O Cloud KMS Autokey simplifica a criação e o uso de criptografia gerenciada pelo cliente (CMEKs, na sigla em inglês), automatizando o provisionamento e a atribuição. Com Autokey, seus keyrings, suas chaves e contas de serviço não precisam ser planejadas e provisionadas antes de serem necessárias. Em vez disso, o Autokey gera chaves sob demanda à medida que os recursos são criados, contando com delegadas em vez de administradores do Cloud KMS.
Usar chaves geradas pelo Autokey pode ajudar você a se alinhar de forma consistente com padrões do setor e práticas recomendadas para segurança de dados, incluindo os Nível de proteção do HSM, separação de tarefas, rotação de chaves, local e chave especificidade. O Autokey cria chaves que seguem as diretrizes gerais e diretrizes específicas para o tipo de recurso dos serviços do Google Cloud que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitada usando a função Autokey de maneira idêntica a outros Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, e elimina a necessidade de executar infraestrutura como código com criação de chaves elevada para conceder privilégios de acesso.
Para usar o Autokey, você deve ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todos os locais do Google Cloud em que O Cloud HSM está disponível. Para mais informações sobre o Cloud KMS locais, consulte Locais do Cloud KMS. Não há custo adicional para usar o Autokey do Cloud KMS. Chaves criadas usando O preço do Autokey é igual ao de todas as outras chaves do Cloud HSM. Para Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Para mais informações sobre o Autokey, consulte Visão geral do Autokey.
Escolha entre o Autokey e outras opções de criptografia
O Cloud KMS com Autokey é como um piloto automático para com chaves de criptografia gerenciadas pelo cliente: ele faz o trabalho por você, sob demanda. Você não precisa planejar chaves com antecedência nem criar chaves que podem nunca ser necessários. As chaves e o uso de chaves são consistentes. Você pode definir as pastas em que quer que o Autokey seja usado e controle quem pode usá-lo. Você retém das chaves criadas pelo Autokey. É possível usar regras de firewall Chaves do Cloud KMS com as criadas com o Autokey. Você pode desativar o Autokey e continuar usando as chaves que ele criou da mesma maneira. use qualquer outra chave do Cloud KMS.
O Autokey do Cloud KMS é uma boa opção se você quer um uso consistente da chave em projetos de alto nível, com baixo overhead operacional, recomendações de chaves.
| Recurso ou funcionalidade | Criptografia padrão do Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas das chaves de um cliente conta | Não | Sim | Sim |
| O cliente é proprietário e controla as chaves | Não | Sim | Sim |
| O desenvolvedor aciona o provisionamento e a atribuição de chaves | Sim | Não | Sim |
| Especificidade: as chaves são criadas automaticamente com a chave recomendada granularidade | Não | Não | Sim |
| Permite que você criptografe seus dados | Não | Sim | Sim |
| Alinha-se automaticamente com as práticas recomendadas de gerenciamento de chaves | Não | Não | Sim |
| Usa chaves protegidas por HSM em conformidade com FIPS 140-2 Nível 3 | Não | Opcional | Sim |
Se for preciso usar um nível de proteção diferente de HSM ou um período de rotação personalizado,
é possível usar CMEK sem o Autokey.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com Autokey do Cloud KMS:
| Serviço | Recursos protegidos | Granularidade de chave |
|---|---|---|
| Cloud Storage |
Os objetos em um
use a chave padrão do bucket. O Autokey não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco do qual você está criando um snapshot.
O Autokey não cria chaves para |
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos consultas e tabelas temporárias em um conjunto de dados usam o padrão do conjunto de dados de dados. O Autokey não cria chaves para recursos do BigQuery diferentes dos conjuntos de dados. Para proteger os recursos que não fazem parte de uma você precisa criar suas próprias chaves padrão no projeto ou no nível da organização. |
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
A seguir
- Para saber mais sobre como o Autokey do Cloud KMS funciona, consulte Visão geral do Autokey.