Cloud KMS Autokey simplifie la création et l'utilisation du chiffrement géré par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Il n'est pas nécessaire que la clé automatique, vos trousseaux, vos clés et vos comptes de service planifiées et provisionnées avant qu'elles ne soient nécessaires. Autokey génère vos clés à la demande à mesure que vos ressources sont créées, en s'appuyant sur des autorisations déléguées à la place des administrateurs Cloud KMS.
L'utilisation de clés générées par Autokey peut vous aider à vous aligner de manière cohérente les normes du secteur et les pratiques recommandées pour la sécurité des données, y compris le Niveau de protection HSM, séparation des tâches, rotation des clés, emplacement et clé de la spécificité. Autokey crée des clés qui respectent les deux consignes générales et consignes spécifiques au type de ressource des services Google Cloud qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandé à l'aide de la fonction Autokey de manière identique clés Cloud HSM avec les mêmes paramètres.
Autokey peut aussi simplifier l'utilisation de Terraform pour la gestion des clés, supprimant la nécessité d'exécuter l'Infrastructure as Code avec des créations de clés élevées de droits.
Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant ressource de dossier. Pour en savoir plus sur les ressources Organisation et Dossier, consultez la page Hiérarchie des ressources.
Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur Cloud KMS, consultez la page Emplacements Cloud KMS. Il n'y a aucun des frais supplémentaires pour l'utilisation de Cloud KMS Autokey. Clés créées avec Les tarifs d'Autokey sont identiques à ceux des autres clés Cloud HSM. Pour Pour plus d'informations sur la tarification, consultez la page Tarifs de Cloud Key Management Service.
Pour en savoir plus sur Autokey, consultez Présentation d'Autokey
Choisissez entre Autokey et d'autres options de chiffrement
Cloud KMS avec Autokey s'apparente à un pilote gérées par le client: elle effectue le travail à votre place, à la demande. Vous n'avez pas besoin de planifier les clés à l'avance ni de créer des clés qui pourraient ne jamais nécessaires. Les clés et leur utilisation sont cohérentes. Vous pouvez définir les dossiers dans lesquels que vous souhaitez utiliser Autokey et contrôler qui peut l'utiliser. Vous conservez l'intégralité des clés créées par Autokey. Vous pouvez utiliser des requêtes créées manuellement Cloud KMS ainsi que des clés créées à l'aide d'Autokey. Vous pouvez Désactiver Autokey et continuer à utiliser les clés qu'il a créées de la même manière n'importe quelle autre clé Cloud KMS.
Cloud KMS Autokey est idéal si vous souhaitez une utilisation cohérente des clés avec de faibles coûts opérationnels, et que vous souhaitez respecter les des recommandations pour les clés.
| Fonctionnalité ou capacité | Chiffrement par défaut de Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolation cryptographique: les clés sont réservées à un seul client compte | Non | Oui | Oui |
| Le client possède et contrôle les clés | Non | Oui | Oui |
| Le développeur déclenche le provisionnement et l'attribution des clés | Oui | Non | Oui |
| Spécificité: les clés sont automatiquement créées à la clé recommandée niveau de détail | Non | Non | Oui |
| Vous permet de déchiqueter vos données | Non | Oui | Oui |
| S'aligne automatiquement sur les pratiques de gestion des clés recommandées | Non | Non | Oui |
| Utilise des clés reposant sur HSM et conformes à la norme FIPS 140-2 niveau 3 | Non | Facultatif | Oui |
Si vous devez utiliser un niveau de protection autre que HSM ou une période de rotation personnalisée,
vous pouvez utiliser des CMEK sans Autokey.
Services compatibles
Le tableau suivant répertorie les services compatibles avec Cloud KMS Autokey:
| Service | Ressources protégées | Précision des clés |
|---|---|---|
| Cloud Storage |
Les objets dans un
bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas
clés pour les ressources |
Une clé par bucket |
| Compute Engine |
Les instantanés utilisent la clé du disque dont vous créez un instantané.
Autokey ne crée pas de clés pour |
Une clé par ressource |
| BigQuery |
Autokey crée des clés par défaut pour les ensembles de données. Tables, modèles, les requêtes et les tableaux temporaires d'un ensemble de données utilisent . Autokey ne crée pas de clés pour les ressources BigQuery autres que les jeux de données. Pour protéger les ressources qui ne font pas partie vous devez créer vos propres clés par défaut au niveau du projet au niveau de l'organisation. |
Une clé par ressource |
| Secret Manager |
Secret Manager n'est compatible qu'avec Cloud KMS Autokey lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par emplacement dans un projet |
Étape suivante
- Pour en savoir plus sur le fonctionnement d'Autokey de Cloud KMS, consultez la page Présentation d'Autokey.