Cloud External Key Manager

Dieses Thema bietet einen Überblick über den Cloud External Key Manager (Cloud EKM).

Terminologie

Externer Schlüsselmanager (EKM)

Der Schlüsselmanager, der außerhalb von Google Cloud zur Verwaltung Ihrer Schlüssel verwendet wird.
Cloud External Key Manager (Cloud EKM)

Einen Google Cloud-Dienst zur Verwendung Ihrer externen Schlüssel, die in einem unterstützten EKM verwaltet werden.
Cloud EKM über das Internet

Eine Version von Cloud EKM, bei der Google Cloud über das Internet mit Ihrem External Key Manager kommuniziert.
Cloud EKM über eine VPC

Eine Version von Cloud EKM, bei der Google Cloud mit Ihrem External Key Manager über eine Virtual Private Cloud (VPC) kommuniziert. Weitere Informationen finden Sie unter VPC-Netzwerk – Übersicht.
EKM-Schlüsselverwaltung über Cloud KMS

Wenn Sie Cloud EKM über eine VPC mit einem Partner für die externe Schlüsselverwaltung verwenden, der die Cloud EKM-Steuerungsebene unterstützt, können Sie den EKM-Verwaltungsmodus von Cloud KMS verwenden, um die Verwaltung externer Schlüssel in Ihrem Partner für die externe Schlüsselverwaltung und in Cloud EKM zu vereinfachen. Weitere Informationen finden Sie auf dieser Seite unter Koordinierte externe Schlüssel und EKM-Schlüsselverwaltung von Cloud KMS.
Krypto-Space

Ein Container für Ihre Ressourcen innerhalb Ihres Partners für die externe Schlüsselverwaltung. Ihr Crypto-Space wird durch einen eindeutigen Crypto-Space-Pfad identifiziert. Das Format des Pfades für kryptografische Bereiche variiert je nach Partner für die externe Schlüsselverwaltung, z. B. v0/cryptospaces/YOUR_UNIQUE_PATH.
Vom Partner verwalteter EKM

Eine Vereinbarung, bei der Ihr EKM von einem vertrauenswürdigen Partner für Sie verwaltet wird. Weitere Informationen finden Sie auf dieser Seite unter Vom Partner verwalteter EKM.
Key Access Justifications

Wenn Sie Cloud EKM mit Key Access Justifications verwenden, enthält jede Anfrage an Ihren Partner für die externe Schlüsselverwaltung ein Feld, in dem der Grund für jede Anfrage angegeben ist. Sie können Ihren Partner für die externe Schlüsselverwaltung so konfigurieren, dass Anfragen basierend auf dem bereitgestellten Key Access Justifications-Code zugelassen oder abgelehnt werden. Weitere Informationen zu Key Access Justifications finden Sie in der Übersicht zu Key Access Justifications.

Überblick

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie mit einem unterstützten Partner für die externe Schlüsselverwaltung verwalten, um Daten in Google Cloud zu schützen. Sie können inaktive Daten in unterstützten CMEK-Integrationsdiensten oder durch direktes Aufrufen der Cloud Key Management Service API schützen.

Cloud EKM bietet mehrere Vorteile:

Schlüsselherkunft:Sie bestimmen den Speicherort und die Verteilung Ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden niemals im Cache von Google Cloud gespeichert oder dort gespeichert. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.
Zugriffssteuerung: Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel in Ihrem External Key Manager. Sie können einen extern verwalteten Schlüssel in Google Cloud erst verwenden, wenn Sie dem Google Cloud-Projekt Zugriff auf den Schlüssel in Ihrem External Key Manager gewährt haben. Sie können diesen Zugriff jederzeit widerrufen.
Zentrale Schlüsselverwaltung:Sie können Ihre Schlüssel und Zugriffsrichtlinien über eine einzige Benutzeroberfläche verwalten, unabhängig davon, ob sich die geschützten Daten in der Cloud oder bei Ihnen lokal befinden.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Sie können mit Ihrem External Key Manager über das Internet oder über eine Virtual Private Cloud (VPC) kommunizieren.

