Cloud KMS Autokey semplifica la creazione e l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, non è necessario pianificare ed eseguire il provisioning di keyring, chiavi e account di servizio prima di essere necessari. Al contrario, Autokey genera le chiavi on demand man mano che vengono create le risorse, facendo affidamento sulle autorizzazioni delegate anziché sugli amministratori di Cloud KMS.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione HSM, la separazione dei compiti, la rotazione della chiave, la località e la specificità della chiave. La chiave automatica crea chiavi che seguono linee guida generali e linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con la chiave automatica Cloud KMS. Dopo la creazione, le chiavi vengono richieste utilizzando la funzione Autokey in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Service con privilegi elevati di creazione delle chiavi.
Per utilizzare Autokey, devi disporre di una risorsa dell'organizzazione che contenga una risorsa cartella. Per saperne di più sull'organizzazione e sulle risorse delle cartelle, consulta Gerarchia delle risorse.
La chiave automatica di Cloud KMS è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località di Cloud KMS, consulta Località di Cloud KMS. Non sono previsti costi aggiuntivi per l'utilizzo della chiave automatica di Cloud KMS. Il prezzo delle chiavi create utilizzando la chiave automatica è uguale a quello di qualsiasi altra chiave di Cloud HSM. Per ulteriori informazioni sui prezzi, consulta la pagina relativa ai prezzi di Cloud Key Management Service.
Per maggiori informazioni su Autokey, consulta la Panoramica delle chiavi automatiche.
Scegliere tra la chiave automatica e altre opzioni di crittografia
Cloud KMS con Autokey è come un pilota automatico per le chiavi di crittografia gestite dal cliente: svolge il lavoro per tuo conto e on demand. Non è necessario pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessarie. L'utilizzo delle chiavi e delle chiavi è coerente. Puoi definire le cartelle in cui vuoi utilizzare la chiave automatica e decidere chi può utilizzarla. Mantieni il controllo completo delle chiavi create dalla chiave automatica. Puoi utilizzare le chiavi Cloud KMS create manualmente insieme a quelle create con Autokey. Puoi disabilitare Autokey e continuare a utilizzare le chiavi che ha creato come faresti con qualsiasi altra chiave Cloud KMS.
La chiave automatica di Cloud KMS è una buona scelta se vuoi un utilizzo coerente delle chiavi in tutti i progetti, con un basso overhead operativo e vuoi seguire i consigli di Google per le chiavi.
| Caratteristica o funzionalità | Crittografia predefinita di Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive dell'account di un cliente | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente con la granularità delle chiavi consigliata | No | No | Sì |
| Ti consente di criptare i tuoi dati | No | Sì | Sì |
| Si allinea automaticamente con le pratiche di gestione delle chiavi consigliate | No | No | Sì |
| Utilizza chiavi supportate da HSM conformi a FIPS 140-2 Livello 3 | No | Facoltativo | Sì |
Se hai bisogno di utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato, puoi utilizzare CMEK senza Autokey.
Servizi compatibili
Nella tabella seguente sono elencati i servizi compatibili con la chiave automatica di Cloud KMS:
| Servizio | Risorse protette | Granularità chiave |
|---|---|---|
| Cloud Storage |
Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. La chiave automatica non crea chiavi per |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
La chiave automatica non crea chiavi per |
Una chiave per risorsa |
| BigQuery |
La chiave automatica crea chiavi predefinite per i set di dati. Le tabelle, i modelli, le query e le tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare chiavi predefinite a livello di progetto o di organizzazione. |
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile solo con la chiave automatica di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
Passaggi successivi
- Per saperne di più sul funzionamento della chiave automatica di Cloud KMS, vedi Panoramica della chiave automatica.