Autokey di Cloud KMS semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, keyring e chiavi vengono generati on demand. Account di servizio che usano le chiavi per criptare e decriptare le risorse, vengono create e i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il controllo e la visibilità completi sulle chiavi create da Autokey, senza dover pianificare e creare in anticipo ogni risorsa.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione dell'HSM, la separazione dei compiti, la rotazione delle chiavi, la posizione e la specificità delle chiavi. Autokey crea chiavi conformi a entrambe le linee guida generali e linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con Cloud KMS Autokey. Dopo la creazione, le chiavi richiesta utilizzando la funzione Autokey in modo identico ad altre Chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'uso di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con una creazione di chiavi elevata privilegiati.
Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse per l'organizzazione e le cartelle, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui Cloud HSM è disponibile. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. L'utilizzo di Autokey di Cloud KMS non comporta costi aggiuntivi. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per Per ulteriori informazioni sui prezzi, vedi Prezzi di Cloud Key Management Service.
Per ulteriori informazioni su Autokey, consulta la panoramica di Autokey.
Scegli tra Autokey e altre opzioni di crittografia
Cloud KMS con Autokey è come un Autopilot per gestite dal cliente: il lavoro viene svolto per tuo conto, on demand. Non è necessario pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessaria. Le chiavi e il loro utilizzo sono coerenti. Puoi definire le cartelle in cui vuoi che venga utilizzato Autokey e controllare chi può utilizzarlo. Conservi l'intero delle chiavi create da Autokey. Puoi utilizzare le chiavi Cloud KMS create manualmente insieme a quelle create utilizzando Autokey. Puoi disattivare Autokey e continuare a utilizzare le chiavi create nello stesso modo in cui utilizzeresti qualsiasi altra chiave Cloud KMS.
Cloud KMS Autokey è una buona scelta se vuoi un utilizzo coerente delle chiavi progetti con un overhead operativo ridotto e intendiamo seguire le per le chiavi.
| Caratteristica o capacità | Crittografia predefinita di Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive di un solo cliente account | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente con la granularità consigliata | No | No | Sì |
| Ti consente di eseguire il crypto-shredamento dei tuoi dati | No | Sì | Sì |
| Si allinea automaticamente alle pratiche di gestione delle chiavi consigliate | No | No | Sì |
| Utilizza chiavi basate su HSM conformi allo standard FIPS 140-2 di livello 3 | No | Facoltativo | Sì |
Se devi utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato,
puoi usare CMEK senza Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità delle chiavi |
|---|---|---|
| Cloud Storage |
Gli oggetti all'interno di un
bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per |
Una chiave per risorsa |
| BigQuery |
La funzionalità Autokey crea chiavi predefinite per i set di dati. Le tabelle, i modelli, le query e le tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. La funzionalità Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un devi creare le tue chiavi predefinite a livello di progetto a livello di organizzazione. |
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile solo con Cloud KMS Autokey quando si creano risorse con Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Cloud SQL |
Autokey non crea chiavi per Cloud SQL
Cloud SQL è compatibile solo con Cloud KMS Autokey quando si creano risorse con Terraform o l'API REST. |
Una chiave per risorsa |
| Spanner |
Spanner è compatibile solo con Cloud KMS Autokey quando si creano risorse con Terraform o l'API REST. |
Una chiave per risorsa |
Passaggi successivi
- Per scoprire di più sul funzionamento di Autokey di Cloud KMS, vedi Panoramica di Autokey.