Sobre o Cloud KMS
O que é o Cloud KMS? O que ele faz?
O Cloud Key Management Service (Cloud KMS) é um serviço de gerenciamento de chaves hospedado na nuvem que permite que você gerencie a criptografia dos serviços na nuvem da mesma forma que faz no local. Você pode gerar, usar, rotar e destruir chaves criptográficas. O Cloud KMS é integrado ao gerenciamento de identidade e acesso (IAM) e aos registros de auditoria do Cloud, o que permite gerenciar permissões em chaves individuais e monitorar como elas são usadas.
Posso armazenar chaves secretas?
O Cloud KMS armazena chaves e metadados sobre chaves e não tem uma API geral de armazenamento de dados. O Gerenciador de secret é recomendado para armazenar e acessar dados confidenciais para uso no Google Cloud.
Há algum SLA?
Sim, consulte Contrato de nível de serviço do Cloud KMS.
Como faço para enviar feedback do produto?
Entre em contato com a equipe de engenharia em cloudkms-feedback@google.com.
Como faço para enviar feedback da documentação?
Ao visualizar a documentação do Cloud KMS, clique em Enviar feedback perto do canto superior direito da página. Será aberto um formulário de feedback.
Se eu precisar de ajuda, quais serão as minhas opções?
Convidamos nossos usuários a postar suas perguntas no Stack Overflow. Em parceria com a comunidade ativa do Stack Overflow, nossa equipe monitora ativamente as postagens e responde a perguntas que constam lá com a tag google-cloud-kms.
Nós também oferecemos vários níveis de suporte, dependendo de suas necessidades. Para mais opções de suporte, consulte nossos Pacotes de suporte do Google Cloud.
O Cloud KMS trabalha com cotas?
Sim. Para informações sobre cotas, incluindo como visualizar ou solicitar cotas adicionais, consulte Cotas do Cloud KMS.
Não há limite para o número de chaves, keyrings ou versões de chave. Além disso, não há limite para o número de chaves por keyring e versões de chave por chave.
Em que países posso usar o Cloud KMS?
Você pode usar o Cloud KMS em qualquer país em que os serviços do Google Cloud sejam compatíveis.
Keys
Que tipo de chave o Cloud KMS gera?
Consulte Algoritmos e finalidades de chave.
As chaves são armazenadas em um HSM?
As chaves com nível de proteção HSM são armazenadas em um módulo de segurança de hardware (HSM, na sigla em inglês).
Chaves com nível de proteção SOFTWARE são armazenados no software.
Uma chave com backup do HSM nunca persiste fora de um HSM.
A que padrões as chaves obedecem?
As chaves geradas no Cloud KMS e as operações criptográficas realizadas com essas chaves estão em conformidade com a publicação Requisitos de segurança para módulos criptográficos 140-2 (em inglês) do Padrão de Processamento de Informações Federais (FIPS, na sigla em inglês).
As chaves geradas com nível de proteção
SOFTWAREe as operações criptográficas executadas com elas estão em conformidade com o Nível 1 do FIPS 140-2.As chaves geradas com nível de proteção
HSMe as operações criptográficas executadas com elas estão em conformidade com o Nível 3 do FIPS 140-2.Para chaves geradas fora do Cloud KMS e depois importadas, os clientes que têm requisitos de FIPS são responsáveis por garantir que as chaves sejam geradas de maneira compatível com o FIPS.
Como o material de chave é gerado?
A geração de chaves do Cloud KMS protegidas por software usa a biblioteca criptográfica comum do Google com um gerador de números aleatórios (RNG, na sigla em inglês) criado pelo Google. As chaves protegidas por HSM são geradas com segurança pelo HSM, que foi validado para atender ao Nível 3 do FIPS 140-2.
Qual biblioteca é usada para gerar material de chave?
As chaves do Cloud KMS são geradas usando a biblioteca criptográfica comum do Google, que implementa algoritmos criptográficos BoringSSL. Para mais informações, consulte a biblioteca criptográfica comum do Google.
As chaves são limitadas a um local geográfico?
As chaves pertencem a uma região, mas não ficam limitadas a ela. Para mais informações, consulte Locais do Cloud KMS.
Posso remover as chaves automaticamente?
Não.
Posso fazer a rotação de chave automaticamente?
Para chaves usadas em criptografia simétrica, sim. Consulte Rotação automática: como configurar o período de rotação de uma chave.
Para chaves usadas em criptografia assimétrica ou assinatura assimétrica, não. Para saber mais, consulte Considerações sobre rotação de chaves assimétricas.
A rotação de chave recriptografa dados? Em caso negativo, por quê?
A rotação de chave não recriptografa dados automaticamente. Quando você descriptografa dados, o Cloud KMS sabe qual versão de chave usar para a descriptografia. Enquanto uma versão de chave não estiver desativada ou destruída, o Cloud KMS poderá descriptografar dados protegidos com essa chave.
