Cloud KMS Autokey 通过自动预配和分配,简化了客户管理的加密密钥 (CMEK) 的创建和使用。借助 Autokey,您无需对密钥环、密钥和服务帐号进行规划和预配,便可在需要时使用该密钥。相反,Autokey 会在您创建资源时按需生成密钥,依赖于委派的权限,而不是 Cloud KMS 管理员。
使用 Autokey 生成的密钥可帮助您始终符合数据安全的行业标准和推荐做法,包括 HSM 保护级别、职责分离、密钥轮替、位置和密钥特异性。Autokey 会为与 Cloud KMS Autokey 集成的 Google Cloud 服务创建同时遵循一般准则和特定于资源类型的准则的密钥。创建后,使用 Autokey 请求的密钥将与具有相同设置的其他 Cloud HSM 密钥发挥相同的作用。
Autokey 还可以简化使用 Terraform 进行密钥管理的工作,消除了运行基础架构即服务的需求,并且拥有更高的密钥创建权限。
如需使用 Autokey,您必须拥有包含文件夹资源的组织资源。如需详细了解组织和文件夹资源,请参阅资源层次结构。
Cloud KMS Autokey 在提供 Cloud HSM 的所有 Google Cloud 位置均可用。如需详细了解 Cloud KMS 位置,请参阅 Cloud KMS 位置。使用 Cloud KMS Autokey 无需额外付费。使用 Autokey 创建的密钥的价格与任何其他 Cloud HSM 密钥相同。如需详细了解价格,请参阅 Cloud Key Management Service 价格。
如需详细了解 Autokey,请参阅 Autokey 概览。
选择 Autokey 和其他加密选项
Cloud KMS with Autokey 就像是客户管理的加密密钥的自动驾驶仪:它会按需代表您执行工作。您无需提前规划密钥或创建可能永远不需要的密钥。密钥和密钥用途一致。您可以定义要使用 Autokey 的文件夹,并控制哪些人可以使用 Autokey。您可以完全控制 Autokey 创建的密钥。您可以同时使用手动创建的 Cloud KMS 密钥和使用 Autokey 创建的密钥。您可以停用 Autokey,然后继续使用其创建的密钥,就像使用任何其他 Cloud KMS 密钥一样。
如果您希望在各个项目之间保持一致的密钥使用方式和较低的操作开销,并且希望遵循 Google 的密钥建议,Cloud KMS Autokey 是一个不错的选择。
| 特性或功能 | Google 默认加密方式 | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| 加密隔离:密钥仅供一个客户帐号使用 | 否 | 是 | 是 |
| 客户拥有并控制密钥 | 否 | 是 | 是 |
| 开发者触发密钥配置和分配 | 是 | 否 | 是 |
| 明确性:系统会按照建议的密钥粒度自动创建密钥 | 否 | 否 | 是 |
| 让您可以粉碎您的数据 | 否 | 是 | 是 |
| 自动遵循建议的密钥管理做法 | 否 | 否 | 是 |
| 使用受 HSM 支持且符合 FIPS 140-2 3 级要求的密钥 | 否 | 可选 | 是 |
如果您需要使用 HSM 以外的保护级别或自定义轮替周期,则可以在不使用 Autokey 的情况下使用 CMEK。
兼容的服务
下表列出了与 Cloud KMS Autokey 兼容的服务:
| 服务 | 受保护资源 | 键粒度 |
|---|---|---|
| Cloud Storage |
存储桶中的对象会使用存储桶默认密钥。Autokey 不会为 |
每个存储桶一个密钥 |
| Compute Engine |
快照会使用您要为其创建快照的磁盘的密钥。
Autokey 不会为 |
每个资源一个密钥 |
| BigQuery |
Autokey 会为数据集创建默认键。数据集中的表、模型、查询和临时表使用数据集的默认键。 Autokey 不会为数据集以外的 BigQuery 资源创建密钥。如需保护不属于数据集的资源,您必须在项目或组织级层创建自己的默认密钥。 |
每个资源一个密钥 |
| Secret Manager |
只有在使用 Terraform 或 REST API 创建资源时,Secret Manager 才与 Cloud KMS Autokey 兼容。 |
项目中每个位置一个密钥 |
后续步骤
- 如需详细了解 Cloud KMS Autokey 的工作原理,请参阅 Autokey 概览。