Der Autoschlüssel von Cloud KMS vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs), indem die Bereitstellung und Zuweisung automatisiert wird. Mit Autokey müssen Ihre Schlüsselbunde, Schlüssel und Dienstkonten nicht geplant und bereitgestellt werden, bevor sie benötigt werden. Stattdessen generiert Autokey Ihre Schlüssel bei Bedarf, wenn Ihre Ressourcen erstellt werden. Dabei werden delegierte Berechtigungen anstelle von Cloud KMS-Administratoren verwendet.
Die Verwendung von Schlüsseln, die von Autokey generiert werden, kann helfen, die Branchenstandards und empfohlenen Praktiken für die Datensicherheit einheitlich zu gestalten, einschließlich des HSM-Schutzniveaus, der Aufgabentrennung, der Schlüsselrotation, des Standorts und der Schlüsselspezifikation. Der Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Cloud KMS Autokey eingebunden sind. Nach dem Erstellen funktionieren die mit der Autokey-Funktion angeforderten Schlüssel genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen.
Mit Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfacht werden. Dadurch ist es nicht mehr erforderlich, Infrastructure as Service mit erweiterten Berechtigungen zur Schlüsselerstellung auszuführen.
Wenn Sie den Autokey verwenden möchten, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.
Der Cloud KMS-Autoschlüssel ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung des Cloud KMS-Autoschlüssels fallen keine zusätzlichen Kosten an. Mit dem Autokey erstellte Schlüssel haben denselben Preis wie alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.
Weitere Informationen zum Autokey finden Sie unter Autokey – Übersicht.
Zwischen „Autokey“ und anderen Verschlüsselungsoptionen auswählen
Cloud KMS mit Autokey ist wie ein Autopilot für vom Kunden verwaltete Verschlüsselungsschlüssel: Er übernimmt die Arbeit für Sie und nach Bedarf. Sie müssen Schlüssel nicht im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselverwendung sind konsistent. Sie können die Ordner definieren, in denen der Autokey verwendet werden soll, und festlegen, wer ihn verwenden darf. Sie behalten die volle Kontrolle über die von Autokey erstellten Schlüssel. Sie können manuell erstellte Cloud KMS-Schlüssel parallel zu Schlüsseln verwenden, die mit dem Autokey erstellt wurden. Sie können den Autokey deaktivieren und die erstellten Schlüssel weiterhin wie jeden anderen Cloud KMS-Schlüssel verwenden.
Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine projektübergreifende Schlüsselnutzung mit geringem operativem Aufwand erreichen und den Empfehlungen von Google für Schlüssel folgen möchten.
| Funktion oder Fähigkeit | Standardmäßige Google-Verschlüsselung | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Kryptografische Isolation: Schlüssel sind nur für einzelne Kundenkonten verfügbar | Nein | Yes | Yes |
| Kunde besitzt und verwaltet Schlüssel | Nein | Yes | Yes |
| Der Entwickler löst die Bereitstellung und Zuweisung von Schlüsseln aus | Yes | Nein | Yes |
| Spezifität: Schlüssel werden automatisch mit dem empfohlenen Detaillierungsgrad erstellt. | Nein | Nein | Yes |
| Vernichten Sie Ihre Daten durch Kryptowährung | Nein | Yes | Yes |
| Richtet sich automatisch an die empfohlenen Schlüsselverwaltungspraktiken | Nein | Nein | Yes |
| HSM-gestützte Schlüssel, die mit FIPS 140-2 Level 3 kompatibel sind | Nein | Optional | Yes |
Wenn Sie ein anderes Schutzniveau als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden müssen, können Sie CMEK ohne Autokey verwenden.
Kompatible Dienste
In der folgenden Tabelle sind die Dienste aufgeführt, die mit dem Cloud KMS-Autoschlüssel kompatibel sind:
| Dienst | Geschützte Ressourcen | Detaillierungsgrad des Schlüssels |
|---|---|---|
| Cloud Storage |
Objekte in einem Storage-Bucket verwenden den Bucket-Standardschlüssel. Der Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Bucket |
| Compute Engine |
Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen.
Der Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Ressource |
| BigQuery |
Autokey erstellt Standardschlüssel für Datasets. Für Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset wird der Dataset-Standardschlüssel verwendet. Der Autokey erstellt keine Schlüssel für BigQuery-Ressourcen außer Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen. |
Ein Schlüssel pro Ressource |
| Secret Manager |
Secret Manager ist nur beim Erstellen von Ressourcen mit Terraform oder der REST API mit dem Autokey von Cloud KMS kompatibel. |
Ein Schlüssel pro Standort innerhalb eines Projekts |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Autokey-Übersicht.