O Cloud KMS Autokey simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs), automatizando o provisionamento e a atribuição. Com a chave automática, os keyrings, as chaves e as contas de serviço não precisam ser planejados e provisionados antes de serem necessários. Em vez disso, a chave automática gera as chaves sob demanda à medida que os recursos são criados, usando permissões delegadas em vez de administradores do Cloud KMS.
O uso das chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do HSM, separação de tarefas, rotação de chaves, local e especificidade das chaves. A chave automática cria chaves que seguem as diretrizes gerais e as diretrizes específicas do tipo de recurso para serviços do Google Cloud que se integram à chave automática do Cloud KMS. Depois de criadas, as chaves solicitadas usando a chave automática funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, eliminando a necessidade de executar a infraestrutura como serviço com privilégios elevados de criação de chaves.
Para usar a chave automática, você precisa ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.
A chave automática do Cloud KMS está disponível em todos os locais do Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo extra para usar a chave automática do Cloud KMS. As chaves criadas com a chave automática têm o mesmo preço de qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Para mais informações sobre a chave automática, consulte Visão geral da chave automática.
Escolha entre a chave automática e outras opções de criptografia
O Cloud KMS com Autokey é como um piloto automático para chaves de criptografia gerenciadas pelo cliente: ele faz o trabalho para você, sob demanda. Você não precisa planejar chaves com antecedência nem criar chaves que talvez nunca sejam necessárias. As chaves e o uso delas são consistentes. Você pode definir as pastas em que quer que a chave automática seja usada e controlar quem pode usá-la. Você mantém o controle total das chaves criadas pela chave automática. É possível usar as chaves do Cloud KMS criadas manualmente com as criadas usando a chave automática. É possível desativar a chave automática e continuar usando as chaves criadas da mesma forma que você usaria qualquer outra chave do Cloud KMS.
O Cloud KMS Autokey é uma boa opção se você quer usar chaves de forma consistente em todos os projetos, com baixa sobrecarga operacional e seguir as recomendações do Google.
| Recurso ou capacidade | Criptografia padrão do Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas para a conta de um cliente | No | Sim | Sim |
| O cliente controla e possui as chaves | No | Sim | Sim |
| O desenvolvedor aciona o provisionamento e a atribuição de chaves | Sim | No | Sim |
| Especificidade: as chaves são criadas automaticamente com a granularidade recomendada | No | No | Sim |
| Permite que você criptografe seus dados | No | Sim | Sim |
| Alinhamento automático às práticas recomendadas de gerenciamento de chaves | No | No | Sim |
| Usa chaves protegidas por HSM que estão em conformidade com o FIPS 140-2 Nível 3 | No | Opcional | Sim |
Se você precisar usar um nível de proteção diferente de HSM ou um período de rotação personalizado,
use CMEK sem a chave automática.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com a chave automática do Cloud KMS:
| Serviço | Recursos protegidos | Granularidade da chave |
|---|---|---|
| Cloud Storage |
Os objetos em um
bucket de armazenamento usam a chave padrão do bucket. A chave automática não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave para o disco do qual você está criando um snapshot.
A chave automática não cria chaves para recursos
|
Uma chave por recurso |
| BigQuery |
A chave automática cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias em um conjunto de dados usam a chave padrão dele. A chave automática não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, é preciso criar suas próprias chaves padrão no nível do projeto ou da organização. |
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
A seguir
- Para saber mais sobre como funciona a chave automática do Cloud KMS, consulte Visão geral da chave automática.