Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) consente di creare e gestire le chiavi CMEK per nei servizi Google Cloud compatibili e nelle tue applicazioni. Con Cloud KMS, puoi:

Genera chiavi software o hardware, importa le chiavi esistenti in Cloud KMS o collega chiavi esterne nella chiave esterna compatibile di gestione dei contenuti (EKM).
Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Google Cloud prodotti con l'integrazione CMEK. Le integrazioni CMEK utilizzano le tue chiavi CMEK per criptarle o eseguirne il wrapping le tue chiavi di crittografia dei dati (DEK, Data Encryption Keys). Il wrapping delle DEK con chiavi di crittografia della chiave (KEK) viene chiamato crittografia busta.
Utilizza Cloud KMS Autokey (Anteprima) per automatizzare il provisioning e compito. Con Autokey, non è necessario eseguire il provisioning dei keyring, di chiavi e account di servizio. Vengono generati invece della domanda nell'ambito della creazione di risorse.
Utilizza le chiavi Cloud KMS per le operazioni di crittografia e decriptazione. Per Ad esempio, puoi utilizzare l'API Cloud KMS o le librerie client utilizza le chiavi Cloud KMS per lato client la crittografia dei dati.
Utilizza le chiavi Cloud KMS per creare o verificare firme digitali o firme per il codice di autenticazione dei messaggi (MAC).

Scegli la crittografia adatta alle tue esigenze

Puoi usare la tabella seguente per identificare il tipo di crittografia che soddisfa le per ogni caso d'uso. La soluzione migliore per le tue esigenze potrebbe includere un mix di approcci alla crittografia. Ad esempio, potresti utilizzare chiavi software per i tuoi dati e hardware meno sensibili o chiavi esterne per le applicazioni e i dati di Google Cloud. Per ulteriori informazioni sulle opzioni di crittografia descritte in consulta Protezione dei dati in Google Cloud sulla su questa pagina.

Tipo di crittografia	Costo	Servizi compatibili	Funzionalità
Chiavi di proprietà di Google e gestite da Google (crittografia predefinita di Google Cloud)	Inclusa	Tutti i servizi Google Cloud che archiviano i dati dei clienti	Nessuna configurazione richiesta. Cripta automaticamente i dati dei clienti salvati in dal servizio Google Cloud. La maggior parte dei servizi ruota automaticamente le chiavi. Supporta la crittografia utilizzando AES-256. FIPS 140-2 Livello 1 convalidato.
Chiavi di crittografia gestite dal cliente software (chiavi Cloud KMS)	0,06 $ per versione della chiave	Più di 40 servizi	Sei tu a controllare la pianificazione automatica rotazione della chiave; i ruoli e le autorizzazioni IAM; attivare, disattivare o o eliminare le versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per la crittografia la decrittografia. Ruota automaticamente simmetriche. Supporta diversi comuni algoritmica. FIPS 140-2 Livello 1 convalidato. Le chiavi sono univoche per ogni cliente.
Gestita dal cliente chiavi di crittografia: hardware (chiavi Cloud HSM)	Da $ 1,00 a $2,50 per versione della chiave al mese	Più di 40 servizi	Gestito facoltativamente tramite Cloud KMS Autokey (anteprima). Sei tu a controllare la pianificazione automatica rotazione della chiave; i ruoli e le autorizzazioni IAM; attivare, disattivare o o eliminare le versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per la crittografia la decrittografia. Ruota automaticamente simmetriche. Supporta diversi comuni algoritmica. Certificato FIPS 140-2 Livello 3. Le chiavi sono univoche per ogni cliente.
Gestita dal cliente chiavi di crittografia - esterne (chiavi Cloud EKM)	3,00 $ per versione della chiave al mese	Più di 30 servizi	Sei tu a controllare i ruoli e le autorizzazioni IAM; attivare, o disabilitare o eliminare le versioni delle chiavi. Le chiavi non vengono mai inviate a Google. Il materiale delle chiavi si trova chiave esterna compatibile di gestione dei dispositivi (EKM). I servizi Google Cloud compatibili si connettono a il tuo provider EKM tramite internet o Virtual Private Cloud Google Cloud (VPC). Supporta chiavi simmetriche per la crittografia la decrittografia. Ruota manualmente le chiavi in coordinamento con Cloud EKM e il tuo provider EKM. Valido FIPS 140-2 Livello 2 o FIPS 140-2 Livello 3, a seconda sull'EKM. Le chiavi sono univoche per ogni cliente.
Crittografia lato client utilizzando le chiavi Cloud KMS	Il costo delle versioni delle chiavi attive dipende dal livello di protezione chiave.	Utilizzare le librerie client nelle tue applicazioni	Sei tu a controllare la pianificazione automatica rotazione della chiave; i ruoli e le autorizzazioni IAM; attivare, disattivare o o eliminare le versioni delle chiavi. Supporta chiavi simmetriche e asimmetriche per la crittografia, decriptazione, firma e convalida della firma. La funzionalità varia in base al livello di protezione della chiave.
Chiavi di crittografia fornite dal cliente	Potrebbe aumentare i costi associati a Compute Engine Cloud Storage	Compute Engine Spazio di archiviazione sul cloud	Fornisci i materiali chiave quando necessario. Il materiale delle chiavi risiede in memoria, Google non memorizzare le chiavi sui nostri server.
Confidential Computing	Costo aggiuntivo per ogni Confidential VM. potrebbe aumentare l'utilizzo dei log e i costi associati	Compute Engine GKE Dataproc	Fornisce la crittografia in uso per le VM che gestiscono dati sensibili carichi di lavoro con scale out impegnativi. Google non può accedere alle chiavi.

