Cloud KMS mit Autokey

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel on demand generiert. Dienstkonten, die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Übersicht über die von Autokey erstellten Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.

Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die Branchenstandards und empfohlenen Praktiken für die Datensicherheit einhalten, einschließlich HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüsselspezifität. Mit Autokey werden Schlüssel erstellt, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp für Google Cloud -Dienste spezifisch sind, die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, funktionieren Schlüssel, die mit Autokey angefordert wurden, identisch mit anderen Cloud HSM-Schlüsseln mit denselben Einstellungen.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da keine Infrastruktur als Code mit erhöhten Berechtigungen zum Erstellen von Schlüsseln ausgeführt werden muss.

Wenn Sie Autokey verwenden möchten, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Für mit Autokey erstellte Schlüssel gelten dieselben Preise wie für alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.

Weitere Informationen zu Autokey finden Sie unter Übersicht: Autokey.

Zwischen Autokey und anderen Verschlüsselungsoptionen wählen

Cloud KMS mit Autokey ist wie ein Autopilot für vom Kunden verwaltete Verschlüsselungsschlüssel: Es erledigt die Arbeit in Ihrem Namen und auf Anfrage. Sie müssen Schlüssel nicht im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselnutzung sind konsistent. Sie können die Ordner definieren, in denen Autokey verwendet werden soll, und festlegen, wer die Funktion nutzen darf. Sie behalten die volle Kontrolle über die von Autokey erstellten Schlüssel. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln verwenden, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die von Autokey erstellten Schlüssel weiterhin so verwenden wie jeden anderen Cloud KMS-Schlüssel.

Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine einheitliche Schlüsselverwendung in allen Projekten mit geringem Betriebsaufwand wünschen und die Empfehlungen von Google für Schlüssel befolgen möchten.

Funktion oder Merkmal Standardmäßige Google-Verschlüsselung Cloud KMS Cloud KMS Autokey
Kryptografische Isolation: Schlüssel sind ausschließlich für das Konto eines Kunden verfügbar. Nein Ja Ja
Kunde ist Eigentümer und Administrator der Schlüssel Nein Ja Ja
Entwickler löst die Schlüsselbereitstellung und ‑zuweisung aus Ja Nein Ja
Spezifität: Schlüssel werden automatisch mit der empfohlenen Schlüsselgranularität erstellt. Nein Nein Ja
Daten können kryptografisch gelöscht werden Nein Ja Ja
Automatische Anpassung an empfohlene Best Practices für die Schlüsselverwaltung Nein Nein Ja
Verwendet HSM-gestützte Schlüssel, die FIPS 140-2 Level 3 entsprechen Nein Optional Ja

Wenn Sie eine andere Schutzstufe als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden müssen, können Sie CMEK ohne Autokey verwenden.

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst Geschützte Ressourcen Schlüsselgranularität
Artifact Registry
  • artifactregistry.googleapis.com/Repository

Autokey erstellt Schlüssel während der Repository-Erstellung, die für alle gespeicherten Artefakte verwendet werden.

Ein Schlüssel pro Ressource
BigQuery
  • bigquery.googleapis.com/Dataset

Mit Autokey werden Standardschlüssel für Datasets erstellt. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden den Standardschlüssel des Datasets.

Mit Autokey werden keine Schlüssel für andere BigQuery-Ressourcen als Datasets erstellt. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.

Ein Schlüssel pro Ressource
Bigtable
  • bigtable.googleapis.com/Cluster

Mit Autokey werden Schlüssel für Cluster erstellt.

Autokey erstellt keine Schlüssel für andere Bigtable-Ressourcen als Cluster.

Bigtable ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder dem Google Cloud SDK erstellt werden.

Ein Schlüssel pro Cluster
AlloyDB for PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

AlloyDB for PostgreSQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
Ein Schlüssel pro Standort in einem Projekt
Cloud SQL
  • sqladmin.googleapis.com/Instance

Mit Autokey werden keine Schlüssel für Cloud SQL-BackupRun-Ressourcen erstellt. Wenn Sie eine Sicherung einer Cloud SQL-Instanz erstellen, wird die Sicherung mit dem vom Kunden verwalteten Schlüssel der primären Instanz verschlüsselt.

Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Cloud Storage
  • storage.googleapis.com/Bucket

Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Mit Autokey werden keine Schlüssel für storage.object-Ressourcen erstellt.

Ein Schlüssel pro Bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen. Mit Autokey werden keine Schlüssel für compute.snapshot-Ressourcen erstellt.

Ein Schlüssel pro Ressource
Pub/Sub
  • pubsub.googleapis.com/Topic
Ein Schlüssel pro Ressource
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Standort in einem Projekt
Spanner
  • spanner.googleapis.com/Database

Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

Ein Schlüssel pro Ressource
Dataflow
  • dataflow.googleapis.com/Job
Ein Schlüssel pro Ressource

Nächste Schritte