta l'accordo sul livello del servizio di Cloud KMS.
Come posso fornire un feedback sul prodotto?
Contatta il team tecnico all'indirizzo cloudkms-feedback@google.com.
Come posso fornire un feedback sulla documentazione?
Mentre visualizzi la documentazione di Cloud KMS, fai clic su Invia feedback nella parte in alto a destra della pagina. Si aprirà un modulo di feedback.
Se ho bisogno di assistenza, quali sono le opzioni a mia disposizione?
Invitiamo gli utenti a pubblicare le loro domande su Stack Overflow. Insieme alla community attiva di Stack Overflow, il nostro team monitora attivamente i post di Stack Overflow e risponde alle domande con il tag google-cloud-kms.
Offriamo inoltre diversi livelli di assistenza in base alle esigenze. Per ulteriori opzioni di assistenza, consulta i nostri Pacchetti di assistenza Google Cloud.
Cloud KMS prevede quote?
Sì, Per informazioni sulle quote, tra cui la visualizzazione o la richiesta di quote aggiuntive, consulta le quote di Cloud KMS.
Non esiste alcun limite al numero di chiavi, ai keyring o alle versioni delle chiavi. Inoltre, non c'è limite al numero di chiavi per keyring e alle versioni delle chiavi.
In quali paesi posso utilizzare Cloud KMS?
Puoi utilizzare Cloud KMS in qualsiasi paese in cui sono supportati i servizi Google Cloud.
Chiavi
Che tipo di chiave genera Cloud KMS?
Consulta Scopi e algoritmi principali.
Le chiavi sono archiviate in un HSM?
Le chiavi con livello di protezione HSM vengono memorizzate in un modulo di sicurezza hardware (HSM).
Le chiavi con livello di protezione SOFTWARE sono memorizzate nel software.
Una chiave basata su HSM non persiste mai al di fuori di un HSM.
A quali standard rispettano le chiavi?
Le chiavi generate in Cloud KMS e le operazioni crittografiche eseguite con tali chiavi sono conformi alla pubblicazione FIPS (Federal Information Processing Standard) Requisiti di sicurezza per i moduli crittografici 140-2.
Le chiavi generate con il livello di protezione
SOFTWAREe le operazioni crittografiche eseguite con tali dispositivi sono conformi al livello 1 FIPS 140-2.Le chiavi generate con il livello di protezione
HSMe le operazioni crittografiche eseguite con esse rispettano gli standard FIPS 140-2 livello 3.Per le chiavi che vengono generate al di fuori di Cloud KMS e poi importate, i clienti con requisiti FIPS sono tenuti a garantire che le chiavi vengano generate in modo conforme a FIPS.
Come viene generato il materiale delle chiavi?
Le chiavi protette da software di Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google mediante un generatore di numeri casuali (RNG) creato da Google. Le chiavi protette da HSM vengono generate in modo sicuro da HSM, che è stato convalidato per soddisfare i requisiti FIPS 140-2 di livello 3.
Quale libreria viene utilizzata per generare il materiale della chiave?
Le chiavi di Cloud KMS vengono generate utilizzando la libreria crittografica comune di Google, che implementa algoritmi crittografici con BoringSSL. Per scoprire di più, consulta la libreria crittografica comune di Google.
Le chiavi sono vincolate a una posizione geografica?
Le chiavi appartengono a un'area geografica, ma non sono limitate a quell'area. Per ulteriori informazioni, consulta le località di Cloud KMS.
Posso eliminare automaticamente le chiavi?
N.
Posso ruotare automaticamente le chiavi?
Sì, per le chiavi utilizzate per la crittografia simmetrica. Consulta la pagina Rotazione automatica: imposta il periodo di rotazione di una chiave.
Per le chiavi utilizzate per la crittografia asimmetrica o la firma asimmetrica, no. Per saperne di più, consulta Considerazioni sulla rotazione delle chiavi asimmetriche.
La rotazione delle chiavi cripta di nuovo i dati? In caso contrario, perché?
La rotazione delle chiavi non cripta automaticamente i dati. Quando decripti i dati, Cloud KMS sa quale versione della chiave utilizzare per la decriptazione. Se una versione della chiave non è disabilitata o eliminata, Cloud KMS può decriptare i dati protetti con quella chiave.
Perché non posso eliminare chiavi o keyring?
Per evitare conflitti di nomi di risorse, i keyring e le risorse delle chiavi NON POSSONO essere eliminati. Non possono essere eliminate neppure le versioni delle chiavi, ma è possibile eliminarne il materiale in modo che le risorse non vengano più utilizzate. Per ulteriori informazioni, consulta la sezione Lifetime degli oggetti. La fatturazione si basa sul numero di versioni della chiave attive; se distruggi tutto il materiale della versione della chiave attiva, non sono previsti costi per i keyring, le chiavi e le versioni delle chiavi rimanenti.