Protezione dei dati in Google Cloud

Chiavi di proprietà di Google e gestite da Google (crittografia predefinita di Google Cloud)

Per impostazione predefinita, i dati at-rest in Google Cloud sono protetti dalle chiavi Archivio chiavi, il servizio interno di gestione delle chiavi di Google. Le chiavi nell'archivio chiavi vengono gestite automaticamente da Google, senza necessità di configurazione da parte tua. Più alta ruotano automaticamente le chiavi. L'archivio chiavi supporta una chiave primaria e un numero limitato di versioni precedenti della chiave. La versione della chiave primaria è utilizzate per criptare le nuove chiavi di crittografia dei dati. È possibile continuare a utilizzare le versioni precedenti della chiave per decriptare le chiavi di crittografia dei dati esistenti. Non puoi visualizzare o gestire queste chiavi o esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave chiave di crittografia.

Questa crittografia predefinita utilizza moduli crittografici convalidati per essere Conforme allo standard FIPS 140-2 Livello 1.

Chiavi di crittografia gestite dal cliente (CMEK)

Chiavi Cloud KMS utilizzate per proteggere le risorse in I servizi integrati con CMEK sono chiavi di crittografia gestite dal cliente (CMEK). Puoi controllare le CMEK e controllarle, delegando al contempo attività di creazione e assegnazione delle chiavi Cloud KMS Autokey (anteprima). Per ulteriori informazioni di più sull'automazione del provisioning per le CMEK, vedi Cloud Key Management Service with Autokey.

Puoi utilizzare le chiavi Cloud KMS in servizi compatibili per aiutarti a raggiungere i seguenti obiettivi:

Possiedi le tue chiavi di crittografia.
Controlla e gestisci le tue chiavi di crittografia, inclusa la scelta della posizione, livello di protezione, creazione, controllo dell'accesso, rotazione, utilizzo ed eliminazione.
Eliminare selettivamente i dati protetti dalle chiavi in caso di offboarding o per correggere gli eventi di sicurezza (crypto-shredding).
Crea chiavi dedicate a singolo tenant che stabiliscono un confine crittografico intorno ai tuoi dati.
Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.
Rispettare le normative attuali o future che richiedono uno di questi obiettivi.

Quando utilizzi chiavi Cloud KMS con servizi integrati con CMEK, puoi usare dell'organizzazione per garantire che le CMEK vengano utilizzate come specificato criteri. Ad esempio, puoi impostare un criterio dell'organizzazione per garantire che le risorse Google Cloud compatibili usano Cloud KMS chiavi per la crittografia. I criteri dell'organizzazione possono inoltre specificare il progetto risorse della chiave devono risiedere.

Le funzionalità e il livello di protezione forniti dipendono dal livello di protezione di chiave:

Chiavi software: puoi generare chiavi software in Cloud KMS e e utilizzarle in tutte le località di Google Cloud. Tu Possono creare chiavi simmetriche con la rotazione automatica oppure chiavi asimmetriche con rotazione manuale. Utilizzo delle chiavi software gestite dal cliente Software convalidato FIPS 140-2 di livello 1 moduli di crittografia. Hai anche il controllo sul periodo di rotazione, Ruoli e autorizzazioni di Identity and Access Management (IAM) e criteri dell'organizzazione. che regolano le tue chiavi. Puoi utilizzare le chiavi software con oltre 40 risorse Google Cloud compatibili.
Chiavi software importate: puoi importare le chiavi software che hai creato. per l'uso in Cloud KMS. Puoi importare nuove versioni della chiave ruotare manualmente le chiavi importate. Puoi utilizzare i ruoli IAM autorizzazioni e criteri dell'organizzazione per gestire l'utilizzo delle chiavi importate.
Chiavi hardware e Cloud HSM: puoi generare chiavi hardware in un cluster di hardware FIPS 140-2 di livello 3 moduli di sicurezza (HSM). Hai il controllo sul periodo di rotazione, ruoli e autorizzazioni IAM e criteri dell'organizzazione le tue chiavi. Quando crei chiavi HSM utilizzando Cloud HSM, Google i cluster HSM al posto tuo. Puoi usare le chiavi HSM con oltre 40 strumenti compatibili con Google Cloud : gli stessi servizi che supportano le chiavi software. Per il massimo livello di conformità alla sicurezza, utilizza hardware chiave.
Chiavi esterne e Cloud EKM: puoi utilizzare le chiavi che risiedono in un gestore di chiavi esterno (EKM). Cloud EKM consente di utilizzare le chiavi conservate in un gestore di chiavi supportato per proteggere dell'accesso a specifiche risorse Google Cloud. Puoi connetterti al tuo EKM su internet o tramite una Virtual Private Cloud (VPC). Alcune funzionalità di Google Cloud i servizi che supportano chiavi hardware o software non supportano Chiavi Cloud EKM.

Chiavi Cloud KMS

Puoi utilizzare le chiavi Cloud KMS in applicazioni personalizzate utilizzando librerie client di Cloud KMS o API Cloud KMS. Le librerie client e API consentono di criptare e decriptare i dati, firmare i dati e convalidare le firme.

Chiavi di crittografia fornite dal cliente (CSEK)

Cloud Storage e Compute Engine possono utilizzare chiavi di crittografia fornite dal cliente (CSEK). Con il set di dati fornito dal cliente chiavi di crittografia, il materiale della chiave viene archiviato e fornito Cloud Storage o Compute Engine a seconda delle esigenze. Google non archiviare le CSEK in alcun modo.

Confidential Computing

In Compute Engine, GKE e Dataproc puoi Utilizzare la piattaforma Confidential Computing per criptare i dati in uso. Confidential Computing garantisce che i tuoi dati rimangano privati e criptati anche durante l'elaborazione.