Esta página foi traduzida pela API Cloud Translation.

Visão geral do Cloud Key Management Service

O Cloud Key Management Service (Cloud KMS) permite criar e gerenciar chaves CMEK para nos serviços compatíveis do Google Cloud e nos seus aplicativos. Com o Cloud KMS, é possível fazer o seguinte:

Gere chaves de software ou hardware e importe chaves existentes para Cloud KMS ou vincule chaves externas na sua chave externa compatível de segurança da informação (EKM, na sigla em inglês).
Usar chaves de criptografia gerenciadas pelo cliente (CMEKs) no Google Cloud com integração de CMEK. as integrações de CMEK usam as chaves CMEK para criptografar ou "encapsular" as chaves de criptografia de dados (DEKs). O agrupamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado criptografia de envelope.
use o Autokey do Cloud KMS. (Pré-lançamento) para automatizar o provisionamento e atribuição. Com o Autokey, não é preciso provisionar keyrings, chaves e contas de serviço com antecedência. Em vez disso, eles são gerados demanda como parte da criação de recursos.
Use as chaves do Cloud KMS para operações de criptografia e descriptografia. Para exemplo, é possível usar a API Cloud KMS ou as bibliotecas de cliente para use as chaves do Cloud KMS para clientes criptografia.
Use as chaves do Cloud KMS para criar ou verificar assinaturas digitais ou assinaturas de código de autenticação de mensagens (MAC).

Escolha a criptografia ideal para suas necessidades

Você pode usar a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades para cada caso de uso. A melhor solução para suas necessidades pode incluir uma mistura de abordagens de criptografia. Por exemplo, é possível usar chaves de software dados e hardwares menos confidenciais ou chaves externas para seus dados. Para mais informações sobre as opções de criptografia descritas neste consulte Como proteger dados no Google Cloud em nesta página.

Tipo de criptografia	Custo	Serviços compatíveis	Recursos
Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud)	Incluído	Todos os serviços do Google Cloud que armazenam dados do cliente	Não é necessário configurar. Criptografa automaticamente os dados do cliente salvos em qualquer serviço do Google Cloud. A maioria dos serviços alterna as chaves automaticamente. Oferece suporte à criptografia usando AES-256. FIPS 140-2 Nível 1 validado.
Chaves de criptografia gerenciadas pelo cliente: software (chaves do Cloud KMS)	US$ 0,06 por versão de chave	40 ou mais serviços	Você controla a programação da rotação automática de chaves. papéis e permissões do IAM; ativar, desativar ou e destruir versões de chave. Oferece suporte a chaves simétricas e assimétricas para criptografia e a descriptografia. Faz rotação automática chaves simétricas. Oferece suporte a vários aplicativos algoritmos. FIPS 140-2 Nível 1 validado. As chaves são exclusivas de um cliente.
Gerenciadas pelo cliente chaves de criptografia: hardware (chaves do Cloud HSM)	US$ 1,00 a US $2,50 por versão de chave por mês	40 ou mais serviços	Gerenciado opcionalmente com o Autokey do Cloud KMS (Prévia). Você controla a programação da rotação automática de chaves. papéis e permissões do IAM; ativar, desativar ou e destruir versões de chave. Oferece suporte a chaves simétricas e assimétricas para criptografia e a descriptografia. Faz rotação automática chaves simétricas. Oferece suporte a vários aplicativos algoritmos. FIPS 140-2 Nível 3 validado. As chaves são exclusivas de um cliente.
Gerenciadas pelo cliente chaves de criptografia: externas (chaves do Cloud EKM)	US$ 3,00 por versão de chave por mês	Mais de 30 serviços	Você controla os papéis e as permissões do IAM. ativar, desativar ou destruir versões da chave. As chaves nunca são enviadas ao Google. O material da chave fica chave externa compatível provedor de identidade (EKM). Os serviços compatíveis do Google Cloud se conectam o provedor de EKM pela Internet ou Privado virtual Google Cloud (VPC). Oferece suporte a chaves simétricas para criptografia e a descriptografia. Faça a rotação manual das suas chaves em conjunto com o Cloud EKM e seu provedor de EKM. FIPS 140-2 Nível 2 ou FIPS 140-2 Nível 3 validado, dependendo no EKM. As chaves são exclusivas de um cliente.
Criptografia do lado do cliente usando chaves do Cloud KMS	O custo das versões de chave ativas depende do nível de proteção do de dados.	Usar bibliotecas de cliente nos seus aplicativos	Você controla a programação da rotação automática de chaves. papéis e permissões do IAM; ativar, desativar ou e destruir versões de chave. Oferece suporte a chaves simétricas e assimétricas para criptografia, descriptografia, assinatura e validação de assinaturas. A funcionalidade varia de acordo com o nível de proteção da chave.
Chaves de criptografia fornecidas pelo cliente	Pode aumentar os custos associados ao Compute Engine ou Cloud Storage	Compute Engine. Cloud Storage (em inglês)	Você fornece materiais importantes quando necessário. O material da chave fica na memória. O Google não armazena as chaves nos nossos servidores.
Computação confidencial	Custo extra para cada VM confidencial. pode aumentar o uso de registros e os custos associados	Compute Engine. GKE Dataproc	Fornece criptografia em uso para VMs que lidam com dados sensíveis ou do Google Cloud. As chaves não podem ser acessadas pelo Google.

