Cloud Key Management Service – Übersicht

Mit Cloud Key Management Service (Cloud KMS) können Sie kryptografische Schlüssel erstellen und verwalten, die in kompatiblen Diensten von Google Cloud und in Ihren eigenen Anwendungen verwendet werden. Mit Cloud KMS können Sie Folgendes tun:

  • Sie können Software- oder Hardwareschlüssel generieren, vorhandene Schlüssel in Cloud KMS importieren oder externe Schlüssel in Ihrem kompatiblen externen Schlüsselverwaltungssystem (EKM) verknüpfen.
  • Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud-Produkten mit CMEK-Integration. Bei CMEK-Integrationen werden Ihre Cloud KMS-Schlüssel verwendet, um Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) zu verschlüsseln oder zu „verpacken“. Das Umschließen von DEKs mit Schlüsselverschlüsselungsschlüsseln (KEKs) wird als Umschlagverschlüsselung bezeichnet.
  • Verwenden Sie Cloud KMS Autokey, um die Bereitstellung und Zuweisung zu automatisieren. Mit Autokey müssen Sie keine Schlüsselbunde, Schlüssel und Dienstkonten im Voraus bereitstellen. Stattdessen werden sie bei der Ressourcenerstellung auf Anfrage generiert.
  • Verwenden Sie Cloud KMS-Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge. Sie können beispielsweise die Cloud KMS API oder Clientbibliotheken verwenden, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu verwenden.
  • Verwenden Sie Cloud KMS-Schlüssel, um digitale Signaturen oder MAC-Signaturen (Message Authentication Code) zu erstellen oder zu überprüfen.

Die richtige Verschlüsselung für Ihre Anforderungen auswählen

In der folgenden Tabelle können Sie sehen, welche Art der Verschlüsselung für jeden Anwendungsfall geeignet ist. Die beste Lösung für Ihre Anforderungen kann eine Kombination aus Verschlüsselungsansätzen umfassen. Sie können beispielsweise Softwareschlüssel für die am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für die sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Google Cloudschützen.

  • Agent Assist
  • AI Platform Training
  • AlloyDB for PostgreSQL
  • Anti Money Laundering AI
  • Apigee
  • Apigee API-Hub
  • Application Integration
  • Artifact Registry
  • Backup for GKE
  • BigQuery
  • Bigtable
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Healthcare API
  • Cloud Logging
  • Cloud Run
  • Cloud Run-Funktionen
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Workstations
  • Colab Enterprise
  • Compute Engine
  • Dialogorientierte Insights
  • Database Migration Service
  • Dataflow
  • Dataform
  • Dataproc
  • Dataproc Metastore
  • Datastream
  • Dialogflow CX
  • Document AI
  • Eventarc Advanced
  • Eventarc Standard
  • Filestore
  • Firestore
  • Gemini Code Assist
  • Von Google verwalteter Dienst für Apache Kafka
  • Google Cloud NetApp Volumes
  • Google Distributed Cloud
  • Google Kubernetes Engine
  • Integration Connectors
  • Looker (Google Cloud Core)
  • Memorystore for Redis
  • Migrate to Virtual Machines
  • Pub/Sub
  • Secret Manager
  • Secure Source Manager
  • Spanner
  • Speaker ID
  • Speech-to-Text
  • Vertex AI
  • Vertex AI Agent Builder
  • Vertex AI Workbench
  • Vertex AI Workbench-Instanzen
  • Workflows
  • Beliebig
  • Stufe 1
  • Stufe 2
  • Stufe 3
Verschlüsselungstyp Kosten Kompatible Dienste Features
Von Google verwaltete Verschlüsselungsschlüssel, die von Google verwaltet werden (Google Cloud Standardverschlüsselung) Enthalten Alle Google Cloud -Dienste, in denen Kundendaten gespeichert werden
  • Keine Konfiguration erforderlich.
  • Verschlüsselt automatisch Kundendaten, die in einem beliebigen Google Cloud -Dienst gespeichert sind.
  • Die meisten Dienste rotieren Schlüssel automatisch.
  • Unterstützt die Verschlüsselung mit AES-256.
  • Validiert gemäß FIPS 140-2 Level 1.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Software
(Cloud KMS-Schlüssel)
0,06 $ pro Schlüsselversion Mehr als 40 Dienste
Vom Kunden verwaltete Verschlüsselungsschlüssel – Hardware
(Cloud HSM-Schlüssel)
1,00 bis 2,50 $ pro Schlüsselversion und Monat Mehr als 40 Dienste
Vom Kunden verwaltete Verschlüsselungsschlüssel – extern
(Cloud EKM-Schlüssel)
3,00 $ pro Schlüsselversion und Monat Über 30 Dienste
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln Die Kosten für aktive Schlüsselversionen hängen vom Schutzniveau des Schlüssels ab. Clientbibliotheken in Ihren Anwendungen verwenden
  • Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen.
  • Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung, Entschlüsselung, Signatur und Signaturvalidierung.
  • Die Funktionalität variiert je nach Schutzniveau des Schlüssels.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel Die Kosten für die Compute Engine oder Cloud Storage können steigen.
  • Sie stellen bei Bedarf wichtige Materialien zur Verfügung.
  • Schlüsselmaterial befindet sich im Arbeitsspeicher. Google speichert Ihre Schlüssel nicht dauerhaft auf seinen Servern.
Confidential Computing Zusätzliche Kosten für jede vertrauliche VM; kann die Protokollnutzung und die damit verbundenen Kosten erhöhen
  • Bietet die Verschlüsselung aktiver Daten für VMs, die mit sensiblen Daten oder Arbeitslasten umgehen.
  • Google kann nicht auf Schlüssel zugreifen.

