Esta página foi traduzida pela API Cloud Translation.

Vista geral do Cloud Key Management Service

O Cloud Key Management Service (Cloud KMS) permite-lhe criar e gerir chaves criptográficas para utilização em serviços compatíveis Google Cloud e nas suas próprias aplicações. Com o Cloud KMS, pode fazer o seguinte:

Gerar chaves de software ou hardware, importar chaves existentes para o Cloud KMS ou associar chaves externas no seu sistema de gestão de chaves externas (EKM) compatível.
Gere chaves do Cloud HSM e use-as com o Cloud HSM para o Google Workspace para ativar a encriptação por parte do cliente (EPC) no Google Workspace.
Use chaves de encriptação geridas pelo cliente (CMEKs) em Google Cloud produtos com integração de CMEK. As integrações CMEK usam as suas chaves do Cloud KMS para encriptar ou "envolver" as chaves de encriptação de dados (DEKs). A ação de envolver DEKs com chaves de encriptação de chaves (KEKs) chama-se encriptação de envelope.
Use a chave automática do Cloud KMS para automatizar o aprovisionamento e a atribuição. Com a Autokey, não precisa de aprovisionar anéis de chaves, chaves e contas de serviço antecipadamente. Em alternativa, são gerados a pedido como parte da criação de recursos.
Usar chaves do Cloud KMS para operações de encriptação e desencriptação. Por exemplo, pode usar a API Cloud KMS ou as bibliotecas cliente para usar as suas chaves do Cloud KMS para encriptação do lado do cliente.
Use chaves do Cloud KMS para criar ou validar assinaturas digitais ou assinaturas do código de autenticação de mensagens (MAC).
Use chaves do Cloud KMS para estabelecer segredos partilhados através de mecanismos de encapsulamento de chaves.

Escolha a encriptação certa para as suas necessidades

Pode usar a tabela seguinte para identificar que tipo de encriptação satisfaz as suas necessidades para cada exemplo de utilização. A melhor solução para as suas necessidades pode incluir uma combinação de abordagens de encriptação. Por exemplo, pode usar chaves de software para os dados menos confidenciais e chaves de hardware ou externas para os dados mais confidenciais. Para mais informações acerca das opções de encriptação descritas nesta secção, consulte Proteger dados no Google Cloud nesta página. Para mais informações sobre o contrato de nível de serviço (SLA) que se aplica quando usa chaves do Cloud KMS, Cloud HSM e Cloud EKM, consulte o contrato de nível de serviço.

