Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Key Management Service – Übersicht

Mit dem Cloud Key Management Service (Cloud KMS) können Sie CMEK-Schlüssel zur Verwendung in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen erstellen und verwalten. Mit Cloud KMS können Sie Folgendes tun:

Generieren Sie Software- oder Hardwareschlüssel, importieren Sie vorhandene Schlüssel in Cloud KMS oder verknüpfen Sie externe Schlüssel in Ihrem kompatiblen System zur externen Schlüsselverwaltung (EKM).
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud-Produkten mit CMEK-Integration. Bei CMEK-Integrationen werden Ihre CMEK-Schlüssel verwendet, um Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) zu verschlüsseln oder zu „verpacken“. Das Verpacken von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung bezeichnet.
Mit dem Cloud KMS Autokey (Vorabversion) können Sie die Bereitstellung und Zuweisung automatisieren. Mit Autokey müssen Sie Schlüsselbunde, Schlüssel und Dienstkonten nicht im Voraus bereitstellen. Stattdessen werden sie bei Bedarf im Rahmen der Ressourcenerstellung generiert.
Verwenden Sie Cloud KMS-Schlüssel zum Verschlüsseln und Entschlüsseln. Sie können beispielsweise die Cloud KMS API oder die Clientbibliotheken verwenden, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu nutzen.
Verwenden Sie Cloud KMS-Schlüssel, um digitale Signaturen oder MAC-Signaturen (Message Authentication Code) zu erstellen oder zu prüfen.

Die richtige Verschlüsselung für Ihre Anforderungen auswählen

In der folgenden Tabelle sehen Sie, welche Verschlüsselungsart Ihren Anforderungen für den jeweiligen Anwendungsfall entspricht. Die beste Lösung für Ihre Anforderungen könnte eine Mischung aus Verschlüsselungsansätzen umfassen. So können Sie beispielsweise Softwareschlüssel für Ihre am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für Ihre sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Google Cloud schützen.

Verschlüsselungstyp	Kosten	Kompatible Dienste	Features
Google-eigene und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)	Eingeschlossen	Alle Google Cloud-Dienste, die Kundendaten speichern	Keine Konfiguration erforderlich. Kundendaten, die in Google Cloud-Diensten gespeichert sind, werden automatisch verschlüsselt. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Unterstützt Verschlüsselung mit AES-256. Validierung gemäß FIPS 140-2 Level 1.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Software (Cloud KMS-Schlüssel)	0,06 $ pro Schlüsselversion	Mehr als 40 Dienstleistungen	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Es werden symmetrische und asymmetrische Schlüssel für die Verschlüsselung und Entschlüsselung unterstützt. Rotiert symmetrische Schlüssel automatisch. Unterstützt mehrere gängige Algorithmen. Validierung gemäß FIPS 140-2 Level 1. Schlüssel sind für einen Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel)	1,00 bis 2,50 $ pro Schlüsselversion und Monat	Mehr als 40 Dienstleistungen	Optional über den Cloud KMS-Autoschlüssel verwaltet (Vorabversion). Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Es werden symmetrische und asymmetrische Schlüssel für die Verschlüsselung und Entschlüsselung unterstützt. Rotiert symmetrische Schlüssel automatisch. Unterstützt mehrere gängige Algorithmen. Validierung gemäß FIPS 140-2 Level 3. Schlüssel sind für einen Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel)	3,00 $ pro Schlüsselversion und Monat	Mehr als 30 Dienstleistungen	Sie steuern IAM-Rollen und -Berechtigungen und können Schlüsselversionen aktivieren, deaktivieren oder löschen. Schlüssel werden niemals an Google gesendet. Schlüsselmaterial befindet sich bei einem kompatiblen externen Schlüsselverwaltungsanbieter (EKM). Kompatible Google Cloud-Dienste stellen über das Internet oder eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM-Anbieter her. Es werden symmetrische Schlüssel für die Ver- und Entschlüsselung unterstützt. Rotieren Sie Ihre Schlüssel in Abstimmung mit Cloud EKM und Ihrem EKM-Anbieter manuell. Je nach EKM wurde FIPS 140-2 Level 2 oder FIPS 140-2 Level 3 validiert. Schlüssel sind für einen Kunden eindeutig.
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln	Die Kosten aktiver Schlüsselversionen hängen vom Schutzniveau des Schlüssels ab.	Clientbibliotheken in Ihren Anwendungen verwenden	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung, Entschlüsselung, Signatur und Signaturvalidierung. Die Funktionen variieren je nach Schlüsselschutzniveau.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel	Kann die Kosten für Compute Engine oder Cloud Storage erhöhen.	Compute Engine Cloud Storage	Sie stellen bei Bedarf wichtige Materialien zur Verfügung. Schlüsselmaterial befindet sich im Arbeitsspeicher: Google speichert Ihre Schlüssel nicht dauerhaft auf unseren Servern.
Confidential Computing	Zusätzliche Kosten für jede Confidential VM; können die Lognutzung und die damit verbundenen Kosten erhöhen	Compute Engine GKE Dataproc	Bietet Verschlüsselung während der Verwendung für VMs, die sensible Daten oder Arbeitslasten verarbeiten. Google kann nicht auf die Schlüssel zugreifen.

