Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, non è necessario pianificare e sottoporre a provisioning i keyring, le chiavi e gli account di servizio prima di essere necessari. Autokey genera invece le chiavi on demand mentre vengono create le risorse, basandosi su autorizzazioni delegati anziché sugli amministratori di Cloud KMS.
L'utilizzo di chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui livello di protezione, separazione dei compiti, rotazione della chiave, posizione e specificità delle chiavi diHSM. Autokey crea chiavi che seguono sia le linee guida generali sia le linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con Cloud KMS Autokey. Una volta create, le chiavi richieste utilizzando Autokey funzionano in modo identico ad altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati di creazione di chiavi.
Per utilizzare Autokey, devi avere una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse per organizzazioni e cartelle, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località di Cloud KMS, consulta Località di Cloud KMS. Non sono previsti costi aggiuntivi per l'utilizzo di Cloud KMS Autokey. Il prezzo delle chiavi create utilizzando Autokey è uguale a quello di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Per maggiori informazioni su Autokey, consulta la panoramica di Autokey.
Scegli tra Autokey e altre opzioni di crittografia
Cloud KMS con Autokey è come un pilota automatico per le chiavi di crittografia gestite dal cliente: svolge queste operazioni per tuo conto, on demand. Non è necessario pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessarie. Le chiavi e l'utilizzo delle chiavi sono coerenti. Puoi definire le cartelle in cui vuoi usare Autokey e controllare chi può usarlo. Mantieni il controllo completo delle chiavi create da Autokey. Puoi usare le chiavi Cloud KMS create manualmente insieme alle chiavi create con Autokey. Puoi disabilitare Autokey e continuare a utilizzare le chiavi che ha creato come qualsiasi altra chiave Cloud KMS.
Cloud KMS Autokey è una buona scelta se vuoi un utilizzo coerente delle chiavi tra i progetti, con un basso overhead operativo e vuoi seguire i suggerimenti di Google per le chiavi.
| Caratteristica o capacità | Crittografia predefinita di Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive per un account cliente | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente con la granularità consigliata | No | No | Sì |
| Ti permette di eseguire il crypto-shredamento dei tuoi dati | No | Sì | Sì |
| Si allinea automaticamente alle pratiche di gestione delle chiavi consigliate | No | No | Sì |
| Utilizza chiavi supportate da HSM conformi allo standard FIPS 140-2 Livello 3 | No | Facoltativo | Sì |
Se hai bisogno di utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato,
puoi utilizzare CMEK senza Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità chiave |
|---|---|---|
| Cloud Storage |
Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea chiavi per |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave per il disco di cui stai creando uno snapshot.
Autokey non crea chiavi per |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o organizzazione. |
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile con Cloud KMS Autokey solo quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
Passaggi successivi
- Per scoprire di più sul funzionamento di Autokey di Cloud KMS, vedi Panoramica di Autokey.