借助 Cloud Key Management Service (Cloud KMS),您可以为以下各项创建和管理 CMEK 密钥: 在兼容的 Google Cloud 服务和您自己的应用中使用。 使用 Cloud KMS,您可以执行以下操作:
生成软件密钥或硬件密钥,将现有密钥导入 使用 Cloud KMS,或者在兼容的外部密钥中关联外部密钥 管理 (EKM) 系统。
在 Google Cloud 中使用客户管理的加密密钥 (CMEK) 具有 CMEK 集成的产品。CMEK 集成使用 您的 CMEK 密钥进行加密或“封装”数据加密密钥 (DEK)。 这个过程称为使用密钥加密密钥 (KEK) 封装 DEK 信封加密。
使用 Cloud KMS Autokey (预览版)实现自动预配和 分配。借助 Autokey,您无需提前预配密钥环、密钥和服务账号。而是会在 将需求视为资源创建过程的一部分
使用 Cloud KMS 密钥执行加密和解密操作。对于 例如,您可以使用 Cloud KMS API 或客户端库 将您的 Cloud KMS 密钥用于客户端 加密。
使用 Cloud KMS 密钥创建或验证 数字签名或 消息身份验证代码 (MAC) 签名。
根据需要选择合适的加密方式
您可以使用下表确定哪种加密类型符合您的 各种应用场景所需的资源最符合您需求的解决方案可能包括: 混合加密方法例如,您可以将软件键用于 最不敏感的数据和硬件或外部密钥,用于最敏感的数据 数据。有关此部分中描述的加密选项的更多信息, 部分,请参阅保护 Google Cloud 中的数据 此页面。
| 加密类型 | 费用 | 兼容的服务 | 特性 |
|---|---|---|---|
| Google 拥有的密钥和 Google 管理的密钥(Google Cloud 默认加密) | 已包含 | 所有存储客户数据的 Google Cloud 服务 |
|
| 客户管理的加密密钥 -
软件 (Cloud KMS 密钥) |
每个密钥版本 $0.06 | 超过 40 个 服务 | |
| 由客户管理
加密密钥 - 硬件 (Cloud HSM 密钥) |
每个密钥版本每月 1.00 到 2.50 美元 | 超过 40 个 服务 | |
| 由客户管理
加密密钥 - 外部 (Cloud EKM 密钥) |
每个密钥版本每月 $3.00 | 超过 30 服务 |
|
| 客户端加密功能 使用 Cloud KMS 密钥 | 有效密钥版本的费用取决于密钥的保护级别。 | 使用客户端库 应用 |
|
| 客户提供的加密密钥 | 可能会增加与 Compute Engine 或 Cloud Storage |
|
|
| 机密计算 | 每个机密虚拟机的额外费用;可能会增加日志使用量和相关费用 |
|
保护 Google Cloud 中的数据
Google 拥有的密钥和 Google 管理的密钥(Google Cloud 默认加密)
默认情况下,Google Cloud 中的静态数据受 密钥库,Google 的内部密钥管理服务。密钥库中的密钥由系统管理 由 Google 自动配置,无需您进行任何配置。大多数人 服务会自动为您轮替密钥。密钥库支持主键 以及数量有限的旧密钥版本。主密钥版本用于加密新的加密数据密钥。您仍然可以使用旧版密钥版本 对现有数据加密密钥进行解密。您无法查看或管理这些钥匙或 查看密钥使用情况日志。来自多个客户的数据可能使用相同的键 加密密钥。
此默认加密功能使用经过验证符合 FIPS 140-2 1 级要求的加密模块。
客户管理的加密密钥 (CMEK)
用于在集成了 CMEK 的服务中保护资源的 Cloud KMS 密钥是客户管理的加密密钥 (CMEK)。您可以拥有和控制 CMEK,同时将密钥创建和分配任务委托给 Cloud KMS Autokey(预览版)。学习内容 如需详细了解如何自动预配 CMEK,请参阅使用 Cloud Key Management Service 的 Autokey。
您可以使用 Cloud KMS 密钥 兼容的服务,可帮助您实现以下目标:
拥有加密密钥。
控制和管理加密密钥,包括选择位置、 保护级别、创建、访问权限控制、轮替、使用和销毁。
在用户退出或退出账号时,有选择地删除受密钥保护的数据 以修复安全事件(密钥销毁)。
创建用于建立加密边界的专用单租户密钥 围绕您的数据。
符合现行或未来要求达成以上任一目标的法规。
将 Cloud KMS 密钥用于 CMEK 集成服务,则可以使用 组织政策以确保按照 政策。例如,您可以设置组织政策,确保兼容的 Google Cloud 资源使用 Cloud KMS 密钥进行加密。组织政策还可以指定 关键资源的位置。
提供的功能和保护级别取决于 键:
软件密钥 - 您可以在 Cloud KMS 中生成软件密钥, 在所有 Google Cloud 位置使用它们。您 可以创建自动轮替对称密钥, 手动轮替的非对称密钥。客户管理的软件密钥用于 通过 FIPS 140-2 1 级验证的软件 加密模块。此外,您还可以控制轮替周期 Identity and Access Management (IAM) 角色和权限以及组织政策 用来管理您的密钥您可以将软件密钥与超过 40 个 兼容的 Google Cloud 资源。
导入的软件密钥 - 您可以导入自己创建的软件密钥 以便在 Cloud KMS 中使用您可以将新的密钥版本 手动轮替导入的密钥。您可以使用 IAM 角色 权限和组织政策来控制所导入密钥的使用情况。
硬件密钥和 Cloud HSM - 您可以在 Google Cloud 控制台中生成硬件密钥, FIPS 140-2 3 级硬件集群 安全模块 (HSM)。轮替周期由您掌控 IAM 角色和权限以及 管理您的密钥当您使用 Cloud HSM 创建 HSM 密钥时,Google 因此,您无需手动管理 HSM 集群。您可以使用您的 HSM 密钥 以及超过 40 种 Google Cloud 的 资源,即支持 软件密钥。为实现最高级别的安全合规性,请使用硬件 键。
外部密钥和 Cloud EKM - 您可以使用 外部密钥管理器 (EKM)。借助 Cloud EKM,您可以使用存储的密钥 支持的密钥管理器,以确保 Google Cloud 资源。您可以连接到 EKM 通过互联网或 Virtual Private Cloud (VPC)。部分 Google Cloud 不支持软件密钥或硬件密钥的服务 Cloud EKM 密钥。
Cloud KMS 密钥
您可以在自定义应用中使用 Cloud KMS 密钥,只需使用 Cloud KMS 客户端库或 Cloud KMS API。客户端库 和 API 可用于加密和解密数据、签署数据以及验证签名。
客户提供的加密密钥 (CSEK)
Cloud Storage 和 Compute Engine 可以使用 客户提供的加密密钥 (CSEK)。使用客户提供的加密密钥时,您可以存储密钥材料,并在需要时将其提供给 Cloud Storage 或 Compute Engine。Google 不会 以任何方式存储您的 CSEK。
机密计算
在 Compute Engine、GKE 和 Dataproc 中 使用机密计算平台加密使用中的数据。 机密计算可确保您的数据的私密性和加密性 处理文件。