O Cloud KMS Autokey simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) ao automatizar o provisionamento e a atribuição. Com o Autokey, os keyrings, as chaves e as contas de serviço não precisam ser planejados e provisionados antes de serem necessários. Em vez disso, o Autokey gera as chaves sob demanda à medida que os recursos são criados, dependendo de permissões delegadas em vez de administradores do Cloud KMS.
O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente com os padrões do setor e as práticas recomendadas para segurança de dados, incluindo o nível de proteção do HSM, a separação de tarefas, a rotação de chaves, o local e a especificidade da chave. O Autokey cria chaves que seguem as diretrizes gerais e as específicas do tipo de recurso para serviços do Google Cloud que se integram ao Cloud KMS Autokey. Depois de criadas, as chaves solicitadas usando o Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.
O Autokey também simplifica o uso do Terraform para gerenciamento de chaves, eliminando a necessidade de executar a infraestrutura como serviço com privilégios elevados de criação de chaves.
Para usar o Autokey, você precisa ter um recurso da organização que contenha um recurso de pasta. Para mais informações sobre organização e recursos de pasta, consulte Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todos os locais do Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo extra para usar o Autokey do Cloud KMS. As chaves criadas com o Autokey têm o mesmo preço de qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Para saber mais sobre o Autokey, consulte Visão geral do Autokey.
Escolha entre o Autokey e outras opções de criptografia
O Cloud KMS com Autokey é como um Autopilot para chaves de criptografia gerenciadas pelo cliente: ele faz o trabalho para você, sob demanda. Não é preciso planejar as chaves com antecedência nem criar chaves que podem nunca ser necessárias. As chaves e o uso de chaves são consistentes. Você pode definir as pastas em que quer que o Autokey seja usado e controlar quem pode usá-lo. Você mantém o controle total das chaves criadas pelo Autokey. É possível usar chaves do Cloud KMS criadas manualmente com as criadas com o Autokey. É possível desativar o Autokey e continuar usando as chaves criadas da mesma maneira que usaria qualquer outra chave do Cloud KMS.
O Cloud KMS Autokey é uma boa opção se você quer usar chaves de forma consistente em todos os projetos, com baixa sobrecarga operacional, e quer seguir as recomendações do Google para chaves.
| Recurso ou funcionalidade | Criptografia padrão do Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas da conta de um cliente. | No | Sim | Sim |
| O cliente é proprietário e controla as chaves | No | Sim | Sim |
| O desenvolvedor aciona o provisionamento e a atribuição de chaves | Sim | No | Sim |
| Especificidade: as chaves são criadas automaticamente com a granularidade de chave recomendada | No | No | Sim |
| Permite que você criptografe seus dados | No | Sim | Sim |
| Alinha-se automaticamente com as práticas recomendadas de gerenciamento de chaves | No | No | Sim |
| Usa chaves protegidas por HSM em conformidade com FIPS 140-2 Nível 3 | No | Opcional | Sim |
Caso precise usar um nível de proteção diferente de HSM ou um período de rotação personalizado,
use CMEK sem o Autokey.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com o Cloud KMS Autokey:
| Serviço | Recursos protegidos | Granularidade de chave |
|---|---|---|
| Cloud Storage |
Os objetos em um
bucket de armazenamento usam a chave padrão do bucket. O Autokey não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco do qual você está criando um snapshot.
O Autokey não cria chaves para recursos
|
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias dentro de um conjunto de dados usam a chave padrão do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, crie suas próprias chaves padrão no nível do projeto ou da organização. |
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
A seguir
- Para saber mais sobre como o Autokey do Cloud KMS funciona, consulte Visão geral do Autokey.