Tipo de encriptação	Custo	Serviços compatíveis	Funcionalidades
Google-owned and Google-managed encryption keys (Google Cloud encriptação predefinida)	Incluída	Todos os Google Cloud serviços que armazenam dados de clientes	Não é necessária configuração. Encripta automaticamente os dados dos clientes guardados em qualquer Google Cloud serviço. A maioria dos serviços roda automaticamente as chaves. Suporta encriptação com AES-256. FIPS 140-2 Nível 1 validado.
Chaves de encriptação geridas pelo cliente: software (chaves do Cloud KMS)	0,06 $ por versão da chave	Mais de 40 serviços	Controla a programação da rotação automática de chaves; Funções e autorizações do IAM; ativa, desativa ou destrói versões de chaves. Suporta chaves simétricas e assimétricas para encriptação e desencriptação. Rotação automática das chaves simétricas. Suporta vários algoritmos comuns. FIPS 140-2 Nível 1 validado. As chaves são exclusivas de um cliente.
Chaves de encriptação geridas pelo cliente – hardware (chaves do Cloud HSM)	1,00 USD a 2,50 USD por versão da chave por mês	Mais de 40 serviços	Opcionalmente, gerido através da chave automática do Cloud KMS. Controla a programação da rotação automática de chaves; Funções e autorizações do IAM; ativa, desativa ou destrói versões de chaves. Suporta chaves simétricas e assimétricas para encriptação e desencriptação. Rotação automática das chaves simétricas. Suporta vários algoritmos comuns. FIPS 140-2 Nível 3 validado. As chaves são exclusivas de um cliente.
Chaves de encriptação geridas pelo cliente – externas (chaves do Cloud EKM)	3,00 $ por versão da chave por mês	Mais de 30 serviços	Controla as funções e as autorizações do IAM; ativa, desativa ou destrói versões de chaves. As chaves nunca são enviadas para a Google. O material da chave reside num fornecedor de gestão de chaves externas (EKM) compatível. Os serviços Google Cloud compatíveis ligam-se ao seu fornecedor de EKM através da Internet ou de uma nuvem virtual privada (VPC). Suporta chaves simétricas para encriptação e desencriptação. Rode manualmente as chaves em coordenação com o EKM na nuvem e o seu fornecedor de EKM. Validação FIPS 140-2 Nível 2 ou FIPS 140-2 Nível 3, consoante o EKM. As chaves são exclusivas de um cliente.
Encriptação por parte do cliente com chaves do Cloud KMS	O custo das versões de chaves ativas depende do nível de proteção da chave.	Use bibliotecas cliente nas suas aplicações	Controla a programação da rotação automática de chaves; Funções e autorizações do IAM; ativa, desativa ou destrói versões de chaves. Suporta chaves simétricas e assimétricas para encriptação, desencriptação, assinatura e validação de assinatura. A funcionalidade varia consoante o nível de proteção da chave.
HSM na nuvem para o Google Workspace	Taxa mensal fixa para cada instância, mais o custo das versões de chaves ativas e das operações criptográficas.	Use chaves do HSM na nuvem para a encriptação por parte do cliente no Google Workspace	Controla a programação da rotação automática de chaves; Funções e autorizações do IAM; ativa, desativa ou destrói versões de chaves. Usar chaves simétricas para encriptação e desencriptação.
Chaves de encriptação fornecidas pelos clientes	Pode aumentar os custos associados ao Compute Engine ou ao Cloud Storage	Compute Engine Cloud Storage	Fornece materiais importantes quando necessário. O material das chaves reside na memória. A Google não armazena permanentemente as suas chaves nos respetivos servidores.
Computação confidencial	Custo adicional para cada VM confidencial; pode aumentar a utilização de registos e os custos associados	Compute Engine GKE Dataproc	Oferece encriptação em utilização para VMs que processam dados ou cargas de trabalho sensíveis. O Google não consegue aceder às chaves.

Proteger os dados no Google Cloud

Google-owned and Google-managed encryption keys (Google Cloud encriptação predefinida)

Por predefinição, os dados em repouso no Google Cloud estão protegidos por chaves no serviço de gestão de chaves interno do Google Cloud. As chaves no Keystore são geridas automaticamente pela Google Cloud, sem configuração necessária da sua parte. A maioria dos serviços roda automaticamente as chaves por si. O arquivo de chaves suporta uma versão da chave principal e um número limitado de versões de chaves mais antigas. A versão da chave principal é usada para encriptar novas chaves de encriptação de dados. As versões mais antigas das chaves continuam a poder ser usadas para desencriptar as chaves de encriptação de dados existentes. Não pode ver nem gerir estas chaves, nem rever os registos de utilização das chaves. Os dados de vários clientes podem usar a mesma chave de encriptação de chaves.

Esta encriptação predefinida usa módulos criptográficos validados como estando em conformidade com o Nível 1 da FIPS 140-2.

Chaves de encriptação geridas pelo cliente (CMEKs)

As chaves do Cloud KMS usadas para proteger os seus recursos nos serviços integrados com CMEK são chaves de encriptação geridas pelo cliente (CMEKs). Pode possuir e controlar CMEKs, ao mesmo tempo que delega tarefas de criação e atribuição de chaves ao Cloud KMS Autokey. Para saber mais sobre a automatização do aprovisionamento para CMEKs, consulte o Cloud Key Management Service com o Autokey.

