Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Key Management Service – Übersicht

Mit dem Cloud Key Management Service (Cloud KMS) können Sie CMEK-Schlüssel für in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen nutzen. Mit Cloud KMS haben Sie folgende Möglichkeiten:

Software- oder Hardwareschlüssel generieren, vorhandene Schlüssel importieren in Cloud KMS verwenden oder externe Schlüssel in Ihrem kompatiblen externen Schlüssel verknüpfen Managementsystem (EKM).
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud verwenden Produkte mit CMEK-Integration. Verwendung von CMEK-Integrationen Ihre CMEK-Schlüssel zum Verschlüsseln oder „Verpacken“ Ihre DEKs. Das Wrapping von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung.
Cloud KMS Autokey verwenden (Vorschau), um die Nutzerverwaltung und zu übertragen. Mit Autokey müssen Sie keine Schlüsselbunde bereitstellen, Schlüssel und Dienstkonten berücksichtigen können. Stattdessen werden sie im Rahmen der Ressourcenerstellung zu erhalten.
Verwenden Sie Cloud KMS-Schlüssel für Ver- und Entschlüsselungsvorgänge. Für können Sie mithilfe der Cloud KMS API oder der Clientbibliotheken Verwenden Sie Ihre Cloud KMS-Schlüssel für clientseitige Verschlüsselung.
Cloud KMS-Schlüssel zum Erstellen oder Bestätigen verwenden digitale Signaturen oder MAC-Signaturen (Message Authentication Code).

Die richtige Verschlüsselung für Ihre Anforderungen

In der folgenden Tabelle können Sie sehen, welche Art der Verschlüsselung für jeden Anwendungsfall geeignet ist. Die beste Lösung für Ihre Anforderungen ist: verschiedenen Verschlüsselungsansätzen. Sie können beispielsweise Softwareschlüssel für die am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für die sensibelsten Daten. Weitere Informationen zu den in diesem Protecting data in Google Cloud (Daten in Google Cloud schützen) auf dieser Seite.

Verschlüsselungstyp	Kosten	Kompatible Dienste	Features
Von Google gehörende und von Google verwaltete Schlüssel (Standardverschlüsselung von Google Cloud)	Enthalten	Alle Google Cloud-Dienste, die Kundendaten speichern	Keine Konfiguration erforderlich. Es werden automatisch Kundendaten verschlüsselt, die in beliebigen Google Cloud-Dienst. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Unterstützt die Verschlüsselung mit AES-256. FIPS 140-2 Level 1 validiert.
Vom Kunden verwaltete Verschlüsselungsschlüssel software (Cloud KMS-Schlüssel)	0,06 $ pro Schlüsselversion	> 40 Dienste	Sie legen den Zeitplan für die automatische Schlüsselrotation fest. IAM-Rollen und -Berechtigungen aktivieren, deaktivieren oder Schlüsselversionen löschen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung und Entschlüsselung. Automatische Rotation symmetrische Schlüssel. Unterstützt mehrere gängige Algorithmen. FIPS 140-2 Level 1 validiert. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltet Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel)	1,00 bis 2,50 $ pro Schlüsselversion und Monat	Mehr als 40 Dienste	Optional über Cloud KMS Autokey verwaltet (Vorschau) Sie legen den Zeitplan für die automatische Schlüsselrotation fest. IAM-Rollen und -Berechtigungen aktivieren, deaktivieren oder Schlüsselversionen löschen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung und Entschlüsselung. Automatische Rotation symmetrische Schlüssel. Unterstützt verschiedene gängige Algorithmen. Validierung gemäß FIPS 140-2 Level 3. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltet Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel)	3,00 $ pro Schlüsselversion und Monat	> 30 Dienste	Sie steuern IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Schlüssel werden niemals an Google gesendet. Schlüsselmaterial befindet sich in einem kompatibler externer Schlüssel Management-Anbieter (EKM). Kompatible Google Cloud-Dienste stellen über das Internet oder eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM-Anbieter her. Unterstützt symmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Rotieren Sie Ihre Schlüssel manuell in Abstimmung mit Cloud EKM und Ihrem EKM-Anbieter. FIPS 140-2 Level 2 oder FIPS 140-2 Level 3 validiert, je nach in der EKM. Schlüssel sind für jeden Kunden eindeutig.
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln	Die Kosten der aktiven Schlüsselversionen hängen vom Schutzniveau der .	Clientbibliotheken verwenden in Ihren Anwendungen	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung, Entschlüsselung, Signierung und Signaturvalidierung. Die Funktionalität variiert je nach Schutzniveau des Schlüssels.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel	Die Kosten für die Compute Engine oder Cloud Storage können steigen.	Compute Engine Cloud Storage	Sie stellen bei Bedarf wichtige Materialien zur Verfügung. Schlüsselmaterial befindet sich im Arbeitsspeicher – Google speichert den Speicher nicht dauerhaft auf unseren Servern speichern.
Confidential Computing	Zusätzliche Kosten für jede vertrauliche VM kann die Lognutzung erhöhen und die damit verbundenen Kosten	Compute Engine GKE Dataproc	Bietet die Verschlüsselung bei der Verwendung für VMs, die mit sensiblen Daten oder Arbeitslasten umgehen. Google kann nicht auf Schlüssel zugreifen.