So funktioniert Cloud EKM

Cloud EKM-Schlüsselversionen bestehen aus folgenden Teilen:

Externes Schlüsselmaterial: Das externe Schlüsselmaterial eines Cloud EKM-Schlüssels ist kryptografisches Material, das in Ihrem externen Schlüsselmaterial erstellt und gespeichert wird. Dieses Material verlässt Ihren EKM nicht und wird nie an Google weitergegeben.
Schlüsselreferenz: Jede Cloud EKM-Schlüsselversion enthält entweder einen Schlüssel-URI oder einen Schlüsselpfad. Dies ist eine eindeutige Kennung für das externe Schlüsselmaterial, das Cloud EKM beim Anfordern kryptografischer Vorgänge mit dem Schlüssel verwendet.
Internes Schlüsselmaterial: Wenn ein symmetrischer Cloud EKM-Schlüssel erstellt wird, erstellt Cloud KMS zusätzliches Schlüsselmaterial in Cloud KMS, das Cloud KMS niemals verlässt. Dieses Schlüsselmaterial wird als zusätzliche Verschlüsselungsebene für die Kommunikation mit Ihrem EKM verwendet. Dieses interne Schlüsselmaterial gilt nicht für asymmetrische Signaturschlüssel.

Zur Verwendung Ihrer Cloud EKM-Schlüssel sendet Cloud EKM Anfragen für kryptografische Vorgänge an Ihren EKM. Um beispielsweise Daten mit einem symmetrischen Verschlüsselungsschlüssel zu verschlüsseln, verschlüsselt Cloud EKM die Daten zuerst mit dem internen Schlüsselmaterial. Die verschlüsselten Daten sind in einer Anfrage an den EKM enthalten. Der EKM verpackt die verschlüsselten Daten mithilfe des externen Schlüsselmaterials in einer weiteren Verschlüsselungsebene und gibt dann den resultierenden Geheimtext zurück. Mit einem Cloud EKM-Schlüssel verschlüsselte Daten können nicht sowohl ohne das externe Schlüsselmaterial als auch ohne das interne Schlüsselmaterial entschlüsselt werden.

Wenn Ihre Organisation Key Access Justifications aktiviert hat, zeichnet Ihr Partner für die externe Schlüsselverwaltung die angegebene Zugriffsbegründung auf und stellt die Anfrage nur für Codes für die Begründung bereit, die von Ihrer Key Access Justifications-Richtlinie beim Partner für die externe Schlüsselverwaltung zugelassen sind.

Zum Erstellen und Verwalten von Cloud EKM-Schlüsseln sind entsprechende Änderungen sowohl in Cloud KMS als auch in EKM erforderlich. Die entsprechenden Änderungen werden für manuell verwaltete externe Schlüssel und koordinierte externe Schlüssel unterschiedlich gehandhabt. Alle externen Schlüssel, auf die über das Internet zugegriffen wird, werden manuell verwaltet. Externe Schlüssel, auf die über ein VPC-Netzwerk zugegriffen wird, können je nach EKM-Verwaltungsmodus des EKM-über-VPC-Verbindungen manuell verwaltet oder koordiniert werden. Der EKM-Verwaltungsmodus Manuell wird für manuell verwaltete Schlüssel verwendet. Der EKM-Verwaltungsmodus von Cloud KMS wird für koordinierte externe Schlüssel verwendet. Weitere Informationen zu EKM-Verwaltungsmodi finden Sie auf dieser Seite unter Manuell verwaltete externe Schlüssel und Koordinierte externe Schlüssel.

Das folgende Diagramm zeigt, wie Cloud KMS in das Schlüsselverwaltungsmodell passt. In diesem Diagramm werden Compute Engine und BigQuery als zwei Beispiele verwendet. Sie können sich auch die vollständige Liste der Dienste ansehen, die Cloud EKM-Schlüssel unterstützen.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Manuell verwaltete externe Schlüssel

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem manuell verwalteten externen Schlüssel funktioniert.

Sie erstellen oder verwenden einen vorhandenen Schlüssel in einem unterstützten Partnersystem für die externe Schlüsselverwaltung. Dieser Schlüssel hat einen eindeutigen URI oder Schlüsselpfad.
Sie gewähren Ihrem Google Cloud-Projekt Zugriff zur Verwendung des Schlüssels im Partnersystem für die externe Schlüsselverwaltung.
Erstellen Sie in Ihrem Google Cloud-Projekt eine Cloud EKM-Schlüsselversion und verwenden Sie den URI oder Schlüsselpfad für den extern verwalteten Schlüssel.
Wartungsvorgänge wie die Schlüsselrotation müssen manuell zwischen Ihrem EKM und Cloud EKM verwaltet werden. Beispielsweise müssen die Schlüsselversionsrotation oder das Löschen von Schlüsselversionen sowohl direkt in Ihrem externen Schlüsselverwaltungssystem als auch in Cloud KMS ausgeführt werden.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit dem Schutzniveau EXTERNAL oder EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Das externe Schlüsselmaterial wird Google niemals zugänglich gemacht.