Posso esportare le chiavi?
No. Le chiavi non possono essere esportate da Cloud KMS in base alla progettazione. La crittografia e la decriptazione con queste chiavi devono essere eseguite all'interno di Cloud KMS. Questo aiuta a evitare fughe di dati e usi impropri e consente a Cloud KMS di emettere un audit trail quando vengono utilizzate le chiavi.
Posso importare le chiavi?
Sì, Puoi importare chiavi solo in chiavi con livello di protezione HSM o SOFTWARE.
Per ulteriori informazioni, consulta la sezione Importazione di una chiave.
A parte Cloud KMS, i seguenti prodotti supportano la funzionalità Customer-Supplied Encryption Key (CSEK).
| Prodotto | Argomento CSEK |
|---|---|
| Compute Engine | Crittografia dei dischi con chiavi di crittografia fornite dal cliente |
| Cloud Storage | Utilizzare le chiavi di crittografia fornite dal cliente |
Quanto tempo dopo l'eliminazione di una versione della chiave posso recuperarla?
Dopo aver pianificato l'eliminazione di una versione della chiave, hai un periodo di tempo predefinito di 24 ore prima che la versione della chiave venga effettivamente eliminata. Il periodo di tempo prima dell'eliminazione della versione di una chiave è configurabile. Durante quel periodo, se necessario puoi ripristinare la versione della chiave.
Posso modificare il periodo di 24 ore prima dell'eliminazione di una chiave pianificata?
Sì, puoi configurare il periodo di tempo prima che la chiave venga eliminata. Tieni presente che puoi impostare la durata solo al momento della creazione della chiave.
Quando apporto modifiche a una chiave, con quale velocità vengono applicate?
Alcune operazioni sulle risorse Cloud KMS sono a elevata coerenza, mentre altre sono a coerenza finale e la loro propagazione può richiedere fino a 3 ore. Per maggiori dettagli, consulta la coerenza delle risorse di Cloud KMS.
Perché la mia chiave è nello stato PENDING_GENERATION?
A causa del costo di CPU della generazione del materiale della chiave, la creazione di una versione di firma asimmetrica o di una chiave di crittografia asimmetrica può richiedere alcuni minuti. Anche le versioni delle chiavi protette da un modulo di sicurezza hardware (HSM) richiedono tempo. Quando una versione della chiave appena creata è pronta, il suo stato passa automaticamente ad Attivato.
Autorizzazione e autenticazione
Come faccio ad autenticare l'API Cloud KMS?
Il modo in cui i client autenticano può variare leggermente a seconda della piattaforma su cui è in esecuzione il codice. Per maggiori dettagli, consulta l'articolo Accedere all'API.
Quali ruoli IAM devo utilizzare?
Per applicare il principio del privilegio minimo, assicurati che gli account utente e di servizio dell'organizzazione dispongano solo delle autorizzazioni essenziali per eseguire le funzioni previste. Per ulteriori informazioni, vedi Separazione dei compiti.
Quanto tempo occorre per rimuovere un'autorizzazione IAM?
La rimozione di un'autorizzazione dovrebbe essere effettiva tra meno di un'ora.
Vari
Che cosa sono i dati autenticati aggiuntivi e quando dovrei utilizzarli?
I dati autenticati aggiuntivi (AAD) sono qualsiasi stringa trasferita a Cloud KMS nell'ambito di una richiesta di crittografia o decriptazione. Viene usato come controllo dell'integrità e può proteggere i tuoi dati da un attacco confuso. Per scoprire di più, vedi Ulteriori dati autenticati.
I log di accesso ai dati sono abilitati per impostazione predefinita? Come posso abilitare i log di accesso ai dati?
I log di accesso ai dati non sono abilitati per impostazione predefinita. Per ulteriori informazioni, consulta la pagina sull'abilitazione dei log di accesso ai dati.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi degli account di servizio?
Le chiavi dell'account di servizio vengono utilizzate per l'autenticazione tra servizi in Google Cloud. Le chiavi degli account di servizio non sono correlate alle chiavi di Cloud KMS.
Qual è la relazione tra le chiavi Cloud KMS e le chiavi API?
Una chiave API è una semplice stringa criptata che può essere utilizzata quando chiami alcune API che non richiedono l'accesso ai dati utente privati. Le chiavi API tengono traccia delle richieste API associate al tuo progetto per la quota e la fatturazione. Le chiavi API non sono correlate alle chiavi Cloud KMS.
Hai ulteriori informazioni sugli HSM utilizzati da Cloud HSM?
Attualmente, tutti i dispositivi HSM sono prodotti da Marvell (in precedenza Cavium). Il certificato FIPS per i dispositivi è sul sito web del NIST.