Questa pagina descrive ogni tipo di risorsa in Cloud KMS. Puoi Scopri di più sulla gerarchia delle risorse.
Chiavi
Una chiave Cloud KMS è un oggetto denominato che contiene una o più chiavi versioni, oltre ai metadati della chiave. Esiste una chiave esattamente un keyring legato a una località specifica.
Puoi consentire e negare l'accesso alle chiavi utilizzando Identity and Access Management (IAM) autorizzazioni e ruoli. Non puoi gestire l'accesso a una chiave completamente gestita.
La disabilitazione o l'eliminazione di una chiave comporta anche la disabilitazione o eliminazione di ogni versione della chiave.
Le seguenti sezioni discutono le proprietà di una chiave.
A seconda del contesto, le proprietà di una chiave vengono mostrate in un formato diverso.
- Quando utilizzi Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene mostrata
sotto forma di stringa con lettere maiuscole, ad esempio
SOFTWARE. - Quando utilizzi la console Google Cloud, la proprietà viene visualizzata come stringa con all'iniziale maiuscola, ad esempio Software.
Nelle sezioni seguenti, ogni formato viene mostrato dove appropriato.
Tipo
Il tipo di una chiave determina se la chiave è utilizzata in modo simmetrico o asimmetrico le operazioni crittografiche.
Nella crittografia o nella firma simmetrica, viene utilizzata la stessa chiave per criptare e decriptare o per firmare e verificare una firma.
Nella crittografia o nella firma asimmetrica, la chiave è composta da una chiave pubblica e chiave privata. Una chiave privata con la chiave pubblica corrispondente è detta chiave coppia.
- La chiave privata contiene dati sensibili ed è necessaria per decriptare i dati o per a seconda dello scopo configurato della chiave.
- La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o per verificare una firma, a seconda dello scopo configurato della chiave.
Il tipo di chiave è uno dei componenti dello scopo della chiave e non può essere modificato dopo viene creata la chiave.
Finalità
Lo scopo di una chiave indica il tipo di operazioni crittografiche che può essere eseguita dalla chiave utilizzata per, ad esempio, Crittografia/decrittografia simmetrica o Asimmetrica firma. Sei tu a scegliere lo scopo quando crei la chiave e tutte le versioni di una hanno lo stesso scopo. Non è possibile modificare lo scopo di una chiave dopo che è è stato creato. Per ulteriori informazioni sugli scopi chiave, consulta Scopi principali.
Livello di protezione
Il livello di protezione di una chiave determina l'ambiente di archiviazione della chiave e riposare. Il livello di protezione è uno dei seguenti:
- Software (
SOFTWAREin Google Cloud CLI e API Cloud Key Management Service) - HSM
- Esterno (
EXTERNALin Google Cloud CLI e API Cloud Key Management Service) - VPC esterno (
EXTERNAL_VPCin Google Cloud CLI e API Cloud Key Management Service)
Il livello di protezione di una chiave non può essere modificato dopo la sua creazione.
Versione primaria
Le chiavi possono avere più versioni della chiave attive e abilitate contemporaneamente nel tempo. Le chiavi di crittografia simmetriche hanno una versione della chiave primaria, ovvero la chiave utilizzata per impostazione predefinita per criptare i dati se non specifichi una versione della chiave.
Le chiavi asimmetriche non hanno versioni primarie. devi specificare la versione quando utilizzando la chiave.
Per le chiavi simmetriche e asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare e decriptare i dati o firmare e convalidare le firme.
Versioni delle chiavi
Ogni versione di una chiave contiene il materiale della chiave utilizzato per la crittografia o la firma. Ciascuna
alla versione viene assegnato un numero di versione, a partire da 1. La rotazione di una chiave crea
nuova versione della chiave. Puoi scoprire di più sulla rotazione
chiave.
Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave è stato utilizzato per criptare o firmare i dati. Per trovare l'ID risorsa della versione della chiave, consulta Recupero dell'ID risorsa di una chiave.
Puoi disabilitare o eliminare singole versioni della chiave senza influire su altre versions. Puoi anche disabilitare o eliminare tutte le versioni della chiave per una determinata chiave.