Koordinierte externe Schlüssel

Dieser Abschnitt bietet einen Überblick darüber, wie Cloud EKM mit einem koordinierten externen Schlüssel funktioniert.

Sie richten eine EKM-über-VPC-Verbindung ein und legen den EKM-Verwaltungsmodus auf Cloud KMS fest. Während der Einrichtung müssen Sie Ihrem EKM den Zugriff auf Ihr VPC-Netzwerk und das Dienstkonto des Google Cloud-Projekts für den Zugriff auf Ihren Kryptobereich in Ihrem EKM autorisieren. Ihre EKM-Verbindung verwendet den Hostnamen Ihres EKM und einen Crypto-Space-Pfad, der Ihre Ressourcen in Ihrem EKM identifiziert.
Sie erstellen einen externen Schlüssel in Cloud KMS. Wenn Sie einen Cloud EKM-Schlüssel mithilfe einer EKM-über-VPC-Verbindung erstellen und der EKM-Verwaltungsmodus von Cloud KMS aktiviert ist, werden die folgenden Schritte automatisch ausgeführt:
1. Cloud EKM sendet eine Schlüsselerstellungsanfrage an Ihren EKM.
2. Ihr EKM erstellt das angeforderte Schlüsselmaterial. Dieses externe Schlüsselmaterial verbleibt im EKM und wird nie an Google gesendet.
3. Ihr EKM gibt einen Schlüsselpfad zu Cloud EKM zurück.
4. Cloud EKM erstellt Ihre Cloud EKM-Schlüsselversion unter Verwendung des von Ihrem EKM bereitgestellten Schlüsselpfads.
Wartungsvorgänge für koordinierte externe Schlüssel können über Cloud KMS initiiert werden. Koordinierte externe Schlüssel, die für die symmetrische Verschlüsselung verwendet werden, können beispielsweise automatisch nach einem festgelegten Zeitplan rotiert werden. Das Erstellen neuer Schlüsselversionen wird in Ihrem externen Schlüsselverwaltungssystem von Cloud EKM koordiniert. Sie können das Erstellen oder Löschen von Schlüsselversionen in Ihrem externen Schlüsselverwaltungssystem auch über Cloud KMS über die Google Cloud Console, die gcloud CLI, die Cloud KMS API oder die Cloud KMS-Clientbibliotheken auslösen.

In Google Cloud wird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung arbeiten zusammen, um Ihre Daten zu schützen. Das externe Schlüsselmaterial wird Google niemals zugänglich gemacht.

EKM-Schlüsselverwaltung über Cloud KMS

Koordinierte externe Schlüssel werden von EKM über VPC-Verbindungen ermöglicht, die die EKM-Schlüsselverwaltung von Cloud KMS verwenden. Wenn Ihr EKM die Cloud EKM-Steuerungsebene unterstützt, können Sie die EKM-Schlüsselverwaltung von Cloud KMS über VPC-Verbindungen für koordinierte externe Schlüssel aktivieren. Wenn die EKM-Schlüsselverwaltung über Cloud KMS aktiviert ist, kann Cloud EKM die folgenden Änderungen in Ihrem EKM anfordern:

