使用 Autokey 的 Cloud KMS

Cloud KMS Autokey 可自動佈建及指派客戶管理加密金鑰 (CMEK),簡化建立及使用程序。Autokey 會根據需求產生金鑰環和金鑰,系統會視需要建立使用金鑰加密及解密資源的服務帳戶,並授予身分與存取權管理 (IAM) 角色。Cloud KMS 管理員可全權控管及查看 Autokey 建立的金鑰,無需事先規劃及建立各項資源。

使用 Autokey 產生的金鑰,有助於您持續遵循資料安全性的業界標準和建議做法,包括 HSM 防護等級、權責劃分、金鑰輪替、位置和金鑰專用原則等。Autokey 會建立金鑰,這些金鑰遵循一般準則和 Google Cloud 服務的資源類型專屬準則,並與 Cloud KMS Autokey 整合。使用 Autokey 建立金鑰後,這些金鑰的運作方式與其他具有相同設定的 Cloud HSM 金鑰完全相同。

Autokey 也能簡化 Terraform 的金鑰管理作業,不必再以提升的金鑰建立權限執行基礎架構即程式碼。

如要使用 Autokey,您必須擁有包含資料夾資源的機構資源。如要進一步瞭解機構和資料夾資源,請參閱「資源階層」。

Cloud KMS Autokey 適用於所有 Google Cloud 提供 Cloud HSM 的位置。如要進一步瞭解 Cloud KMS 位置,請參閱 Cloud KMS 位置。使用 Cloud KMS Autokey 不會產生額外費用。使用 Autokey 建立的金鑰與其他 Cloud HSM 金鑰的價格相同。如要進一步瞭解定價,請參閱 Cloud Key Management Service 定價

如要進一步瞭解 Autokey,請參閱「Autokey 總覽」。

選擇 Autokey 和其他加密選項

使用 Autokey 的 Cloud KMS 就像客戶自行管理加密金鑰的自動駕駛系統,可根據需求代您完成工作。您不需要事先規劃金鑰,也不必建立可能永遠用不到的金鑰。金鑰和金鑰使用情形一致。您可以定義要使用 Autokey 的資料夾,並控管使用權限。您仍可完全控管 Autokey 建立的金鑰。您可以將手動建立的 Cloud KMS 金鑰,與使用 Autokey 建立的金鑰搭配使用。您可以停用 Autokey,並繼續使用 Autokey 建立的金鑰,就像使用任何其他 Cloud KMS 金鑰一樣。

如果您希望在各個專案中一致使用金鑰,並降低作業管理負擔,同時遵循 Google 的金鑰建議,那麼 Cloud KMS Autokey 就是不錯的選擇。

功能或能力 Google 預設加密機制 Cloud KMS Cloud KMS Autokey
密碼編譯隔離:金鑰專屬於單一客戶的帳戶
客戶擁有及控管金鑰
開發人員觸發金鑰佈建和指派作業
具體性:系統會以建議的金鑰精細度自動建立金鑰
可讓您以加密方式清除資料
自動配合建議的金鑰管理做法
使用符合 FIPS 140-2 第 3 級規定的 HSM 支援金鑰 選用

如需使用 HSM 以外的保護層級或自訂輪換週期,可以使用不含 Autokey 的 CMEK

相容服務

下表列出與 Cloud KMS Autokey 相容的服務:

服務 受保護的資源 索引鍵精細程度
Artifact Registry
  • artifactregistry.googleapis.com/Repository

Autokey 會在建立存放區時建立金鑰,用於所有儲存的構件。

 每個資源一個金鑰
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey 會為資料集建立預設金鑰。資料集中的資料表、模型、查詢和臨時資料表會使用資料集預設金鑰。

Autokey 不會為資料集以外的 BigQuery 資源建立金鑰。如要保護不屬於資料集的資源,您必須在專案或機構層級建立自己的預設金鑰。

 每個資源一個金鑰
Bigtable
  • bigtable.googleapis.com/Cluster

Autokey 會為叢集建立金鑰。

Autokey 不會為叢集以外的 Bigtable 資源建立金鑰。

使用 Terraform 或 Google Cloud SDK 建立資源時,Bigtable 僅與 Cloud KMS Autokey 相容。

 每個叢集一個金鑰
AlloyDB for PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

使用 Terraform 或 REST API 建立資源時,PostgreSQL 適用的 AlloyDB 僅與 Cloud KMS Autokey 相容。

 每個資源一個金鑰
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
 每個資源一個金鑰
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey 不會為 Cloud SQL BackupRun資源建立金鑰。建立 Cloud SQL 執行個體的備份時,系統會使用主要執行個體的客戶管理金鑰加密備份。

使用 Terraform 或 REST API 建立資源時,Cloud SQL 僅與 Cloud KMS Autokey 相容。

 每個資源一個金鑰
Cloud Storage
  • storage.googleapis.com/Bucket

儲存空間值區中的物件會使用值區預設金鑰。Autokey 不會為 storage.object 資源建立金鑰。

 每個 bucket 一個金鑰
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

快照會使用您要建立快照的磁碟金鑰。 Autokey 不會為 compute.snapshot 資源建立金鑰。

 每個資源一個金鑰
Pub/Sub
  • pubsub.googleapis.com/Topic
 每個資源一個金鑰
Secret Manager
  • secretmanager.googleapis.com/Secret

使用 Terraform 或 REST API 建立資源時,Secret Manager 僅與 Cloud KMS Autokey 相容。

 每個專案位置一個金鑰
Spanner
  • spanner.googleapis.com/Database

使用 Terraform 或 REST API 建立資源時,Spanner 僅與 Cloud KMS Autokey 相容。

 每個資源一個金鑰
Dataflow
  • dataflow.googleapis.com/Job
 每個資源一個金鑰

後續步驟

  • 如要進一步瞭解 Cloud KMS Autokey 的運作方式,請參閱Autokey 總覽