Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey, Schlüsselbunde und Schlüssel werden bei Bedarf generiert. Dienstkonten, die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die vollständige Kontrolle und Sichtbarkeit für von Autokey erstellte Schlüssel, ohne die jede Ressource im Voraus planen und erstellen müssen.
Die Verwendung der von Autokey generierten Schlüssel kann Ihnen helfen, Branchenstandards und empfohlenen Praktiken für die Datensicherheit, einschließlich der HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüssel und Spezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, die über die Autokey-Funktion angefragt wurde, Cloud HSM-Schlüssel mit denselben Einstellungen.
Autokey kann auch die Nutzung von Terraform für die Schlüsselverwaltung vereinfachen. Wegfall der Notwendigkeit, Infrastruktur als Code mit umfassender Schlüsselerstellung auszuführen Berechtigungen.
Wenn Sie Autokey verwenden möchten, benötigen Sie eine Organisationsressource mit einer Ordnerressource. Weitere Informationen zu Organisations- und Ordnerressourcen Siehe Ressourcenhierarchie.
Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS finden Sie unter Cloud KMS-Standorte. Es gibt keine zusätzliche Kosten für die Nutzung von Cloud KMS Autokey. Mit Autokey erstellte Schlüssel kosten genauso viel wie andere Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.
Weitere Informationen zu Autokey finden Sie unter Autokey – Übersicht
Zwischen Autokey und anderen Verschlüsselungsoptionen wählen
Cloud KMS mit Autokey ist wie ein Autopilot für kundenverwaltete Verschlüsselungsschlüssel: Er erledigt die Arbeit auf Abruf in Ihrem Namen. Sie müssen keine Schlüssel im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselverwendung sind einheitlich. Sie können die Ordner definieren, Sie möchten Autokey verwenden und steuern, wer es nutzen kann. Sie behalten volle die von Autokey erstellten Schlüssel verwalten. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die von ihm erstellten Schlüssel wie jeden anderen Cloud KMS-Schlüssel verwenden.
Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine einheitliche Schlüsselnutzung in Projekten mit geringem Betriebsaufwand wünschen und die Empfehlungen von Google für Schlüssel einhalten möchten.
| Funktion oder Fähigkeit | Standardmäßige Google-Verschlüsselung | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Kryptografische Isolation: Schlüssel sind nur für das Konto eines Kunden bestimmt. | Nein | Ja | Ja |
| Der Kunde ist Eigentümer der Schlüssel und verwaltet sie | Nein | Ja | Ja |
| Entwickler löst Schlüsselbereitstellung und ‑zuweisung aus | Ja | Nein | Ja |
| Spezifität: Schlüssel werden automatisch mit der empfohlenen Schlüsselgranularität erstellt. | Nein | Nein | Ja |
| Ermöglicht das Krypto-Shred für Ihre Daten | Nein | Ja | Ja |
| Automatische Ausrichtung auf empfohlene Best Practices für die Schlüsselverwaltung | Nein | Nein | Ja |
| Verwendung von HSM-gestützten Schlüsseln, die FIPS 140-2 Level 3-konform sind | Nein | Optional | Ja |
Wenn Sie ein anderes Schutzniveau als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden möchten, können Sie CMEK ohne Autokey verwenden.
Kompatible Dienste
In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:
| Dienst | Geschützte Ressourcen | Detaillierungsgrad des Schlüssels |
|---|---|---|
| Cloud Storage |
Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Autokey erstellt nicht
Schlüssel für |
Ein Schlüssel pro Bucket |
| Compute Engine |
Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen.
Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Ressource |
| BigQuery |
Autokey erstellt Standardschlüssel für Datensätze. Tabellen, Modelle, Abfragen und temporäre Tabellen innerhalb eines Datasets verwenden den Standardschlüssel des Datasets. Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Dataset ist, müssen Sie Ihre eigenen Standardschlüssel im Projekt oder Organisationsebene. |
Ein Schlüssel pro Ressource |
| Secret Manager |
Secret Manager ist nur mit Cloud KMS Autokey kompatibel wenn Sie Ressourcen mit Terraform oder der REST API erstellen. |
Ein Schlüssel pro Standort innerhalb eines Projekts |
| Cloud SQL |
Autokey erstellt keine Schlüssel für Cloud SQL
Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Ressource |
| Spanner |
Spanner ist nur mit Cloud KMS Autokey kompatibel wenn Sie Ressourcen mit Terraform oder der REST API erstellen. |
Ein Schlüssel pro Ressource |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Autokey – Übersicht.