Schlüssel erstellen: Wenn Sie in Cloud KMS einen extern verwalteten Schlüssel mit einer kompatiblen EKM-über-VPC-Verbindung erstellen, sendet Cloud EKM Ihre Anfrage zur Schlüsselerstellung an Ihren externen Schlüssel. Wenn der Vorgang erfolgreich ist, erstellt Ihr EKM den neuen Schlüssel und das Schlüsselmaterial und gibt den Schlüsselpfad zurück, den Cloud EKM für den Zugriff auf den Schlüssel verwenden kann.
Schlüssel rotieren: Wenn Sie einen extern verwalteten Schlüssel in Cloud KMS mithilfe einer kompatiblen EKM-über-VPC-Verbindung rotieren, sendet Cloud EKM Ihre Rotationsanfrage an Ihren externen Schlüssel. Wenn der Vorgang erfolgreich ist, erstellt Ihr EKM neues Schlüsselmaterial und gibt den Schlüsselpfad zurück, den Cloud EKM für den Zugriff auf die neue Schlüsselversion verwenden kann.
Schlüssel löschen: Wenn Sie eine Schlüsselversion für einen extern verwalteten Schlüssel in Cloud KMS über eine kompatible EKM-über-VPC-Verbindung löschen, plant Cloud KMS, die Schlüsselversion in Cloud KMS zu löschen. Wenn die Schlüsselversion nicht vor Ablauf des zum Löschen vorgemerkten Zeitraums wiederhergestellt wird, löscht Cloud EKM seinen Teil des kryptografischen Materials des Schlüssels und sendet eine Löschanfrage an Ihren externen Schlüssel.

Mit dieser Schlüsselversion verschlüsselte Daten können nicht entschlüsselt werden, nachdem die Schlüsselversion in Cloud KMS gelöscht wurde, auch wenn die Schlüsselversion vom EKM noch nicht gelöscht wurde. In den Details des Schlüssels in Cloud KMS können Sie feststellen, ob die Schlüsselversion vom EKM erfolgreich gelöscht wurde.

Wenn Schlüssel in Ihrem EKM über Cloud KMS verwaltet werden, befindet sich das Schlüsselmaterial weiterhin in Ihrem externen Schlüsselverwaltungssystem. Google kann ohne ausdrückliche Genehmigung keine Schlüsselverwaltungsanfragen an Ihren EKM senden. Google kann keine Berechtigungen oder Key Access Justifications-Richtlinien in Ihrem Partnersystem für die externe Schlüsselverwaltung ändern. Wenn Sie die Berechtigungen von Google in Ihrem externen Schlüsselverwaltungssystem widerrufen, schlagen die in Cloud KMS versuchten Schlüsselverwaltungsvorgänge fehl.

Kompatibilität

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

Aktuell unterstützt:
- Fortanix
- Futurex
- Thales
- Virtru

Dienste, die CMEK mit Cloud EKM unterstützen

Die folgenden Dienste unterstützen die Einbindung in Cloud KMS für externe Schlüssel (Cloud EKM):

AlloyDB for PostgreSQL
Artifact Registry
Sicherung für GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
Cloud Logging: Daten im Logrouter und Daten im Logging-Speicher
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Nichtflüchtige Speicher , Snapshots , Benutzerdefinierte Images , und Maschinen-Images
Contact Center AI Insights
Database Migration Service: MySQL-Migrationen – in Datenbanken geschriebene Daten PostgreSQL-Migrationen – in Datenbanken geschriebene Daten , PostgreSQL-zu-AlloyDB-Migrationen – in Datenbanken geschriebene Daten , und inaktive Daten von Oracle zu PostgreSQL
Dataflow
Dataproc: Dataproc-Cluster – Daten auf VM-Laufwerken und Dataproc serverlose Daten auf VM-Laufwerken
Dataproc Metastore
Document AI
Eventarc
Filestore
Google Distributed Cloud Edge
Google Kubernetes Engine: Daten auf VM-Laufwerken und Secrets auf Anwendungsebene
Looker (Google Cloud Core)
Memorystore for Redis
Zu virtuellen Maschinen migrieren (Vorschau): Aus VMware-Quellen migrierte Daten , Aus AWS-Quellen migrierte Daten , Aus Azure-Quellen migrierte Daten , Migrierte Laufwerke , und Migrierte VMs
Pub/Sub
Secret Manager
Secure Source Manager
Cloud Spanner
Speaker-ID (allgemein verfügbar)
Speech-to-Text
Vertex AI
Vertex AI Workbench-Instanzen
Workflows

Hinweise

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie Schlüssel verlieren, die Sie außerhalb von Google Cloud verwalten, kann Google Ihre Daten nicht wiederherstellen.
Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.
Lesen Sie das Service Level Agreement (SLA).
Die Kommunikation mit einem externen Dienst über das Internet kann zu Problemen mit der Zuverlässigkeit, Verfügbarkeit und Latenz führen. Ziehen Sie für Anwendungen mit geringer Toleranz gegenüber dieser Risikoart die Verwendung von Cloud HSM oder Cloud KMS zum Speichern Ihres Schlüsselmaterials in Betracht.
- Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.
  