Pode usar as suas chaves do Cloud KMS em serviços compatíveis para ajudar a alcançar os seguintes objetivos:

Seja proprietário das suas chaves de encriptação.
Controlar e gerir as suas chaves de encriptação, incluindo a escolha da localização, o nível de proteção, a criação, o controlo de acesso, a rotação, a utilização e a destruição.
Eliminar seletivamente dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (eliminação criptográfica).
Crie chaves dedicadas de inquilino único que estabelecem um limite criptográfico em torno dos seus dados.
Registe o acesso administrativo e aos dados às chaves de encriptação.
Cumprir os regulamentos atuais ou futuros que exijam qualquer um destes objetivos.

Quando usa chaves do Cloud KMS com serviços integrados com CMEK, pode usar políticas da organização para garantir que as CMEKs são usadas conforme especificado nas políticas. Por exemplo, pode definir uma política da organização que garanta que os seus recursos compatíveis usam as suas chaves do Cloud KMS para encriptação. Google Cloud As políticas da organização também podem especificar em que projeto os recursos principais têm de residir.

As funcionalidades e o nível de proteção oferecidos dependem do nível de proteção da chave:

Chaves de software: pode gerar chaves de software no Cloud KMS e usá-las em todas as Google Cloud localizações. Pode criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software geridas pelo cliente usam módulos de criptografia de software validados pela FIPS 140-2 Nível 1. Também tem controlo sobre o período de rotação, as autorizações e as funções da gestão de identidade e de acesso (IAM) e as políticas da organização que regem as suas chaves. Pode usar as suas chaves de software com muitos recursos compatíveis Google Cloud.
Chaves de software importadas: pode importar chaves de software que criou noutro local para utilização no Cloud KMS. Pode importar novas versões de chaves para alternar manualmente as chaves importadas. Pode usar funções e autorizações do IAM, bem como políticas da organização, para reger a utilização das chaves importadas.
Chaves de hardware e Cloud HSM: pode gerar chaves de hardware num cluster de Hardware Security Modules (HSMs) FIPS 140-2 Nível 3. Tem controlo sobre o período de rotação, as funções e as permissões da IAM, bem como as políticas da organização que regem as suas chaves. Quando cria chaves de HSM com o Cloud HSM, Google Cloudo Google Cloud gere os clusters de HSM para que não tenha de o fazer. Pode usar as suas chaves de HSM com muitos recursos compatíveis Google Cloud, os mesmos serviços que suportam chaves de software. Para o nível mais elevado de conformidade de segurança, use chaves de hardware.
Chaves externas e Cloud EKM: pode usar chaves que residam num gestor de chaves externo (EKM). O Cloud EKM permite-lhe usar chaves mantidas num gestor de chaves suportado para proteger os seusGoogle Cloud recursos. Pode ligar-se ao seu EKM através da Internet ou através de uma nuvem virtual privada (VPC). Alguns Google Cloud serviços que suportam chaves do KMS da GCP não suportam chaves do EKM da GCP.

Para saber mais sobre que localizações do Cloud KMS suportam que níveis de proteção, consulte o artigo Localizações do Cloud KMS.

Chaves do Cloud KMS

Pode usar as suas chaves do Cloud KMS em aplicações personalizadas através das bibliotecas cliente do Cloud KMS ou da API Cloud KMS. As bibliotecas de cliente e a API permitem-lhe encriptar e desencriptar dados, assinar dados e validar assinaturas.

Chaves do Cloud HSM

Pode usar as suas chaves do Cloud HSM no Cloud HSM para o Google Workspace para gerir as chaves usadas para a encriptação por parte do cliente (EPC) no Google Workspace. Pode integrar o Cloud HSM para o Google Workspace.

Chaves de encriptação fornecidas pelos clientes (CSEKs)

O Cloud Storage e o Compute Engine podem usar chaves de encriptação fornecidas pelo cliente (CSEKs). Com as chaves de encriptação fornecidas pelos clientes, armazena o material da chave e faculta-o ao Cloud Storage ou ao Compute Engine quando necessário. Google Cloud não armazena as suas CSEKs de forma alguma.

Computação confidencial

No Compute Engine, GKE e Dataproc, pode usar a plataforma de computação confidencial para encriptar os seus dados em utilização. A computação confidencial garante que os seus dados permanecem privados e encriptados, mesmo durante o processamento.