Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch automatisierte Bereitstellung und Zuweisung. Mit Autokey müssen Ihre Schlüsselbunde, Schlüssel und Dienstkonten nicht vorab geplant und bereitgestellt werden. Stattdessen generiert Autokey Ihre Schlüssel nach Bedarf, während Ihre Ressourcen erstellt werden. Dabei werden delegierte Berechtigungen anstelle von Cloud KMS-Administratoren verwendet.
Die Verwendung von Autokey-Schlüsseln kann Ihnen dabei helfen, sich konsistent an Branchenstandards und empfohlene Praktiken für die Datensicherheit anzupassen, einschließlich HSM-Schutzniveau, Aufgabentrennung, Schlüsselrotation, Standort und Schlüsselspezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien für den Ressourcentyp von Google Cloud-Diensten entsprechen, die in Cloud KMS Autokey eingebunden sind. Nach dem Erstellen funktionieren Schlüssel, die über Autokey angefordert werden, genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen.
Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, sodass Infrastructure as Service (IaaS) nicht mehr mit erweiterten Berechtigungen für die Schlüsselerstellung ausgeführt werden muss.
Zur Verwendung von Autokey benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.
Cloud KMS Autokey ist an allen Google Cloud-Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Nutzung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Mit Autokey erstellte Schlüssel haben denselben Preis wie andere Cloud HSM-Schlüssel. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.
Weitere Informationen zu Autokey finden Sie unter Autokey – Übersicht.
Zwischen Autokey und anderen Verschlüsselungsoptionen wählen
Cloud KMS mit Autokey ist wie ein Autopilot für vom Kunden verwaltete Verschlüsselungsschlüssel: Es erledigt die Arbeit nach Bedarf für Sie. Sie müssen Schlüssel nicht im Voraus planen oder Schlüssel erstellen, die vielleicht nie benötigt werden. Schlüssel und Schlüsselverwendung sind einheitlich. Sie können die Ordner definieren, in denen Autokey verwendet werden soll, und festlegen, wer sie verwenden kann. Sie behalten die volle Kontrolle über die von Autokey erstellten Schlüssel. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln verwenden, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die erstellten Schlüssel weiterhin auf die gleiche Weise verwenden wie andere Cloud KMS-Schlüssel.
Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine einheitliche Schlüsselnutzung über Projekte hinweg mit geringem operativen Aufwand wünschen und die Empfehlungen von Google für Schlüssel einhalten möchten.
| Funktion oder Fähigkeit | Standardmäßige Google-Verschlüsselung | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Kryptografische Isolation: Schlüssel sind nur für das Konto eines Kunden verfügbar | Nein | Yes | Yes |
| Kunde besitzt und kontrolliert Schlüssel | Nein | Yes | Yes |
| Entwickler löst Schlüsselbereitstellung und ‐zuweisung aus | Yes | Nein | Yes |
| Spezifität: Schlüssel werden automatisch mit dem empfohlenen Detaillierungsgrad erstellt | Nein | Nein | Yes |
| Ermöglicht das Krypto-Shred für Ihre Daten | Nein | Yes | Yes |
| Automatische Übereinstimmung mit den empfohlenen Schlüsselverwaltungspraktiken | Nein | Nein | Yes |
| Verwendung von HSM-gestützten Schlüsseln, die FIPS 140-2 Level 3-konform sind | Nein | Optional | Yes |
Wenn Sie eine andere Schutzstufe als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden müssen, können Sie CMEK ohne Autokey verwenden.
Kompatible Dienste
In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:
| Dienst | Geschützte Ressourcen | Detaillierungsgrad des Schlüssels |
|---|---|---|
| Cloud Storage |
Objekte in einem Storage-Bucket verwenden den Bucket-Standardschlüssel. Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Bucket |
| Compute Engine |
Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen.
Autokey erstellt keine Schlüssel für |
Ein Schlüssel pro Ressource |
| BigQuery |
Autokey erstellt Standardschlüssel für Datasets. Für Tabellen, Modelle, Abfragen und temporäre Tabellen innerhalb eines Datasets wird der Standardschlüssel des Datasets verwendet. Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Zum Schutz von Ressourcen, die nicht Teil eines Datasets sind, müssen Sie auf Projekt- oder Organisationsebene eigene Standardschlüssel erstellen. |
Ein Schlüssel pro Ressource |
| Secret Manager |
Secret Manager ist nur mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Standort innerhalb eines Projekts |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Autokey – Übersicht.