Cloud EKM-Schlüssel verwalten

In diesem Thema erfahren Sie, wie Sie den Cloud External Key Manager (Cloud EKM) verwenden, um Ihre inaktiven Daten mit Schlüsseln zu verschlüsseln, die außerhalb von Google Cloud verwaltet werden.

Hinweis

Wenn Sie die folgenden Schritte abgeschlossen haben, können Sie Cloud EKM-Schlüssel verwenden, um Ihre Daten zu schützen.

Neues Projekt erstellen

Wir empfehlen Ihnen, für den Test von Cloud EKM ein neues Projekt einzurichten.

  1. Wechseln Sie in der Google Cloud Console zur Seite "Ressourcen verwalten".

    Zur Seite "Ressourcen verwalten"

  2. Erstellen Sie ein neues Google Cloud-Projekt oder wählen Sie ein vorhandenes Projekt aus.

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Weitere Informationen zu den Preisen von Cloud EKM

Cloud KMS aktivieren

  1. Aktivieren Sie die Cloud Key Management Service-API für das Projekt.

    Cloud Key Management Service API aktivieren

  2. Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Ersetzen Sie im folgenden Beispiel project-number durch die Projektnummer des Google Cloud-Projekts. Die Projektnummer wird auch angezeigt, wenn Sie die Cloud Console zum Erstellen eines Cloud EKM-Schlüssels verwenden.

    service-project-number@gcp-sa-ekms.iam.gserviceaccount.com
    

Das Partnersystem für die externe Schlüsselverwaltung vorbereiten

Gewähren Sie dem Google Cloud-Dienstkonto im Partnersystem für die externe Schlüsselverwaltung Zugriff, um den externen Schlüssel zu verwenden. Behandeln Sie das Dienstkonto als E-Mail-Adresse. Partner verwenden möglicherweise eine andere Terminologie als die in diesem Thema verwendete.

Externen Schlüssel erstellen

Führen Sie diese Schritte auf dem Partnersystem für die externe Schlüsselverwaltung aus. Die genauen Schritte variieren je nach Partner für die externe Schlüsselverwaltung. Hier finden Sie eine Liste der unterstützten Cloud EKM-Partner.

  1. Fordern Sie bei Bedarf den Zugriff Ihres Partners für die externe Schlüsselverwaltung an, um an dieser -Version teilzunehmen.

  2. Erstellen Sie einen Schlüssel im Partnersystem für die externe Schlüsselverwaltung oder wählen Sie einen vorhandenen Schlüssel aus.

    Erstellen Sie den Schlüssel in einer Region in der Nähe der Google Cloud-Region, die Sie für Cloud EKM-Schlüssel verwenden möchten. Dadurch wird die Netzwerklatenz zwischen Ihrem Google Cloud-Projekt und dem externen Schlüsselverwaltungspartner verringert. Andernfalls kann es zu einer erhöhten Anzahl fehlgeschlagener Vorgänge kommen. Weitere Informationen finden Sie unter Cloud EKM und Regionen.

  3. Notieren Sie sich den URI des externen Schlüssels. Sie benötigen diese Informationen, um einen Cloud EKM-Schlüssel erstellen zu können.

Cloud EKM-Schlüssel erstellen

Wenn Sie einen Schlüssel erstellen, fügen Sie ihn einem Schlüsselbund hinzu, der sich dort befindet, wo Sie den Schlüssel verwenden möchten. Bei Cloud EKM-Schlüsseln muss dieser Speicherort auch in der Nähe des Speicherorts Ihres externen Schlüssels liegen.