  Aktivieren Sie das Audit-Logging, um alle Fehler im Zusammenhang mit Cloud EKM aufzuzeichnen. Fehlermeldungen enthalten detaillierte Informationen, anhand derer Sie die Ursache des Fehlers ermitteln können. Ein Beispiel für einen häufigen Fehler besteht darin, dass ein Partner für die externe Schlüsselverwaltung nicht innerhalb eines angemessenen Zeitraums auf eine Anfrage reagiert.
- Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. Der Google Cloud-Support kann Ihnen nur bei Problemen in Google Cloud-Diensten helfen, nicht direkt bei Problemen mit externen Systemen. Manchmal müssen Sie mit dem Support auf beiden Seiten zusammenarbeiten, um Interoperabilitätsprobleme zu beheben.
Cloud EKM kann mit dem Bare-Metal-Rack-HSM verwendet werden, um eine in Cloud KMS integrierte HSM-Lösung für einen Mandanten zu erstellen. Wählen Sie einen Cloud EKM-Partner aus, der Einzelmandanten-HSMs unterstützt, und sehen Sie sich die Anforderungen für Bare-Metal-Rack-HSMs an, um weitere Informationen zu erhalten.
Aktivieren Sie Audit-Logging in Ihrem External Key Manager, um den Zugriff auf Ihre EKM-Schlüssel und deren Nutzung zu erfassen.

Achtung: Wenn Sie Cloud EKM-Schlüssel über das Internet verwenden, besteht das Risiko, dass der Schlüssel nicht mehr verfügbar ist. Je nachdem, welche Dienste Sie verwenden, kann dies schwerwiegende Fehler oder nicht zugängliche Daten verursachen. Wenn Sie beispielsweise einen externen CMEK-Schlüssel zum Verschlüsseln von Secrets auf Anwendungsebene in der Google Kubernetes Engine verwenden, sind Ihre Knoten möglicherweise nicht mehr verfügbar, wenn sie die Secrets nicht entschlüsseln können. Wenn Sie nicht auf den externen Schlüssel zugreifen können, kann dies ebenfalls zu einem dauerhaften Datenverlust führen. Wenn beispielsweise der CMEK-Schlüssel zum Verschlüsseln einer Spanner-Datenbank mehr als 30 Tage lang nicht verfügbar ist, löscht Spanner die Datenbank automatisch. Wenn die aktuelle Schlüsselversion nicht verfügbar ist, können Sie die Daten nicht wiederherstellen, indem Sie zu einer neuen Schlüsselversion rotieren. Für eine bessere Verfügbarkeit sollten Sie Cloud EKM anstelle von VPC- oder Cloud HSM-Schlüsseln verwenden.

Einschränkungen

Eine automatische Rotation wird nicht unterstützt.
Wenn Sie einen Cloud EKM-Schlüssel mit der API oder der Google Cloud CLI erstellen, darf er keine anfängliche Schlüsselversion haben. Dies gilt nicht für Cloud EKM-Schlüssel, die mit der Google Cloud Console erstellt wurden.
Für Cloud-EKM-Vorgänge gelten zusätzlich zu den Kontingenten für Cloud KMS-Vorgänge bestimmte Kontingente.

Symmetrische Verschlüsselungsschlüssel

Symmetrische Verschlüsselungsschlüssel werden nur für Folgendes unterstützt:
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) in unterstützten Integrationsdiensten.
- Symmetrische Ver- und Entschlüsselung direkt mit Cloud KMS.
Daten, die von Cloud EKM mit einem extern verwalteten Schlüssel verschlüsselt werden, können ohne Cloud EKM nicht entschlüsselt werden.

Asymmetrische Signaturschlüssel

Asymmetrische Signaturschlüssel sind auf einen Teil der Cloud KMS-Algorithmen beschränkt.
Asymmetrische Signaturschlüssel werden nur unterstützt für:
- Asymmetrisches Signieren direkt mit Cloud KMS
- Benutzerdefinierter Signaturschlüssel mit Access Approval
Wenn ein asymmetrischer Signaturalgorithmus für einen Cloud EKM-Schlüssel festgelegt wurde, kann er nicht mehr geändert werden.
Sie müssen im Feld data signiert werden.

