Autokey di Cloud KMS semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi automatizzate e le chiavi vengono generate on demand. Gli account di servizio che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e a cui vengono assegnati i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il controllo e la visibilità completi sulle chiavi create da Autokey, senza dover pianificare e creare in anticipo ogni risorsa.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione dell'HSM, la separazione dei compiti, rotazione della chiave, la posizione e la specificità delle chiavi. Autokey crea chiavi che rispettano sia le linee guida generali sia quelle specifiche per il tipo di risorsa per i servizi Google Cloud integrati con Autokey di Cloud KMS. Una volta create, le chiavi richieste utilizzando la funzione Autokey sono identiche alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati per la creazione di chiavi.
Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse organizzazione e cartella, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. L'utilizzo di Autokey di Cloud KMS non comporta costi aggiuntivi. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per maggiori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Per ulteriori informazioni su Autokey, consulta la panoramica di Autokey.
Scegliere tra Autokey e altre opzioni di crittografia
Cloud KMS con Autokey è come un autopilota per le chiavi di crittografia gestite dal cliente: esegue il lavoro per tuo conto, su richiesta. Non è necessario pianificare le chiavi in anticipo o crearne di cui potresti non avere mai bisogno. Le chiavi e il loro utilizzo sono coerenti. Puoi definire le cartelle in cui vuoi che venga utilizzato Autokey e controllare chi può utilizzarlo. Mantieni il controllo completo delle chiavi create da Autokey. Puoi utilizzare le chiavi Cloud KMS create manualmente insieme alle chiavi create utilizzando Autokey. Puoi disattivare Autokey e continuare a utilizzare le chiavi create nello stesso modo in cui utilizzeresti qualsiasi altra chiave Cloud KMS.
Autokey di Cloud KMS è una buona scelta se vuoi un utilizzo coerente delle chiavi tra i progetti, con un overhead operativo ridotto e vuoi seguire i consigli di Google per le chiavi.
| Funzionalità o capacità | Crittografia predefinita di Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive per l'account di un cliente | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente con la granularità consigliata | No | No | Sì |
| Consente di distruggere i dati tramite crittografia | No | Sì | Sì |
| Si allinea automaticamente alle best practice consigliate per la gestione delle chiavi | No | No | Sì |
| Utilizza chiavi basate su HSM conformi allo standard FIPS 140-2 di livello 3 | No | Facoltativo | Sì |
Se devi utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato,
puoi utilizzare CMEK senza Autokey.
Servizi compatibili
Nella tabella seguente sono elencati i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità delle chiavi |
|---|---|---|
| Cloud Storage |
Gli oggetti all'interno di un
bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per le risorse |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Le tabelle, i modelli, le query e le tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. La funzionalità Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o dell'organizzazione. |
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile con Cloud KMS Autokey solo per la creazione di risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Cloud SQL |
Autokey non crea chiavi per le risorse Cloud SQL. Cloud SQL è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Spanner |
Spanner è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
Passaggi successivi
- Per scoprire di più sul funzionamento di Cloud KMS Autokey, consulta la Panoramica di Autokey.