Daten in Google Cloud schützen

Zu Google gehörende und von Google verwaltete Schlüssel (Standardverschlüsselung von Google Cloud)

Standardmäßig werden inaktive Daten in Google Cloud durch Schlüssel in Keystore, dem internen Key Management Service von Google. Schlüssel im Schlüsselspeicher werden verwaltet automatisch von Google, ohne dass Ihrerseits eine Konfiguration erforderlich ist. Meiste automatisch Schlüssel für Sie rotieren. Der Schlüsselspeicher unterstützt eine Hauptschlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die Primärschlüsselversion ist zum Verschlüsseln neuer Datenverschlüsselungsschlüssel. Ältere Schlüsselversionen können weiter verwendet werden um vorhandene Datenverschlüsselungsschlüssel zu entschlüsseln. Sie können diese Schlüssel weder aufrufen noch verwalten. Schlüsselnutzungslogs überprüfen. Daten von mehreren Kunden können denselben Schlüssel verwenden Verschlüsselungsschlüssel.

Bei dieser Standardverschlüsselung werden kryptografische Module verwendet, die als FIPS 140-2 Level 1-konform.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in Diensten mit CMEK-Integration verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Sie können CMEKs besitzen und kontrollieren und gleichzeitig Schlüsselerstellungs- und -zuweisungsaufgaben an Cloud KMS Autokey (Vorschau). Weitere Informationen zur Automatisierung der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey.

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten, mit denen Sie die folgenden Ziele erreichen können:

Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzebene, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei Offboarding oder zur Behebung von Sicherheitsvorfällen selektiv löschen (Crypto-Shredding).
Dedizierte Ein-Mandanten-Schlüssel erstellen, die eine kryptografische Grenze festlegen um Ihre Daten.
Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die sicherstellt, kompatible Google Cloud-Ressourcen nutzen Ihren Cloud KMS Schlüssel für die Verschlüsselung. In Organisationsrichtlinien kann auch festgelegt werden, in welchem Projekt sich die wichtigen Ressourcen befinden müssen.

Die Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:

Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und Sie können sie an allen Google Cloud-Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Vom Kunden verwaltete Softwareschlüssel nutzen Nach FIPS 140-2 Level 1 validierte Software Kryptografiemodule. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) sowie Organisationsrichtlinien die Ihre Schlüssel steuern. Sie können Ihre Softwareschlüssel mit über 40 kompatiblen Google Cloud-Ressourcen.
Importierte Softwareschlüssel: Sie können von Ihnen erstellte Softwareschlüssel importieren. an anderer Stelle zur Verwendung in Cloud KMS. Sie können neue Schlüsselversionen importierte Schlüssel manuell rotieren. Sie können IAM-Rollen und Berechtigungen und Organisationsrichtlinien, um die Verwendung der importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von FIPS 140-2 Level 3-zertifizierten Hardwaresicherheitsmodulen (HSMs) generieren. Sie haben die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien, regeln Ihre Schlüssel. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet die HSM-Cluster, damit Sie sich darum nicht kümmern müssen. Sie können Ihre HSM-Schlüssel verwenden mit über 40 kompatiblen Google Cloud- Ressourcen, also Dienste, die auch Software-Tasten. Verwenden Sie Hardware, um die höchste Sicherheitscompliance zu gewährleisten. Schlüssel.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in externen Schlüsselverwaltungssystem (External Key Manager, EKM). Mit Cloud EKM können Sie Schlüssel verwenden, die in einem unterstützten Schlüsselmanager gespeichert sind, um Ihre Google Cloud-Ressourcen zu schützen. Sie können eine Verbindung zu Ihrem EKM herstellen über das Internet oder Virtual Private Cloud (VPC): Einige Google Cloud-Dienste, die Software- oder Hardwareschlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen verwenden. Verwenden Sie dazu die Cloud KMS-Clientbibliotheken oder Cloud KMS API Clientbibliotheken und API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen überprüfen.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)

Cloud Storage und Compute Engine können Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs): Vom Kunden bereitgestellt Verschlüsselungsschlüssel speichern, speichern Sie das Schlüsselmaterial und stellen es Cloud Storage oder Compute Engine. Google tut Folgendes nicht: Ihre CSEKs irgendwie speichern können.

Confidential Computing

In Compute Engine, GKE und Dataproc können Sie nutzen Sie die Confidential Computing-Plattform, um Ihre aktiven Daten zu verschlüsseln. Confidential Computing sorgt dafür, dass Ihre Daten selbst bei während sie verarbeitet wird.