Por que não consigo excluir chaves ou keyrings?
Para evitar conflitos com os nomes dos recursos, NÃO É POSSÍVEL excluir keyrings e recursos de chave. Isso também se aplica a versões de chave, mas é possível destruir o material delas para impedir o uso dos respectivos recursos. Para mais informações, consulte Duração dos objetos. O faturamento é baseado no número de versões ativas da chave. se você destruir todo o material da versão da chave ativa, nenhuma cobrança será feita pelos keyrings, chaves e versões de chaves restantes.
Posso exportar chaves?
Não. Por questões de design, as chaves não são exportáveis a partir do Cloud KMS. Todos os processos de criptografia e descriptografia com essas chaves precisam ser realizados no Cloud KMS. Isso ajuda a evitar vazamentos e uso indevido e permite que o Cloud KMS emita uma trilha de auditoria quando as chaves forem utilizadas.
Posso importar chaves?
Sim. Só é possível importar para chaves com nível de proteção HSM ou SOFTWARE.
Para mais informações, consulte Como importar uma chave.
Separadamente do Cloud KMS, os produtos a seguir são compatíveis com a funcionalidade de chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês).
| Produto | Tópico da CSEK |
|---|---|
| Compute Engine | Como criptografar discos com chaves de criptografia fornecidas pelo cliente |
| Cloud Storage | Como usar chaves de criptografia fornecidas pelo cliente |
Após destruir uma versão de chave, quanto tempo terei para recuperá-la?
Depois de programar uma versão de chave para destruição, você terá um período padrão de 24 horas antes que a versão de chave seja realmente destruída. O período antes da destruição de uma versão da chave é configurável. Durante esse período, se necessário, é possível restaurar a versão da chave.
Posso alterar o período de 24 horas antes de uma chave programada ser destruída?
Sim, é possível configure o período antes de a chave ser destruída. Só é possível definir a duração no momento da criação da chave.
Quando faço alterações em uma chave, com que rapidez elas são efetivadas?
Algumas operações em recursos do Cloud KMS têm consistência forte. Outras têm consistência eventual e podem demorar até 3 horas para serem propagadas. Para mais detalhes, consulte Consistência de recursos do Cloud KMS.
Por que minha chave está no estado PENDING_GENERATION?
Devido ao custo da CPU para gerar material de chave, a criação de uma versão de assinatura assimétrica ou de criptografia assimétrica pode levar alguns minutos. As versões de chave protegidas por um módulo de segurança de hardware (HSM, na sigla em inglês) também levam algum tempo. Quando uma nova versão de chave está pronta, o estado muda automaticamente para ENABLED.
Autorização e autenticação
Como faço para me autenticar na API Cloud KMS?
O modo como os clientes se autenticam pode variar um pouco, dependendo da plataforma de execução do código. Para detalhes, consulte Como acessar a API.
Quais papéis do IAM preciso usar?
Para impor o princípio do menor privilégio, assegure-se de que usuários e contas de serviço da organização só tenham as permissões essenciais para a execução dos papéis pretendidos. Para mais informações, consulte Separação de deveres.
Com que rapidez uma permissão do IAM é removida?
A remoção de uma permissão é efetivada em menos de uma hora.
Diversos
O que são dados autenticados adicionais e quando usá-los?
Os dados autenticados adicionais (AAD, na sigla em inglês) são todas as strings que você passa para o Cloud KMS como parte de uma solicitação de criptografia ou descriptografia. Eles são usados como uma verificação de integridade e podem ajudar a proteger seus dados contra ataques de uso equivocado do nível de acesso (confused deputy). Para mais informações, consulte Dados autenticados adicionais.
Os registros de acesso a dados estão ativados por padrão? Como faço para ativá-los?
Os registros de acesso a dados não estão ativados por padrão. Para mais informações, consulte Como ativar registros de acesso a dados.
Qual a relação entre as chaves do Cloud KMS e as chaves de conta de serviço?
As chaves de conta de serviço são usadas na autenticação serviço a serviço no Google Cloud. As chaves de conta de serviço não estão relacionadas às chaves do Cloud KMS.
Qual a relação entre as chaves do Cloud KMS e as chaves de API?
Uma chave de API é uma string criptografada simples que pode ser usada ao chamar determinadas APIs que não precisam de acesso a dados particulares do usuário. As chaves de API rastreiam solicitações de API associadas ao seu projeto para cota e faturamento. As chaves de API não têm qualquer relação com as chaves do Cloud KMS.
Você tem mais detalhes sobre os HSMs usados pelo Cloud HSM?
Todos os dispositivos HSM são fabricados pela Marvell (antiga Cavium). O certificado FIPS dos dispositivos está no site do NIST.