Cloud KMS mit Autokey

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey, Schlüsselbunde und Schlüssel werden bei Bedarf generiert. Dienstkonten, die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die vollständige Kontrolle und Sichtbarkeit für von Autokey erstellte Schlüssel, ohne die jede Ressource im Voraus planen und erstellen müssen.

Die Verwendung der von Autokey generierten Schlüssel kann Ihnen helfen, Branchenstandards und empfohlenen Praktiken für die Datensicherheit, einschließlich der HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüssel und Spezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, die über die Autokey-Funktion angefragt wurde, Cloud HSM-Schlüssel mit denselben Einstellungen.

Autokey kann auch die Nutzung von Terraform für die Schlüsselverwaltung vereinfachen. Wegfall der Notwendigkeit, Infrastruktur als Code mit umfassender Schlüsselerstellung auszuführen Berechtigungen.

Wenn Sie Autokey verwenden möchten, benötigen Sie eine Organisationsressource mit einer Ordnerressource. Weitere Informationen zu Organisations- und Ordnerressourcen Siehe Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS finden Sie unter Cloud KMS-Standorte. Es gibt keine zusätzliche Kosten für die Nutzung von Cloud KMS Autokey. Mit Autokey erstellte Schlüssel kosten genauso viel wie andere Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.

Weitere Informationen zu Autokey finden Sie unter Autokey – Übersicht

Zwischen Autokey und anderen Verschlüsselungsoptionen wählen

Cloud KMS mit Autokey ist wie ein Autopilot für kundenverwaltete Verschlüsselungsschlüssel: Er erledigt die Arbeit auf Abruf in Ihrem Namen. Sie müssen keine Schlüssel im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselverwendung sind einheitlich. Sie können die Ordner definieren, Sie möchten Autokey verwenden und steuern, wer es nutzen kann. Sie behalten volle die von Autokey erstellten Schlüssel verwalten. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die von ihm erstellten Schlüssel wie jeden anderen Cloud KMS-Schlüssel verwenden.

Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine einheitliche Schlüsselnutzung in Projekten mit geringem Betriebsaufwand wünschen und die Empfehlungen von Google für Schlüssel einhalten möchten.

Funktion oder Fähigkeit Standardmäßige Google-Verschlüsselung Cloud KMS Cloud KMS Autokey
Kryptografische Isolation: Schlüssel sind nur für das Konto eines Kunden bestimmt. Nein Ja Ja
Der Kunde ist Eigentümer der Schlüssel und verwaltet sie Nein Ja Ja
Entwickler löst Schlüsselbereitstellung und ‑zuweisung aus Ja Nein Ja
Spezifität: Schlüssel werden automatisch mit der empfohlenen Schlüsselgranularität erstellt. Nein Nein Ja
Ermöglicht das Krypto-Shred für Ihre Daten Nein Ja Ja
Automatische Ausrichtung auf empfohlene Best Practices für die Schlüsselverwaltung Nein Nein Ja
Verwendung von HSM-gestützten Schlüsseln, die FIPS 140-2 Level 3-konform sind Nein Optional Ja

Wenn Sie ein anderes Schutzniveau als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden möchten, können Sie CMEK ohne Autokey verwenden.

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst Geschützte Ressourcen Detaillierungsgrad des Schlüssels
Cloud Storage
  • storage.googleapis.com/Bucket

Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Autokey erstellt nicht Schlüssel für storage.object Ressource.

Ein Schlüssel pro Bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen. Autokey erstellt keine Schlüssel für compute.snapshot Ressourcen.

Ein Schlüssel pro Ressource
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey erstellt Standardschlüssel für Datensätze. Tabellen, Modelle, Abfragen und temporäre Tabellen innerhalb eines Datasets verwenden den Standardschlüssel des Datasets.

Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Dataset ist, müssen Sie Ihre eigenen Standardschlüssel im Projekt oder Organisationsebene.

Ein Schlüssel pro Ressource
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager ist nur mit Cloud KMS Autokey kompatibel wenn Sie Ressourcen mit Terraform oder der REST API erstellen.

Ein Schlüssel pro Standort innerhalb eines Projekts
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey erstellt keine Schlüssel für Cloud SQL BackupRun Ressourcen. Wenn Sie eine Sicherung einer Cloud SQL-Instanz wird die Sicherung mit der primären Instanz verschlüsselt, des vom Kunden verwalteten Schlüssels der Instanz.

Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Spanner
  • spanner.googleapis.com/Database

Spanner ist nur mit Cloud KMS Autokey kompatibel wenn Sie Ressourcen mit Terraform oder der REST API erstellen.

Ein Schlüssel pro Ressource

Nächste Schritte