Daten in Google Cloud schützen

Google-eigene und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)

Inaktive Daten in Google Cloud werden standardmäßig durch Schlüssel im Keystore, dem internen Schlüsselverwaltungsdienst von Google, geschützt. Schlüssel im Schlüsselspeicher werden von Google automatisch verwaltet, ohne dass eine Konfiguration von Ihrer Seite erforderlich ist. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Der Schlüsselspeicher unterstützt eine Primärschlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die Primärschlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Ältere Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden. Sie können diese Schlüssel nicht aufrufen oder verwalten oder die Schlüsselnutzungslogs prüfen. Daten von mehreren Kunden verwenden möglicherweise denselben Schlüsselverschlüsselungsschlüssel.

Diese Standardverschlüsselung verwendet kryptografische Module, die mit FIPS 140-2 Level 1 konform sind.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in CMEK-integrierten Diensten verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs). Sie können CMEKs besitzen und steuern und Aufgaben zum Erstellen und Zuweisen von Schlüsseln an den Cloud KMS-Autoschlüssel (Vorschau) delegieren. Weitere Informationen zum Automatisieren der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey.

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Sie sind Inhaber Ihrer Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Wahl des Standorts, des Schutzniveaus, der Erstellung, der Zugriffssteuerung, der Rotation, der Verwendung und des Löschens.
Löschen Sie Daten, die durch Ihre Schlüssel geschützt sind, selektiv für das Offboarding oder die Behebung von Sicherheitsvorfällen (Krypto-Shredding).
Erstellen Sie dedizierte Schlüssel mit einem Mandanten, die eine kryptografische Grenze für Ihre Daten festlegen.
Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren.
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die dafür sorgt, dass Ihre kompatiblen Google Cloud-Ressourcen Ihre Cloud KMS-Schlüssel zur Verschlüsselung verwenden. In Organisationsrichtlinien kann auch angegeben werden, in welchem Projekt sich die Schlüsselressourcen befinden müssen.

Die verfügbaren Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:

Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Google Cloud-Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Kundenverwaltete Softwareschlüssel verwenden gemäß FIPS 140-2 Level 1 validierte Softwarekryptografiemodule. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen (Identity and Access Management) sowie Organisationsrichtlinien, die Ihre Schlüssel steuern. Sie können Ihre Softwareschlüssel mit über 40 kompatiblen Google Cloud-Ressourcen verwenden.
Importierte Softwareschlüssel – Sie können Softwareschlüssel importieren, die Sie an anderer Stelle erstellt haben, um sie in Cloud KMS zu verwenden. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von Hardware-Sicherheitsmodulen (HSMs) von FIPS 140-2 Level 3 generieren. Sie haben die Kontrolle über den Rotationszeitraum, IAM-Rollen und -Berechtigungen sowie Organisationsrichtlinien, die Ihre Schlüssel steuern. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet Google die HSM-Cluster für Sie. Sie können HSM-Schlüssel mit über 40 kompatiblen Google Cloud-Ressourcen verwenden, also mit den Diensten, die auch Softwareschlüssel unterstützen. Für ein Höchstmaß an Sicherheitscompliance sollten Sie Hardwareschlüssel verwenden.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem External Key Manager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel in einem unterstützten Key Manager verwenden, um Ihre Google Cloud-Ressourcen zu schützen. Sie können eine Verbindung zu Ihrem EKM über das Internet oder über eine Virtual Private Cloud (VPC) herstellen. Einige Google Cloud-Dienste, die Software- oder Hardwareschlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel mithilfe der Cloud KMS-Clientbibliotheken oder der Cloud KMS API in benutzerdefinierten Anwendungen verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen validieren.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)

Cloud Storage und Compute Engine können vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs) verwenden. Mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln speichern Sie das Schlüsselmaterial und stellen es Cloud Storage oder Compute Engine bei Bedarf zur Verfügung. Google speichert Ihre CSEKs in keiner Weise.

Confidential Computing

In Compute Engine, GKE und Dataproc können Sie Ihre aktiven Daten mit der Confidential Computing-Plattform verschlüsseln. Confidential Computing sorgt dafür, dass Ihre Daten auch während der Verarbeitung privat und verschlüsselt bleiben.