Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Key Management Service – Übersicht

Mit dem Cloud Key Management Service (Cloud KMS) können Sie CMEK-Schlüssel zur Verwendung in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen erstellen und verwalten. Mit Cloud KMS haben Sie folgende Möglichkeiten:

Generieren Sie Software- oder Hardwareschlüssel, importieren Sie vorhandene Schlüssel in Cloud KMS oder verknüpfen Sie externe Schlüssel in Ihrem kompatiblen externen Schlüsselverwaltungssystem (EKM).
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud-Produkten mit CMEK-Integration. Bei CMEK-Integrationen werden Ihre CMEK-Schlüssel zum Verschlüsseln oder „Verpacken“ Ihrer Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) verwendet. Das Verpacken von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung bezeichnet.
Verwenden Sie Cloud KMS Autokey (Vorschau), um die Bereitstellung und Zuweisung zu automatisieren. Mit Autokey müssen Sie Schlüsselbunde, Schlüssel und Dienstkonten nicht im Voraus bereitstellen. Stattdessen werden sie bei Bedarf im Rahmen der Ressourcenerstellung generiert.
Verwenden Sie Cloud KMS-Schlüssel für Ver- und Entschlüsselungsvorgänge. Sie können beispielsweise die Cloud KMS API oder Clientbibliotheken nutzen, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu nutzen.
Mit Cloud KMS-Schlüsseln können Sie digitale Signaturen oder MAC-Signaturen (Message Authentication Code) erstellen oder überprüfen.

Die richtige Verschlüsselung für Ihre Anforderungen

Anhand der folgenden Tabelle können Sie ermitteln, welche Verschlüsselungstyp Ihren Anforderungen für die einzelnen Anwendungsfälle entspricht. Die beste Lösung für Ihre Anforderungen könnte eine Kombination aus verschiedenen Verschlüsselungsansätzen sein. Beispielsweise können Sie Softwareschlüssel für die am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für Ihre sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Google Cloud schützen.

Verschlüsselungstyp	Kosten	Kompatible Dienste	Features
Google-eigene und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)	Eingeschlossen	Alle Google Cloud-Dienste, die Kundendaten speichern	Keine Konfiguration erforderlich. In jedem Google Cloud-Dienst gespeicherte Kundendaten werden automatisch verschlüsselt. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Unterstützt die Verschlüsselung mit AES-256. FIPS 140-2 Level 1 validiert.
Vom Kunden verwaltete Verschlüsselungsschlüssel: Software (Cloud KMS-Schlüssel)	0,06 $ pro Schlüsselversion	Mehr als 40 Dienste	Sie können den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen sowie Schlüsselversionen aktivieren, deaktivieren oder löschen. Unterstützt symmetrische und asymmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Sympathische Schlüssel werden automatisch rotiert. Unterstützt mehrere gängige Algorithmen. FIPS 140-2 Level 1 validiert. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel)	1,00 bis 2,50 $ pro Schlüsselversion und Monat	Mehr als 40 Dienste	Optional über Cloud KMS Autokey verwaltet (Vorschau). Sie können den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen sowie Schlüsselversionen aktivieren, deaktivieren oder löschen. Unterstützt symmetrische und asymmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Sympathische Schlüssel werden automatisch rotiert. Unterstützt mehrere gängige Algorithmen. FIPS 140-2 Level 3 validiert. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel)	3,00 $ pro Schlüsselversion und Monat	Mehr als 30 Dienste	Sie steuern IAM-Rollen und -Berechtigungen und können Schlüsselversionen aktivieren, deaktivieren oder löschen. Schlüssel werden niemals an Google gesendet. Schlüsselmaterial befindet sich bei einem kompatiblen Anbieter für die externe Schlüsselverwaltung (EKM). Kompatible Google Cloud-Dienste stellen über das Internet oder eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM-Anbieter her. Unterstützt symmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Rotieren Sie Ihre Schlüssel manuell in Abstimmung mit Cloud EKM und Ihrem EKM-Anbieter. FIPS 140-2 Level 2 oder FIPS 140-2 Level 3 validiert, je nach EKM. Schlüssel sind für jeden Kunden eindeutig.
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln	Die Kosten der aktiven Schlüsselversionen hängen vom Schutzniveau des Schlüssels ab.	Clientbibliotheken in Ihren Anwendungen verwenden	Sie können den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen sowie Schlüsselversionen aktivieren, deaktivieren oder löschen. Unterstützt symmetrische und asymmetrische Schlüssel für die Verschlüsselung, Entschlüsselung, Signatur und Signaturvalidierung. Die Funktionalität variiert je nach Schlüsselschutzniveau.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel	Die mit Compute Engine oder Cloud Storage verbundenen Kosten können steigen.	Compute Engine Cloud Storage	Sie stellen bei Bedarf wichtige Materialien zur Verfügung. Schlüsselmaterial befindet sich im Arbeitsspeicher – Google speichert Ihre Schlüssel nicht dauerhaft auf unseren Servern.
Confidential Computing	Zusätzliche Kosten für jede vertrauliche VM; kann die Lognutzung und die damit verbundenen Kosten erhöhen	Compute Engine GKE Dataproc	Bietet eine Verschlüsselung während der Verwendung für VMs, die sensible Daten oder Arbeitslasten verarbeiten. Google kann nicht auf Schlüssel zugreifen.

