此页面由 Cloud Translation API 翻译。

Cloud KMS with Autokey

Cloud KMS Autokey 通过自动执行预配和分配来简化客户管理的加密密钥 (CMEK) 的创建和使用。借助 Autokey，系统会按需生成密钥环和密钥。系统会根据需要创建使用密钥加密和解密资源的服务账号，并向其授予 Identity and Access Management (IAM) 角色。Cloud KMS 管理员可以继续完全控制由 Autokey 创建的密钥，并可查看这些密钥，而无需预先规划和创建每个资源。

使用 Autokey 生成的密钥有助于您始终遵循数据安全方面的业界标准和建议做法，包括 HSM 保护级别、职责分离、密钥轮替、位置和密钥专用性。Autokey 创建的密钥既遵循一般准则，也遵循与 Cloud KMS Autokey 集成的 Google Cloud 服务的资源类型专用准则。创建后，使用 Autokey 请求的密钥的运作方式与具有相同设置的其他 Cloud HSM 密钥完全相同。

Autokey 还可以简化 Terraform 在密钥管理方面的使用，让您无需使用提升的密钥创建权限运行基础架构即代码。

如需使用 Autokey，您必须拥有包含文件夹资源的组织资源。如需详细了解组织和文件夹资源，请参阅资源层次结构。

Cloud KMS Autokey 在提供 Cloud HSM 的所有 Google Cloud 位置均可用。如需详细了解 Cloud KMS 位置，请参阅 Cloud KMS 位置。使用 Cloud KMS Autokey 无需额外付费。使用 Autokey 创建的密钥的价格与任何其他 Cloud HSM 密钥相同。如需详细了解价格，请参阅 Cloud Key Management Service 价格。

如需详细了解 Autokey，请参阅 Autokey 概览。

在 Autokey 和其他加密选项之间进行选择

Cloud KMS with Autokey 就像客户管理的加密密钥的自动驾驶系统：它会根据需要代表您执行相应工作。您无需提前规划密钥，也不必创建可能永远用不到的密钥。键和键用法保持一致。您可以指定要使用 Autokey 的文件夹，并控制哪些人可以使用它。您对 Autokey 创建的密钥拥有完全的控制权。您可以将手动创建的 Cloud KMS 密钥与使用 Autokey 创建的密钥搭配使用。您可以停用 Autokey，并继续使用它创建的密钥，就像使用任何其他 Cloud KMS 密钥一样。

如果您希望在多个项目中使用一致的密钥，同时希望运营开销较低，并希望遵循 Google 针对密钥的建议，Cloud KMS Autokey 是一个不错的选择。

功能或能力	Google 默认加密方式	Cloud KMS	Cloud KMS Autokey
加密隔离：密钥专属于一位客户的账号	否	是	是
客户拥有和控制密钥	否	是	是
开发者触发密钥配置和分配	是	否	是
具体性：系统会按照建议的键精细级别自动创建键	否	否	是
可对数据进行加密碎片化	否	是	是
自动遵循建议的密钥管理做法	否	否	是
使用符合 FIPS 140-2 3 级要求且由 HSM 支持的密钥	否	可选	是

如果您需要使用 HSM 以外的保护级别或自定义轮替周期，则可以使用 CMEK 而无需使用 Autokey。

兼容的服务

下表列出了与 Cloud KMS AutoKey 兼容的服务：

服务	受保护资源	键粒度
Cloud Storage	`storage.googleapis.com/Bucket` 存储桶中的对象会使用存储桶默认密钥。Autokey 不会为 `storage.object` 资源创建密钥。	每个存储桶一个键
Compute Engine	`compute.googleapis.com/Disk` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/MachineImage` 快照使用您要为其创建快照的磁盘的密钥。 Autokey 不会为 `compute.snapshot` 资源创建密钥。	每项资源一个密钥
BigQuery	`bigquery.googleapis.com/Dataset` Autokey 会为数据集创建默认密钥。数据集中的表、模型、查询和临时表使用数据集默认密钥。 Autokey 不会为数据集以外的 BigQuery 资源创建密钥。如需保护不属于数据集的资源，您必须在项目级别或组织级别创建自己的默认密钥。	每项资源一个密钥
Secret Manager	`secretmanager.googleapis.com/Secret` 只有在使用 Terraform 或 REST API 创建资源时，Secret Manager 才与 Cloud KMS Autokey 兼容。	项目中每个位置一个密钥
Cloud SQL	`sqladmin.googleapis.com/Instance` Autokey 不会为 Cloud SQL `BackupRun` 资源创建密钥。创建 Cloud SQL 实例的备份时，系统会使用主实例的客户管理密钥加密备份。只有在使用 Terraform 或 REST API 创建资源时，Cloud SQL 才与 Cloud KMS Autokey 兼容。	每项资源一个密钥
Spanner	`spanner.googleapis.com/Database` 只有在使用 Terraform 或 REST API 创建资源时，Spanner 才与 Cloud KMS Autokey 兼容。	每项资源一个密钥

后续步骤

如需详细了解 Cloud KMS Autokey 的运作方式，请参阅 Autokey 概览。