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einen Google Cloud-Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Weitere Informationen zur Standortverfügbarkeit des Partners finden Sie in der Partnerdokumentation.

Cloud EKM über das Internet: an allen Google Cloud-Standorten verfügbar, die für Cloud KMS unterstützt werden, außer global und nam-eur-asia1.
Cloud EKM über eine VPC: nur an regionalen Standorten verfügbar, die für Cloud KMS unterstützt werden

Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel mit einem multiregionalen Standort verwenden, sind die Metadaten des Schlüssels in mehreren Rechenzentren innerhalb der Multiregion verfügbar. Diese Metadaten enthalten die Informationen, die für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlich sind. Wenn bei Ihrer Anwendung innerhalb der Multiregion ein Failover von einem Rechenzentrum zu einem anderen durchgeführt wird, initiiert das neue Rechenzentrum Schlüsselanfragen. Das neue Rechenzentrum kann andere Netzwerkmerkmale als das vorherige Rechenzentrum haben, einschließlich der Entfernung vom Partner für die externe Schlüsselverwaltung und der Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, einen multiregionalen Standort nur dann mit Cloud EKM zu verwenden, wenn der ausgewählte External Key Manager eine niedrige Latenz in allen Bereichen dieses multiregionalen Standorts bietet.

Vom Partner verwalteter EKM

Mit dem vom Partner verwalteten EKM können Sie Cloud EKM über einen vertrauenswürdigen Souveränitätspartner verwenden, der Ihr EKM-System für Sie verwaltet. Bei einem vom Partner verwalteten EKM erstellt und verwaltet Ihr Partner die Schlüssel, die Sie in Cloud EKM verwenden. Der Partner stellt sicher, dass Ihr EKM die Anforderungen an die Datenhoheit erfüllt.

Wenn Sie einen souveränen Partner einrichten, stellt er Ressourcen in Google Cloud und Ihrem EKM bereit. Zu diesen Ressourcen gehören ein Cloud KMS-Projekt zum Verwalten Ihrer Cloud EKM-Schlüssel und eine EKM-über-VPC-Verbindung, die für die EKM-Schlüsselverwaltung von Cloud KMS konfiguriert ist. Ihr Partner erstellt Ressourcen an Google Cloud-Standorten gemäß Ihren Anforderungen an den Datenstandort.

Jeder Cloud EKM-Schlüssel enthält Cloud KMS-Metadaten, mit denen Cloud EKM Anfragen an Ihren EKM senden kann, um kryptografische Vorgänge mit dem externen Schlüsselmaterial auszuführen, das Ihren EKM nie verlässt. Symmetrische Cloud EKM-Schlüssel enthalten auch internes Cloud KMS-Schlüsselmaterial, das Google Cloud nie verlässt. Weitere Informationen zur internen und externen Seite von Cloud EKM-Schlüsseln finden Sie auf dieser Seite unter Funktionsweise von Cloud EKM.

Weitere Informationen zu einem von Partnern verwalteten EKM finden Sie unter Vom Partner verwaltetes Cloud KMS konfigurieren.

Cloud EKM-Nutzung überwachen

Mit Cloud Monitoring können Sie Ihre EKM-Verbindung überwachen. Die folgenden Messwerte geben Aufschluss über Ihre EKM-Nutzung:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Weitere Informationen zu diesen Messwerten finden Sie unter cloudkms-Messwerte. Sie können ein Dashboard erstellen, um diese Messwerte zu verfolgen. Informationen zum Einrichten eines Dashboards zum Überwachen Ihrer EKM-Verbindung finden Sie unter EKM-Nutzung überwachen.

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.

Nächste Schritte

Richten Sie Cloud EKM über das Internet ein.
Erstellen Sie eine EKM-Verbindung, um EKM über VPC zu verwenden.
Mit der Verwendung der API beginnen.
Lesen Sie die Cloud KMS API-Referenz.
Weitere Informationen zu Logging in Cloud KMS. Das Logging basiert auf Vorgängen und gilt für Schlüssel mit HSM- und Softwareschutzlevel.
Empfehlungen zum Konfigurieren eines in Cloud EKM eingebundenen External Key Manager-Dienst-Deployments (External Key Manager, EKM) finden Sie unter Referenzarchitekturen für die zuverlässige Bereitstellung von Cloud EKM-Diensten.