Daten in Google Cloud schützen

Google-eigene und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)

Standardmäßig werden inaktive Daten in Google Cloud durch Schlüssel in Keystore, dem internen Key Management Service von Google, geschützt. Schlüssel im Schlüsselspeicher werden automatisch von Google verwaltet, ohne dass Ihrerseits eine Konfiguration erforderlich ist. Die meisten Dienste rotieren Schlüssel automatisch für Sie. Der Schlüsselspeicher unterstützt eine Primärschlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die Primärschlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Vorhandene Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden. Sie können diese Schlüssel weder aufrufen noch verwalten und keine Schlüsselnutzungslogs ansehen. Daten von mehreren Kunden können denselben Schlüsselverschlüsselungsschlüssel verwenden.

Bei dieser Standardverschlüsselung werden kryptografische Module verwendet, die gemäß FIPS 140-2 Level 1 validiert sind.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel zum Schutz Ihrer Ressourcen in CMEK-integrierten Diensten sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Sie können CMEKs besitzen und steuern und gleichzeitig Aufgaben zur Schlüsselerstellung und -zuweisung an Cloud KMS Autokey delegieren (Vorschau). Weitere Informationen zur Automatisierung der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey.

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Auswahl von Standort, Schutzniveau, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Löschen.
Beim Offboarding oder zur Behebung von Sicherheitsereignissen (Crypto-Shredding) werden durch Ihre Schlüssel geschützte Daten selektiv gelöscht.
Erstellen Sie dedizierte Schlüssel für einen einzelnen Mandanten, die eine kryptografische Grenze für Ihre Daten festlegen.
Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die dafür sorgt, dass Ihre kompatiblen Google Cloud-Ressourcen Ihre Cloud KMS-Schlüssel für die Verschlüsselung verwenden. In Organisationsrichtlinien kann auch angegeben werden, in welchem Projekt sich die Schlüsselressourcen befinden müssen.

Die verfügbaren Funktionen und der Schutzgrad hängen vom Schutzniveau des Schlüssels ab:

Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Google Cloud-Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Vom Kunden verwaltete Softwareschlüssel verwenden gemäß FIPS 140-2 Level 1 validierte Module für Softwarekryptografie. Außerdem haben Sie die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen (Identity and Access Management) sowie Organisationsrichtlinien, die Ihre Schlüssel steuern. Sie können Ihre Softwareschlüssel mit über 40 kompatiblen Google Cloud-Ressourcen verwenden.
Importierte Softwareschlüssel: Sie können Softwareschlüssel importieren, die Sie an einem anderen Ort zur Verwendung in Cloud KMS erstellt haben. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von Hardwaresicherheitsmodulen (HSMs) gemäß FIPS 140-2 Level 3 generieren. Sie haben die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien, die Ihre Schlüssel steuern. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet Google die HSM-Cluster für Sie. Sie können Ihre HSM-Schlüssel mit über 40 kompatiblen Google Cloud-Ressourcen verwenden – den Diensten, die Softwareschlüssel unterstützen. Verwenden Sie für die höchste Sicherheitscompliance Hardwareschlüssel.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem External Key Manager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel, die sich in einem unterstützten Schlüsselverwaltungssystem befinden, verwenden, um Ihre Google Cloud-Ressourcen zu sichern. Sie können eine Verbindung zu Ihrem EKM über das Internet oder über eine Virtual Private Cloud (VPC) herstellen. Einige Google Cloud-Dienste, die Software- oder Hardwareschlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel mithilfe der Cloud KMS-Clientbibliotheken oder der Cloud KMS API in benutzerdefinierten Anwendungen verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen überprüfen.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)

Cloud Storage und Compute Engine können vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs) verwenden. Mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln speichern Sie das Schlüsselmaterial und stellen es bei Bedarf Cloud Storage oder Compute Engine zur Verfügung. Google speichert Ihre CSEKs in keiner Weise.

Confidential Computing

In Compute Engine, GKE und Dataproc können Sie die Confidential Computing-Plattform verwenden, um Ihre aktiven Daten zu verschlüsseln. Confidential Computing sorgt dafür, dass Ihre Daten auch während der Verarbeitung privat und verschlüsselt bleiben.