Cloud KMS Autokey vereinfacht das Erstellen und Verwenden einer vom Kunden verwalteten Verschlüsselung Schlüssel (CMEKs) durch automatische Bereitstellung und Zuweisung. Mit Autokey müssen Sie für Ihre Schlüsselbunde, Schlüssel und Dienstkonten geplant und bereitgestellt werden, bevor sie benötigt werden. Stattdessen wird Autokey generiert Ihre Schlüssel nach Bedarf, während Ihre Ressourcen erstellt werden. delegierte Berechtigungen anstelle von Cloud KMS-Administratoren.
Die Verwendung der von Autokey generierten Schlüssel kann Ihnen helfen, Branchenstandards und empfohlenen Praktiken für die Datensicherheit, einschließlich der HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüssel und Spezifität. Autokey erstellt Schlüssel, die beiden allgemeinen Richtlinien entsprechen und Richtlinien speziell für den Ressourcentyp für Google Cloud-Dienste die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, die über die Autokey-Funktion angefragt wurde, Cloud HSM-Schlüssel mit denselben Einstellungen.
Autokey kann auch die Nutzung von Terraform für die Schlüsselverwaltung vereinfachen. Wegfall der Notwendigkeit, Infrastruktur als Code mit umfassender Schlüsselerstellung auszuführen Berechtigungen.
Zur Verwendung von Autokey benötigen Sie eine Organisationsressource mit Ordnerressource. Weitere Informationen zu Organisations- und Ordnerressourcen Siehe Ressourcenhierarchie.
Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, in denen Cloud HSM ist verfügbar. Weitere Informationen zu Cloud KMS finden Sie unter Cloud KMS-Standorte. Es gibt keine zusätzliche Kosten für die Nutzung von Cloud KMS Autokey. Schlüssel erstellt mit Die Kosten für Autokey-Schlüssel entsprechen denen anderer Cloud HSM-Schlüssel. Für Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.
Weitere Informationen zu Autokey finden Sie unter Autokey – Übersicht
Zwischen Autokey und anderen Verschlüsselungsoptionen wählen
Cloud KMS mit Autokey ist wie ein Autopilot für Vom Kunden verwaltete Verschlüsselungsschlüssel: Er erledigt die Arbeit nach Bedarf für Sie. Sie müssen Schlüssel nicht im Voraus planen oder Schlüssel erstellen, die vielleicht nie erforderlich. Schlüssel und Schlüsselverwendung sind einheitlich. Sie können die Ordner definieren, Sie möchten Autokey verwenden und steuern, wer es nutzen kann. Sie behalten volle die von Autokey erstellten Schlüssel verwalten. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die erstellten Schlüssel weiterhin auf dieselbe Weise verwenden würden Sie einen anderen Cloud KMS-Schlüssel verwenden.
Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine konsistente Schlüsselnutzung in allen die einen geringen operativen Aufwand haben, und möchten die Empfehlungen für Schlüssel.
| Funktion oder Fähigkeit | Standardmäßige Google-Verschlüsselung | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Kryptografische Isolation: Schlüssel sind nur für einen Kunden zugänglich Konto | Nein | Ja | Ja |
| Kunde besitzt und kontrolliert Schlüssel | Nein | Ja | Ja |
| Entwickler löst Schlüsselbereitstellung und ‐zuweisung aus | Ja | Nein | Ja |
| Spezifität: Schlüssel werden automatisch mit dem empfohlenen Schlüssel erstellt. Leseeinheit | Nein | Nein | Ja |
| Ermöglicht das Krypto-Shred für Ihre Daten | Nein | Ja | Ja |
| Automatische Übereinstimmung mit den empfohlenen Schlüsselverwaltungspraktiken | Nein | Nein | Ja |
| Verwendung von HSM-gestützten Schlüsseln, die FIPS 140-2 Level 3-konform sind | Nein | Optional | Ja |
Wenn Sie eine andere Schutzstufe als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden müssen,
können Sie CMEK ohne Autokey verwenden.
Kompatible Dienste
In der folgenden Tabelle sind Dienste aufgeführt, die kompatibel mit Cloud KMS-Autokey:
| Dienst | Geschützte Ressourcen | Detaillierungsgrad des Schlüssels |
|---|---|---|
| Cloud Storage |
Objekte innerhalb eines
Storage-Bucket verwendet den Bucket-Standardschlüssel. Autokey erstellt nicht
Schlüssel für |
Ein Schlüssel pro Bucket |
| Compute Engine |
Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen.
Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Ressource |
| BigQuery |
Autokey erstellt Standardschlüssel für Datasets. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden die Dataset-Standardeinstellung . Autokey erstellt keine Schlüssel für BigQuery-Ressourcen als Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Dataset ist, müssen Sie Ihre eigenen Standardschlüssel im Projekt oder Organisationsebene. |
Ein Schlüssel pro Ressource |
| Secret Manager |
Secret Manager ist nur mit Cloud KMS Autokey kompatibel wenn Sie Ressourcen mit Terraform oder der REST API erstellen. |
Ein Schlüssel pro Standort innerhalb eines Projekts |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Autokey – Übersicht.