A chave automática do Cloud KMS simplifica a criação e a utilização de chaves de encriptação geridas pelo cliente (CMEKs) através da automatização do aprovisionamento e da atribuição. Com o Autokey, os conjuntos de chaves e as chaves são gerados a pedido. As contas de serviço que usam as chaves para encriptar e desencriptar recursos são criadas e recebem funções de gestão de identidade e de acesso (IAM) quando necessário. Os administradores do Cloud KMS mantêm o controlo total e a visibilidade das chaves criadas pela Autokey, sem ter de planear previamente e criar cada recurso.
A utilização de chaves geradas pelo Autokey pode ajudar a alinhar-se consistentemente com as normas da indústria e as práticas recomendadas para a segurança dos dados, incluindo o nível de proteção do HSM, a separação de funções, a rotação de chaves, a localização e a especificidade das chaves. A chave automática cria chaves que seguem as diretrizes gerais e as diretrizes específicas do tipo de recurso para os Google Cloud serviços que se integram com a chave automática do Cloud KMS. Depois de criadas, as chaves pedidas através da função Autokey funcionam de forma idêntica a outras chaves do HSM na nuvem com as mesmas definições.
O Autokey também pode simplificar a utilização do Terraform para a gestão de chaves, removendo a necessidade de executar infraestrutura como código com privilégios de criação de chaves elevados.
Para usar o Autokey, tem de ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre os recursos de organização e pasta, consulte o artigo Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todas as Google Cloud localizações onde o Cloud HSM está disponível. Para mais informações sobre as localizações do Cloud KMS, consulte o artigo Localizações do Cloud KMS. Não existe nenhum custo adicional para usar a chave automática do Cloud KMS. As chaves criadas através da ferramenta Autokey têm o mesmo preço que quaisquer outras chaves do HSM na nuvem. Para mais informações sobre os preços, consulte os preços do Cloud Key Management Service.
Para mais informações sobre a Autokey, consulte a vista geral da Autokey.
Escolha entre a chave automática e outras opções de encriptação
O Cloud KMS com a chave automática é como um piloto automático para chaves de encriptação geridas pelo cliente: faz o trabalho em seu nome, a pedido. Não precisa de planear as chaves antecipadamente nem criar chaves que podem nunca ser necessárias. As chaves e a utilização das chaves são consistentes. Pode definir as pastas onde quer que o Autokey seja usado e controlar quem o pode usar. Mantém o controlo total das chaves criadas pela Autokey. Pode usar chaves do Cloud KMS criadas manualmente juntamente com chaves criadas através da Autokey. Pode desativar a chave automática e continuar a usar as chaves que criou da mesma forma que usaria qualquer outra chave do Cloud KMS.
A chave automática do Cloud KMS é uma boa escolha se quiser uma utilização consistente de chaves em vários projetos, com uma sobrecarga operacional baixa, e quiser seguir as recomendações da Google para chaves.
| Funcionalidade ou capacidade | Encriptação predefinida da Google | Cloud KMS | Chave automática do Cloud KMS |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas da conta de um cliente | Não | Sim | Sim |
| O cliente é proprietário e controla as chaves | Não | Sim | Sim |
| O programador aciona o aprovisionamento e a atribuição de chaves | Sim | Não | Sim |
| Especificidade: as chaves são criadas automaticamente na granularidade de chaves recomendada | Não | Não | Sim |
| Permite-lhe eliminar os seus dados através da eliminação criptográfica | Não | Sim | Sim |
| Alinha-se automaticamente com as práticas de gestão de chaves recomendadas | Não | Não | Sim |
| Usa chaves suportadas por HSMs em conformidade com o nível 3 da norma FIPS 140-2 | Não | Opcional | Sim |
Se precisar de usar um nível de proteção diferente de HSM ou um período de rotação personalizado, pode usar as CMEK sem a chave automática.
Serviços compatíveis
A tabela seguinte indica os serviços compatíveis com a chave automática do Cloud KMS:
| Serviço | Recursos protegidos | Nível de detalhe da chave |
|---|---|---|
| Artifact Registry |
O Autokey cria chaves durante a criação do repositório, usadas para todos os artefactos armazenados. |
Uma chave por recurso |
| BigQuery |
A chave automática cria chaves predefinidas para conjuntos de dados. As tabelas, os modelos, as consultas e as tabelas temporárias num conjunto de dados usam a chave predefinida do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, tem de criar as suas próprias chaves predefinidas ao nível do projeto ou da organização. |
Uma chave por recurso |
| Bigtable |
O Autokey cria chaves para clusters. O Autokey não cria chaves para recursos do Bigtable que não sejam clusters. O Bigtable só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou do Google Cloud SDK. |
Uma chave por cluster |
| AlloyDB para PostgreSQL |
O AlloyDB para PostgreSQL só é compatível com o Autokey do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por recurso |
| Cloud Run |
|
Uma chave por localização num projeto |
| Cloud SQL |
O Autokey não cria chaves para recursos do Cloud SQL. O Cloud SQL só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por recurso |
| Cloud Storage |
Os objetos num contentor de armazenamento usam a chave predefinida do contentor. O Autokey não cria chaves para recursos |
Uma chave por contentor |
| Compute Engine |
Os instantâneos usam a chave do disco do qual está a criar um instantâneo.
A chave automática não cria chaves para recursos |
Uma chave por recurso |
| Pub/Sub |
|
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por localização num projeto |
| Spanner |
O Spanner só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por recurso |
| Dataflow |
|
Uma chave por recurso |
O que se segue?
- Para saber como funciona a chave automática do Cloud KMS, consulte a vista geral da chave automática.