Daten in Google Cloudschützen

Verschlüsselungsschlüssel, die von Google verwaltet werden und auf Google Cloud basieren (Google Cloud Standardverschlüsselung)

Standardmäßig werden ruhende Daten in Google Cloud durch Schlüssel im Keystore geschützt, dem internen Schlüsselverwaltungsdienst von Google Cloud. Schlüssel im Schlüsselspeicher werden automatisch von Google Cloudverwaltet. Sie müssen nichts konfigurieren. Bei den meisten Diensten werden Schlüssel automatisch für Sie rotiert. Der Schlüsselspeicher unterstützt eine primäre Schlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die primäre Schlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Ältere Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden. Sie können diese Schlüssel nicht aufrufen oder verwalten und auch keine Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel verwendet werden.

Bei dieser Standardverschlüsselung werden kryptografische Module verwendet, die FIPS 140-2 Level 1-konform sind.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in CMEK-integrierten Diensten verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Sie können CMEKs besitzen und verwalten und die Aufgaben zum Erstellen und Zuweisen von Schlüsseln an Cloud KMS Autokey delegieren. Weitere Informationen zur Automatisierung der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey.

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

  • Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.

  • Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.

  • Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei Offboarding oder zur Behebung von Sicherheitsereignissen selektiv löschen (Crypto-Shredding).

  • Erstellen Sie spezielle Schlüssel für einzelne Mieter, die eine kryptografische Grenze um Ihre Daten herum festlegen.

  • Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren

  • Sie müssen aktuelle oder zukünftige Bestimmungen einhalten, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die dafür sorgt, dass Ihre kompatiblen Google Cloud- Ressourcen Ihre Cloud KMS-Schlüssel zur Verschlüsselung verwenden. In Organisationsrichtlinien kann auch festgelegt werden, in welchem Projekt sich die wichtigen Ressourcen befinden müssen.

Die Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:

  • Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Standorten in der verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Für vom Kunden verwaltete Softwareschlüssel werden gemäß FIPS 140-2 Level 1 validierte Softwarekryptografiemodule verwendet. Außerdem haben Sie die Möglichkeit, die Rotationsdauer, IAM-Rollen und ‑Berechtigungen sowie die Richtlinien der Organisation zu verwalten, die für Ihre Schlüssel gelten. Sie können Ihre Softwareschlüssel mit vielen kompatiblen Google Cloud-Ressourcen verwenden.

  • Importierte Softwareschlüssel: Sie können Softwareschlüssel, die Sie an anderer Stelle erstellt haben, zur Verwendung in Cloud KMS importieren. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen, Berechtigungen und Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.

  • Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von FIPS 140-2 Level 3-Hardwaresicherheitsmodulen (HSMs) generieren. Sie haben die Kontrolle über die Rotationsdauer, IAM-Rollen und -Berechtigungen sowie die Organisationsrichtlinien, die für Ihre Schlüssel gelten. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, werden die HSM-Cluster von Google Cloudverwaltet, sodass Sie das nicht tun müssen. Sie können Ihre HSM-Schlüssel mit vielen kompatiblen Google Cloud-Ressourcen verwenden – denselben Diensten, die Softwareschlüssel unterstützen. Verwenden Sie für die höchste Sicherheitsanforderungen Hardwareschlüssel.

  • Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem externen Schlüsselmanager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel verwenden, die in einem unterstützten Schlüsselmanager gespeichert sind, um IhreGoogle Cloud- Ressourcen zu schützen. Sie können eine Verbindung zu Ihrem EKM über das Internet oder über eine Virtual Private Cloud (VPC) herstellen. Einige Google Cloud- Dienste, die Cloud KMS-Schlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.

Weitere Informationen dazu, welche Cloud KMS-Standorte welche Schutzebenen unterstützen, finden Sie unter Cloud KMS-Standorte.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen mithilfe der Cloud KMS-Clientbibliotheken oder der Cloud KMS API verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, signieren und Signaturen validieren.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs)

Cloud Storage und Compute Engine können vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs) verwenden. Bei vom Kunden bereitgestellten Verschlüsselungsschlüsseln speichern Sie das Schlüsselmaterial und stellen es bei Bedarf Cloud Storage oder der Compute Engine zur Verfügung. Google Cloud speichert Ihre CSEKs in keiner Weise.

Confidential Computing

In Compute Engine, GKE und Dataproc können Sie die Confidential Computing-Plattform verwenden, um Ihre aktiven Daten zu verschlüsseln. Mit Confidential Computing bleiben Ihre Daten auch während der Verarbeitung vertraulich und verschlüsselt.