Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselringe und Schlüssel auf Anfrage generiert. Dienstkonten, die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Sichtbarkeit über von Autokey erstellte Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.
Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die Branchenstandards und empfohlenen Praktiken für die Datensicherheit konsequent einhalten, einschließlich des HSM-Schutzniveaus, der Aufgabentrennung, der Schlüsselrotation, des Speicherorts und der Schlüsselspezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Cloud KMS Autokey eingebunden sind. Nach der Erstellung werden Schlüssel, die mit der Autokey-Funktion angefordert werden, genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen behandelt.
Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da Infrastruktur-als-Code nicht mehr mit erhöhten Berechtigungen zur Schlüsselerstellung ausgeführt werden muss.
Wenn Sie Autokey verwenden möchten, benötigen Sie eine Organisationsressource mit einer Ordnerressource. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.
Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Die Verwendung von Cloud KMS Autokey ist kostenlos. Mit Autokey erstellte Schlüssel kosten genauso viel wie andere Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.
Weitere Informationen zu Autokey finden Sie unter Autokey.
Zwischen Autokey und anderen Verschlüsselungsoptionen wählen
Cloud KMS mit Autokey ist wie ein Autopilot für kundenverwaltete Verschlüsselungsschlüssel: Er erledigt die Arbeit auf Abruf in Ihrem Namen. Sie müssen keine Schlüssel im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselnutzung sind konsistent. Sie können die Ordner definieren, in denen Autokey verwendet werden soll, und festlegen, wer es verwenden darf. Sie behalten die volle Kontrolle über die von Autokey erstellten Schlüssel. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln verwenden, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die von ihm erstellten Schlüssel wie jeden anderen Cloud KMS-Schlüssel verwenden.
Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine einheitliche Schlüsselnutzung in Projekten mit geringem Betriebsaufwand wünschen und die Empfehlungen von Google für Schlüssel einhalten möchten.
| Funktion | Standardmäßige Google-Verschlüsselung | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Kryptografische Isolation: Schlüssel sind nur für das Konto eines Kunden bestimmt. | Nein | Ja | Ja |
| Der Kunde ist Eigentümer der Schlüssel und verwaltet sie | Nein | Ja | Ja |
| Entwickler löst Schlüsselbereitstellung und ‑zuweisung aus | Ja | Nein | Ja |
| Spezifität: Schlüssel werden automatisch mit der empfohlenen Schlüsselgranularität erstellt. | Nein | Nein | Ja |
| Sie können Ihre Daten mit der Krypto-Schredder-Technologie vernichten. | Nein | Ja | Ja |
| Automatische Ausrichtung auf empfohlene Best Practices für die Schlüsselverwaltung | Nein | Nein | Ja |
| Es werden HSM-gestützte Schlüssel verwendet, die FIPS 140-2 Level 3 entsprechen. | Nein | Optional | Ja |
Wenn Sie ein anderes Schutzniveau als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden möchten, können Sie CMEK ohne Autokey verwenden.
Kompatible Dienste
In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:
| Dienst | Geschützte Ressourcen | Detaillierungsgrad des Schlüssels |
|---|---|---|
| Cloud Storage |
Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Bucket |
| Compute Engine |
Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen.
Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Ressource |
| BigQuery |
Autokey erstellt Standardschlüssel für Datensätze. Tabellen, Modelle, Abfragen und temporäre Tabellen innerhalb eines Datasets verwenden den Standardschlüssel des Datasets. Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen. |
Ein Schlüssel pro Ressource |
| Secret Manager |
Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Standort innerhalb eines Projekts |
| Cloud SQL |
Autokey erstellt keine Schlüssel für Cloud SQL- Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Ressource |
| Spanner |
Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Ressource |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Autokey – Übersicht.