Cloud KMS Autokey semplifica la creazione e l'utilizzo della crittografia gestita dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, non è necessario che i keyring, le chiavi e gli account di servizio siano pianificate e di cui è stato eseguito il provisioning prima che siano necessarie. Autokey genera le chiavi on demand man mano che le risorse vengono create, basandosi su delle autorizzazioni delegati anziché degli amministratori di Cloud KMS.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente con standard di settore e pratiche consigliate per la sicurezza dei dati, tra cui Livello di protezione HSM, separazione dei compiti, rotazione della chiave, località e chiave specificità. Autokey crea chiavi conformi a entrambe le linee guida generali e linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con Cloud KMS Autokey. Dopo la creazione, le chiavi richiesta utilizzando la funzione Autokey in modo identico ad altre Chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'uso di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con una creazione di chiavi elevata privilegiati.
Per utilizzare Autokey, devi avere una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse per l'organizzazione e le cartelle, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui Cloud HSM è disponibile. Per ulteriori informazioni su Cloud KMS vedi Località Cloud KMS. Non sono presenti per l'uso di Cloud KMS Autokey. Chiavi create utilizzando Il prezzo di Autokey è lo stesso di qualsiasi altra chiave Cloud HSM. Per Per ulteriori informazioni sui prezzi, vedi Prezzi di Cloud Key Management Service.
Per ulteriori informazioni su Autokey, vedi Panoramica di Autokey.
Scegli tra Autokey e altre opzioni di crittografia
Cloud KMS con Autokey è come un Autopilot per gestite dal cliente: il lavoro viene svolto per tuo conto, on demand. Non è necessario pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessaria. Le chiavi e l'utilizzo delle chiavi sono coerenti. Puoi definire le cartelle in cui vuoi usare Autokey e controllarne chi può usarlo. Conservi l'intero delle chiavi create da Autokey. Puoi usare le estensioni create manualmente Chiavi Cloud KMS insieme alle chiavi create con Autokey. Puoi disattiva Autokey e continua a utilizzare le chiavi che ha creato allo stesso modo puoi utilizzare qualsiasi altra chiave Cloud KMS.
Cloud KMS Autokey è una buona scelta se vuoi un utilizzo coerente delle chiavi progetti con un overhead operativo ridotto e intendiamo seguire le e i suggerimenti relativi alle chiavi.
| Caratteristica o capacità | Crittografia predefinita di Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive di un solo cliente account | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente in base alla chiave consigliata granularità | No | No | Sì |
| Ti permette di eseguire il crypto-shredamento dei tuoi dati | No | Sì | Sì |
| Si allinea automaticamente alle pratiche di gestione delle chiavi consigliate | No | No | Sì |
| Utilizza chiavi supportate da HSM conformi allo standard FIPS 140-2 Livello 3. | No | Facoltativo | Sì |
Se devi utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato,
puoi usare CMEK senza Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità chiave |
|---|---|---|
| Cloud Storage |
Oggetti all'interno di un oggetto
di archiviazione usano la chiave predefinita del bucket. Autokey non crea
chiavi per |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave per il disco di cui stai creando uno snapshot.
Autokey non crea chiavi per |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli le query e le tabelle temporanee all'interno di un set di dati usano il valore predefinito chiave. Autokey non crea chiavi per le risorse BigQuery diversi dai set di dati. Per proteggere le risorse che non fanno parte di un devi creare le tue chiavi predefinite a livello di progetto a livello di organizzazione. |
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile solo con Cloud KMS Autokey quando si creano risorse con Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
Passaggi successivi
- Per scoprire di più sul funzionamento di Autokey di Cloud KMS, vedi Panoramica di Autokey.