Como proteger os dados no Google Cloud

Chaves de propriedade e gerenciadas pelo Google (criptografia padrão do Google Cloud)

Por padrão, os dados em repouso no Google Cloud são protegidos por chaves Keystore, o serviço interno de gerenciamento de chaves do Google. No Keystore, as chaves são gerenciadas automaticamente pelo Google, sem necessidade de configuração da sua parte. Mais frequentes automaticamente alternam as chaves para você. O keystore oferece suporte a uma chave primária mais recente e um número limitado de versões de chave mais antigas. A versão da chave primária é para criptografar novas chaves de criptografia de dados. Versões de chave mais antigas ainda podem ser usadas para descriptografar as chaves de criptografia de dados atuais. Não é possível visualizar nem gerenciar essas chaves ou revisar os registros de uso das chaves. Dados de vários clientes podem usar a mesma chave chave de criptografia de dados.

Essa criptografia padrão usa módulos criptográficos validados para serem Conformidade com FIPS 140-2 Nível 1.

Chaves de criptografia gerenciadas pelo cliente (CMEKs)

as chaves do Cloud KMS usadas para proteger seus recursos Os serviços integrados com CMEKs são chaves de criptografia gerenciadas pelo cliente (CMEKs). Você pode e controlar CMEKs, além de delegar tarefas de criação e atribuição de chaves Autokey do Cloud KMS (Pré-lançamento). Para saber para saber mais sobre como automatizar o provisionamento para CMEKs, consulte Cloud Key Management Service com Autokey.

É possível usar as chaves do Cloud KMS serviços compatíveis para ajudar você a atingir as metas a seguir:

Tenha suas chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo a escolha do local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
excluir seletivamente os dados protegidos pelas chaves em caso de desligamento ou para remediar ocorrências de segurança (trituração criptográfica).
Crie chaves dedicadas de locatário único que estabelecem um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e de dados às chaves de criptografia.
Cumprir regulamentos atuais ou futuros que exigem qualquer um desses objetivos.

Ao usar chaves do Cloud KMS com serviços integrados com CMEKs, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado políticas. Por exemplo, é possível definir uma política da organização que garante que seus recursos compatíveis do Google Cloud usam o serviço do Cloud KMS chaves para criptografia. As políticas da organização também podem especificar em que os recursos da chave precisam residir.

Os recursos e o nível de proteção fornecidos dependem do nível de proteção do a chave:

Chaves de software: é possível gerar chaves de software no Cloud KMS e em todos os locais do Google Cloud. Você podem criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. O uso de chaves de software gerenciadas pelo cliente Software com validação FIPS 140-2 Nível 1 módulos de criptografia. Também é possível controlar o período de rotação, Permissões e papéis do Identity and Access Management (IAM) e políticas da organização que regem suas chaves. É possível usar suas chaves de software com mais de recursos compatíveis do Google Cloud.
Chaves de software importadas: é possível importar chaves de software criadas por você. em outros lugares para uso no Cloud KMS. É possível importar novas versões de chave para fazer a rotação manual das chaves importadas. É possível usar os papéis do IAM e e políticas da organização para controlar o uso das chaves importadas.
Chaves de hardware e Cloud HSM: é possível gerar chaves de hardware no um cluster de hardware FIPS 140-2 Nível 3 de segurança na nuvem (HSMs, na sigla em inglês). Você controla o período de rotação as permissões e os papéis do IAM e as políticas da organização que para controlar suas chaves. Quando você cria chaves do HSM usando o Cloud HSM, gerencia os clusters do HSM para que você não precise fazer isso. É possível usar as chaves do HSM com mais de 40 Google Cloud compatíveis recursos, os mesmos serviços que oferecem suporte chaves de software. Para ter o mais alto nível de compliance de segurança, use hardware chaves.
Chaves externas e Cloud EKM: é possível usar chaves que residem no um gerenciador de chaves externo (EKM). O Cloud EKM permite que você use chaves mantidas um gerenciador de chaves compatível para proteger recursos do Google Cloud. É possível se conectar ao EKM pela Internet ou por uma Nuvem privada virtual (VPC). Um pouco do Google Cloud serviços que têm suporte a chaves de software ou hardware não têm suporte chaves do Cloud EKM.

Chaves do Cloud KMS

É possível usar as chaves do Cloud KMS em aplicativos personalizados com o Bibliotecas de cliente do Cloud KMS ou API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.

Chaves de criptografia fornecidas pelo cliente (CSEKs)

O Cloud Storage e o Compute Engine podem usar Chaves de criptografia fornecidas pelo cliente (CSEKs). Com dados fornecidos pelo cliente as chaves de criptografia, você armazena o material delas e fornece-o Cloud Storage ou Compute Engine, quando necessário. O Google não armazenar essas CSEKs de alguma forma.

Computação confidencial

No Compute Engine, GKE e Dataproc, é possível usar a plataforma de Computação confidencial para criptografar seus dados em uso. A Computação confidencial garante que seus dados permaneçam privados e criptografados mesmo enquanto são processados.