O Cloud KMS Autokey simplifica a criação e o uso de criptografia gerenciada pelo cliente (CMEKs, na sigla em inglês), automatizando o provisionamento e a atribuição. Com O Autokey, os keyrings e as chaves são gerados sob demanda. Contas de serviço que usam as chaves para criptografar e descriptografar recursos são criados e concedidos do Cloud Identity and Access Management (IAM) quando necessário. Os administradores do Cloud KMS mantêm controle total e visibilidade total das chaves criadas pelo Autokey, sem precisar planejar e criar cada recurso.
O uso das chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do HSM, a separação de tarefas, a rotação de chaves, a localização e a especificidade da chave. O Autokey cria chaves que seguem diretrizes gerais e específicas ao tipo de recurso dos serviços do Google Cloud que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitadas usando a função Autokey são idênticas a outras chaves do Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, e elimina a necessidade de executar infraestrutura como código com criação de chaves elevada para conceder privilégios de acesso.
Para usar o Autokey, você deve ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre recursos de organização e de pasta, consulte Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todos os locais do Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre o Cloud KMS locais, consulte Locais do Cloud KMS. Não há custo extra para usar o Cloud KMS Autokey. Chaves criadas usando O preço do Autokey é igual ao de todas as outras chaves do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Para mais informações sobre a chave automática, consulte Visão geral das chaves automáticas.
Escolha entre o Autokey e outras opções de criptografia
O Cloud KMS com Autokey é como um piloto automático para chaves de criptografia gerenciadas pelo cliente: ele faz o trabalho em seu nome, sob demanda. Você não precisa planejar chaves com antecedência ou criar chaves que talvez nunca sejam necessárias. As chaves e o uso delas são consistentes. Você pode definir as pastas em que quer que o Autokey seja usado e controle quem pode usá-lo. Você mantém o controle total das chaves criadas pelo Autokey. É possível usar regras de firewall Chaves do Cloud KMS com as criadas com o Autokey. É possível desativar o Autokey e continuar usando as chaves criadas da mesma forma que qualquer outra chave do Cloud KMS.
O Cloud KMS Autokey é uma boa escolha se você quiser um uso consistente de chaves em projetos, com um overhead operacional baixo, e quiser seguir as recomendações do Google para chaves.
| Recurso ou funcionalidade | Criptografia padrão do Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas para a conta de um cliente. | Não | Sim | Sim |
| O cliente é proprietário e controla as chaves | Não | Sim | Sim |
| O desenvolvedor aciona o provisionamento e a atribuição de chaves | Sim | Não | Sim |
| Especificidade: as chaves são criadas automaticamente com a chave recomendada granularidade | Não | Não | Sim |
| Permite que você destrua criptograficamente seus dados | Não | Sim | Sim |
| Alinha-se automaticamente com as práticas recomendadas de gerenciamento de chaves | Não | Não | Sim |
| Usa chaves com suporte de HSM que estão em conformidade com o FIPS 140-2 nível 3 | Não | Opcional | Sim |
Se você precisar usar um nível de proteção diferente de HSM ou um período de rotação personalizado,
use CMEK sem a chave automática.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com Autokey do Cloud KMS:
| Serviço | Recursos protegidos | Granularidade da chave |
|---|---|---|
| Cloud Storage |
Os objetos em um
use a chave padrão do bucket. O Autokey não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco em que você está criando um snapshot.
O Autokey não cria chaves para recursos |
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos consultas e tabelas temporárias dentro de um conjunto de dados usam o conjunto de dados padrão de dados. A chave automática não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de uma você precisa criar suas próprias chaves padrão no projeto ou no nível da organização. |
Uma chave por recurso |
| Secret Manager |
O Secret Manager é compatível apenas com a autochave do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
| Cloud SQL |
O Cloud SQL é compatível apenas com a autochave do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Spanner |
O Spanner é compatível apenas com a autochave do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
A seguir
- Para saber mais sobre como o Cloud KMS Autokey funciona, consulte Visão geral do Autokey.