Cloud KMS with Autokey

Cloud KMS Autokey 通过自动执行预配和分配来简化客户管理的加密密钥 (CMEK) 的创建和使用。借助 Autokey,系统会按需生成密钥环和密钥。服务账号 使用密钥来加密和解密资源的 Identity and Access Management (IAM) 角色(如有需要)。Cloud KMS 管理员可以继续完全控制由 Autokey 创建的密钥,并可查看这些密钥,而无需预先规划和创建每个资源。

使用 Autokey 生成的密钥有助于您始终遵循数据安全方面的业界标准和建议做法,包括 HSM 保护级别、职责分离、密钥轮替、位置和密钥专用性。Autokey 会创建符合两个常规准则的密钥 与 Google Cloud 服务资源类型相关的准则和指南 与 Cloud KMS Autokey 集成的应用创建好密钥后 使用 Autokey 函数进行请求的方式 具有相同设置的 Cloud HSM 密钥。

Autokey 还可以简化使用 Terraform 进行密钥管理的工作, 无需通过提升密钥创建功能来运行基础架构即代码 权限。

若要使用 Autokey,您必须拥有包含文件夹资源的组织资源。如需详细了解组织和文件夹资源 请参阅资源层次结构

Cloud KMS Autokey 在提供 Cloud HSM 的所有 Google Cloud 位置均可用。详细了解 Cloud KMS 请参阅 Cloud KMS 位置。使用 Cloud KMS Autokey 无需额外付费。使用 Autokey 创建的密钥的价格与任何其他 Cloud HSM 密钥相同。对于 如需详细了解价格,请参阅 Cloud Key Management Service 价格

如需详细了解 Autokey,请参阅 Autokey 概览

在 Autokey 和其他加密选项之间进行选择

Cloud KMS with Autokey 就像一个自动驾驶仪, 客户管理的加密密钥:它会按需代表您执行工作。 您无需提前规划密钥,也无需创建可能永远不会 所需的资源。键和键用法保持一致。您可以指定要使用 Autokey 的文件夹,并控制哪些人可以使用它。您对 Autokey 创建的密钥拥有完全的控制权。您可以将手动创建的 Cloud KMS 密钥与使用 Autokey 创建的密钥搭配使用。您可以 停用 Autokey,并继续以同样的方式使用其创建的密钥 可以使用任何其他 Cloud KMS 密钥。

如果您希望在各组织之间采用一致的密钥用法,Cloud KMS Autokey 是一个不错的选择 并且运营开销较低,并且希望遵循 Google 的 密钥方面的建议

功能或能力 Google 默认加密方式 Cloud KMS Cloud KMS Autokey
加密隔离:密钥专供一个客户 账号
客户拥有并控制密钥
开发者触发密钥配置和分配
具体性:系统会按照建议的键精细级别自动创建键
让您可以粉碎您的数据
自动遵循建议的密钥管理做法
使用受 HSM 支持且符合 FIPS 140-2 3 级要求的密钥 可选

如果您需要使用 HSM 以外的保护级别或自定义轮替周期, 您可以在没有 Autokey 的情况下使用 CMEK

兼容的服务

下表列出了与 Cloud KMS AutoKey 兼容的服务:

服务 受保护资源 键粒度
Cloud Storage
  • storage.googleapis.com/Bucket

存储桶使用存储桶默认密钥。Autokey 不会为 storage.object 资源创建密钥。

每个存储桶一个键
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

快照使用您要为其创建快照的磁盘的密钥。 Autokey 不会为 compute.snapshot 资源创建密钥。

每项资源一个密钥
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey 会为数据集创建默认密钥。表、模型、 和数据集内的临时表使用数据集默认值 键。

Autokey 不会为 BigQuery 资源创建密钥 数据。如需保护不属于数据集的资源,您必须在项目级别或组织级别创建自己的默认密钥。

每个资源一个密钥
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager 仅与 Cloud KMS Autokey 兼容 (使用 Terraform 或 REST API 创建资源时)。

项目中每个位置一个密钥
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey 不会为 Cloud SQL BackupRun 资源创建密钥。创建备份时 Cloud SQL 实例,则备份使用主实例加密 实例的客户管理的密钥。

Cloud SQL 仅与 Cloud KMS Autokey 兼容 (使用 Terraform 或 REST API 创建资源时)。

每个资源一个密钥
Spanner
  • spanner.googleapis.com/Database

Spanner 仅与 Cloud KMS Autokey 兼容 (使用 Terraform 或 REST API 创建资源时)。

每个资源一个密钥

后续步骤

  • 如需详细了解 Cloud KMS Autokey 的运作方式,请参阅 Autokey 概览