In diesem Thema erfahren Sie, wie Sie einen Schlüsselbund erstellen. Sie können jedoch einen Schlüssel auf einem vorhandenen Schlüsselbund erstellen, der an einem geeigneten Speicherort liegt.

vorhanden sein. Geben Sie daher immer den Standort an.

gcloud

  1. Erstellen Sie einen Schlüsselbund in einer der Regionen, die von Ihrem Partner für die externe Schlüsselverwaltung empfohlen wurden.

    gcloud kms keyrings \
     create key-ring-name \
     --location location
    
  2. Erstellen Sie einen Schlüssel im Schlüsselbund. Setzen Sie die Schutzstufe auf external und den Zweck auf encryption. Fügen Sie --skip-initial-version-creation hinzu, um zu verhindern, dass eine anfängliche Schlüsselversion erstellt wird. Legen Sie den Wert default algorithm auf external-symmetric-encryption fest.

    gcloud kms keys \
     create key-name \
     --keyring key-ring-name \
     --location location \
     --purpose encryption \
     --protection-level external \
     --skip-initial-version-creation \
     --default-algorithm external-symmetric-encryption
    
  3. Erstellen Sie eine Schlüsselversion für den soeben erstellten Schlüssel. Setzen Sie das Flag --external-key-uri auf den externen Schlüssel-URI. Fügen Sie das Flag --primary ein, um diese Version zur primären Schlüsselversion zu machen. Verwenden Sie denselben Schlüsselnamen, Schlüsselbund und Standort wie in den vorherigen Schritten.

    gcloud kms keys versions \
     create \
     --key key-name \
     --keyring key-ring-name \
     --location location \
     --external-key-uri external-key-uri \
     --primary
    

Console

Schlüsselbund erstellen

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.

    Zur Seite "Cryptographic Keys" (Kryptografische Schlüssel)

  2. Klicken Sie auf KeyRing erstellen.

  3. Geben Sie im Feld Schlüsselbundname einen Namen für den Schlüsselbund ein.

  4. Wählen Sie aus dem Drop-down-Menü Standort eine der Regionen aus, die von Ihrem Partner für externe Schlüsselverwaltung empfohlen wird.

  5. Klicken Sie auf Erstellen. Der Schlüsselbund wird erstellt und das Dialogfeld zur Schlüsselerstellung wird angezeigt.

Erstellen Sie einen Cloud EKM-Schlüssel.

  1. Wählen Sie als Typ des Schlüssels Extern verwalteter Schlüssel aus. Der Zweck wird automatisch auf Symmetrisches Ver-/Entschlüsseln und das Feld Schlüsseltyp und Algorithmus auf Externer symmetrischer Schlüssel eingestellt. Diese Werte können nicht geändert werden.

  2. Geben Sie einen Namen für den Schlüssel ein

  3. Geben Sie den URI des externen Schlüssels ein.

  4. Fügen Sie optional Labels für den Schlüssel hinzu. Weitere Informationen zu Schlüssel mit Labels versehen

  5. Klicken Sie auf Erstellen.

Die Schlüsselversion wird automatisch erstellt, die dann zur Hauptversion wird.

Sie können die Schlüsselressourcen-ID des neuen Schlüssels abrufen und in den folgenden Szenarien verwenden, um Daten zu schützen:

Externen Schlüssel rotieren

Sie können den Cloud EKM-Schlüssel rotieren, wenn Sie den URI des externen Schlüssels ändern müssen. Durch Rotieren des Schlüssels wird dem Schlüssel von Cloud EKM eine neue Schlüsselversion hinzugefügt.

Nachdem Sie einen Cloud-EKM-Schlüssel rotiert haben, können Sie immer noch Daten entschlüsseln, die mit einer früheren Version des Schlüssels verschlüsselt wurden, solange die frühere Version des externen Schlüssels noch unter dem URI des externen Schlüssels auf dem System des externen Schlüsselverwaltungspartners verfügbar ist.

Wenn sich das Schlüsselmaterial im externen Schlüsselverwaltungspartnersystem nicht ändert, sich aber der URI ändert, können Sie den externen URI des Schlüssels aktualisieren, ohne den Schlüssel zu rotieren.

gcloud

Erstellen Sie eine neue Schlüsselversion, die die aktualisierte externe Schlüssel-URI enthält, und legen Sie diese Version als primäre Schlüsselversion fest, um den Schlüssel zu rotieren. Verwenden Sie denselben Namen, Schlüsselbund und Speicherort wie beim Erstellen des Schlüssels.

gcloud kms keys versions \
  create \
  --key key-name \
  --keyring key-ring-name \
  --location location \
  --external-key-uri new-external-key-uri \
  --primary

Console

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.
    Zur Seite "Kryptografische Schlüssel"

  2. Wählen Sie den Schlüsselbund und dann den Schlüssel aus.

  3. Wählen Sie Rotieren aus.

  4. Geben Sie den neuen Schlüssel-URI ein und wählen Sie Schlüssel rotieren aus.

Die neue Schlüsselversion wird die Hauptversion.

