Cloud KMS Autokey 可简化客户管理的加密的创建和使用过程 密钥 (CMEK)。包含 Autokey、您的密钥环、密钥和服务账号无需 进行规划和预配相反,Autokey 在您创建资源时按需生成密钥, 委派的权限,而不是 Cloud KMS 管理员。
使用 Autokey 生成的密钥可帮助您始终与 数据安全的业界标准和推荐做法,包括 HSM 保护级别、职责分离、密钥轮替、位置和密钥 特异性。Autokey 会创建同时遵循两个常规准则的密钥 与 Google Cloud 服务资源类型相关的准则和指南 与 Cloud KMS Autokey 集成的应用创建好密钥后 使用 Autokey 函数进行请求的方式 具有相同设置的 Cloud HSM 密钥。
Autokey 还可以简化使用 Terraform 进行密钥管理的工作, 无需通过提升密钥创建功能来运行基础架构即代码 权限。
如需使用 Autokey,您必须拥有一个包含以下内容的组织资源: 文件夹资源。如需详细了解组织和文件夹资源 请参阅资源层次结构。
Cloud KMS Autokey 在所有的 Google Cloud 位置 Cloud HSM 可用。详细了解 Cloud KMS 请参阅 Cloud KMS 位置。没有任何 则需要支付额外的费用才能使用 Cloud KMS Autokey。使用 创建的密钥 Autokey 的价格与任何其他 Cloud HSM 密钥的价格相同。对于 如需详细了解价格,请参阅 Cloud Key Management Service 价格。
如需详细了解 Autokey,请参阅 Autokey 概览。
选择 Autokey 和其他加密选项
Cloud KMS with Autokey 就像一个自动驾驶仪, 客户管理的加密密钥:它会按需代表您执行工作。 您无需提前规划密钥,也无需创建可能永远不会 所需的资源。密钥和密钥用途一致。你可以定义要在哪个文件夹中 想要使用 Autokey 并控制哪些人可以使用它。您保留全部 对 Autokey 创建的密钥进行控制。您可以使用手动创建的 Cloud KMS 密钥以及使用 Autokey 创建的密钥。您可以 停用 Autokey,并继续以同样的方式使用其创建的密钥 可以使用任何其他 Cloud KMS 密钥。
如果您希望在各组织之间采用一致的密钥用法,Cloud KMS Autokey 是一个不错的选择 并且运营开销较低,并且希望遵循 Google 的 密钥方面的建议
| 特性或功能 | Google 默认加密方式 | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| 加密隔离:密钥专供一个客户 账号 | 否 | 是 | 是 |
| 客户拥有并控制密钥 | 否 | 是 | 是 |
| 开发者触发密钥配置和分配 | 是 | 否 | 是 |
| 明确性:系统会按照推荐的密钥自动创建密钥 粒度 | 否 | 否 | 是 |
| 让您可以粉碎您的数据 | 否 | 是 | 是 |
| 自动遵循建议的密钥管理做法 | 否 | 否 | 是 |
| 使用受 HSM 支持且符合 FIPS 140-2 3 级要求的密钥 | 否 | 可选 | 是 |
如果您需要使用 HSM 以外的保护级别或自定义轮替周期,
您可以在没有 Autokey 的情况下使用 CMEK。
兼容的服务
下表列出了 Cloud KMS Autokey:
| 服务 | 受保护资源 | 键粒度 |
|---|---|---|
| Cloud Storage |
存储桶使用存储桶默认密钥。Autokey 无法创建
|
每个存储桶一个密钥 |
| Compute Engine |
快照会使用您要为其创建快照的磁盘的密钥。
Autokey 无法为 |
每个资源一个密钥 |
| BigQuery |
Autokey 会为数据集创建默认键。表、模型、 和数据集内的临时表使用数据集默认值 键。 Autokey 不会为 BigQuery 资源创建密钥 数据。为了保护不属于 那么您必须在项目中自行创建默认密钥,或者 组织级别。 |
每个资源一个密钥 |
| Secret Manager |
Secret Manager 仅与 Cloud KMS Autokey 兼容 (使用 Terraform 或 REST API 创建资源时)。 |
项目中每个位置一个密钥 |
后续步骤
- 如需详细了解 Cloud KMS Autokey 的工作原理,请参阅 Autokey 概览。