Aktualisieren Sie den URI für eine Schlüsselversion

Sie können den Schlüssel-URI für eine Cloud-eKM-Schlüsselversion aktualisieren, ohne den Cloud-eKM-Schlüssel zu rotieren, solange der neue Schlüssel-URI genau das gleiche Schlüsselmaterial wie der ursprüngliche Schlüssel-URI hat. Wenn die URIs nicht dasselbe Schlüsselmaterial enthalten, schlägt die Aktualisierung des Schlüssel-URI fehl. Sie können auch den Schlüssel-URI für eine Schlüsselversion aktualisieren, die nicht die primäre Version ist.

Wenn das Schlüsselmaterial im Partnersystem für die externe Schlüsselverwaltung rotiert wurde, müssen Sie stattdessen den Schlüssel rotieren.

gcloud

Verwenden Sie zum Aktualisieren des URI der Schlüsselversion den Befehl gcloud beta kms versions update, geben Sie die zu aktualisierende Schlüsselversion an und setzen Sie das Flag --external-key-uri auf den neuen URI.

gcloud kms keys versions update key-version \
  --key key \
  --keyring keyring \
  --location location \
  --external-key-uri uri

Der folgende Befehl aktualisiert beispielsweise den URI für Version 2 des Schlüssels example-key auf https://example-key.example.com/v0/example_key:

gcloud kms keys versions update 2 \
  --key example-key> \
  --keyring example-keyring \
  --location us-west1 \
  --external-key-uri https://example-key.example.com/v0/example_key

Console

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.
    Zur Seite "Kryptografische Schlüssel"

  2. Wählen Sie den Schlüsselbund und dann den Schlüssel und die Version aus.

  3. Klicken Sie auf Mehr und dann auf Schlüssel-URI anzeigen.

  4. Klicken Sie auf Schlüssel-URI aktualisieren.

  5. Geben Sie den neuen Schlüssel-URI ein und klicken Sie auf Speichern.

Externen Schlüssel deaktivieren oder löschen

Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel vorübergehend deaktivieren möchten, können Sie den Cloud EKM-Schlüssel oder die Schlüsselversion deaktivieren. Es wird empfohlen, den gesamten Schlüssel zu deaktivieren. Das Deaktivieren eines Schlüssels erfolgt innerhalb von drei Stunden.

Wenn Sie einen Schlüssel deaktivieren, sollten Sie auch den Zugriff auf den Schlüssel widerrufen. IAM-Vorgänge sind innerhalb von Sekunden konsistent. Vielleicht sollten Sie auch den Zugriff des Google Cloud-Dienstkontos im Partnersystem für die externe Schlüsselverwaltung widerrufen.

Wenn Sie die Verknüpfung zwischen einem Cloud EKM-Schlüssel und einem externen Schlüssel endgültig entfernen möchten, können Sie die Cloud EKM-Schlüsselversion zum Löschen vormerken. Nach 24 Stunden wird der Schlüssel gelöscht. Das Löschen eines Schlüssels ist endgültig. Nachdem die Schlüsselversion gelöscht wurde, können Sie keine Daten mehr verschlüsseln oder Daten entschlüsseln, die mit der Cloud EKM-Schlüsselversion verschlüsselt wurden. Sie können keine Cloud EKM-Schlüsselversion erstellen, die gelöscht wurde, auch wenn Sie denselben externen Schlüssel-URI verwenden.

Fehler interpretieren

Wenn beim Erstellen oder Verwenden eines Cloud EKM-Schlüssels ein Fehler auftritt, wird ein Fehler protokolliert. Weitere Informationen zur Interpretation und Behebung dieser Fehler finden Sie in der Cloud EKM-Fehlerreferenz.

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.