Non puoi controllare l'accesso alle versioni delle chiavi indipendentemente dalle autorizzazioni in l'effetto sulla chiave. Se concedi l'accesso a una chiave, concedi l'accesso a tutte le sue compatibili con le versioni precedenti.
Per motivi di sicurezza, nessuna entità Google Cloud può visualizzare o esportare i dati non elaborati materiale della chiave di crittografia rappresentato da una versione della chiave. Invece, Cloud KMS accede al materiale della chiave per tuo conto.
Le seguenti sezioni discutono le proprietà di una versione della chiave.
Stato
Ogni versione della chiave ha uno stato che indica il relativo stato. Di solito, lo stato della chiave sarà uno dei seguenti:
- Abilitato
- Disattivata
- Pianificata per l'eliminazione
- Eliminata
La versione della chiave può essere utilizzata solo quando è abilitata. Versioni della chiave in qualsiasi stato a parte quelli eliminati sono soggetti a costi. Per ulteriori informazioni sulle chiavi per conoscere gli stati delle versioni e le modalità di transizione da una versione all'altra, vedi Versione chiave stati.
Algoritmo
L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave necessari per le operazioni crittografiche. Chiavi simmetriche e asimmetriche usano algoritmi diversi. La crittografia e la firma utilizzano algoritmi diversi.
Se non specifichi un algoritmo quando crei una nuova versione della chiave, della versione precedente.
Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che lo stesso testo non crittografato criptato con la stessa versione della chiave due volte restituiscono lo stesso testo crittografato.
Keyring
Un keyring organizza le chiavi in un ambiente Google Cloud specifico location e consente di gestire il controllo dell'accesso su gruppi di chiavi. Un keyring nome non deve essere univoco in un progetto Google Cloud, ma deve essere univoci all'interno di una determinata località. Dopo la creazione, un keyring non può essere eliminato. I keyring non comportano alcun costo.
Punti di manipolazione dei tasti
Un handle della chiave è una risorsa di Cloud KMS che ti aiuta a coprire Separazione dei compiti per creare nuove chiavi Cloud KMS per CMEK utilizzando Autokey. La creazione di un handle della chiave in un trigger di progetto di risorse la creazione di una chiave Cloud KMS nel progetto chiave per CMEK on demand setup.
Un handle della chiave contiene un riferimento alla chiave Cloud KMS che era è stato creato. Puoi recuperare l'ID risorsa di Cloud KMS di una chiave creata da Autokey dall'handle della chiave. gli strumenti Infrastructure as Code come Terraform può utilizzare gli handle delle chiavi per gestire le risorse protette da CMEK senza con privilegi elevati.
Gli handle della chiave non sono visibili nella console Google Cloud, ma per utilizzare Autokey con l'API REST o Terraform, devi lavorare con gli handle delle chiavi. Per ulteriori informazioni informazioni sull'utilizzo degli handle delle chiavi, consulta Creare risorse protette utilizzando Cloud KMS Autokey.
Configurazioni Autokey
Una configurazione Autokey è una risorsa a livello di cartella che definisce se Autokey è abilitato per la cartella. La configurazione Autokey definisce il progetto chiave utilizzato per le chiavi create da Cloud KMS Autokey e proteggere le risorse al suo interno. Quando attivi Autokey, crei o aggiornare una configurazione di Autokey nella cartella delle risorse. Per ulteriori informazioni informazioni sull'utilizzo delle configurazioni Autokey, consulta Abilitare Cloud KMS Autokey.
Connessioni EKM
Una connessione EKM è una risorsa di Cloud KMS che organizza Connessioni VPC agli EKM on-premise in una specifica località di Google Cloud. Una connessione EKM ti consente di connetterti e utilizzare da un gestore di chiavi esterno su una rete VPC. Dopo il giorno creazione, una connessione EKM non può essere eliminata. Le connessioni EKM non sono soggette a a qualsiasi costo.
Recupero dell'ID di una risorsa
Alcune chiamate API e gcloud CLI potrebbero richiedere il riferimento a una chiave dell'anello, della chiave o della versione della chiave in base all'ID risorsa, ovvero una stringa che rappresenta nome completo di CryptoKeyVersion. Gli ID risorsa sono gerarchici, simili in un percorso del file system. L'ID risorsa di una chiave contiene anche informazioni il keyring e la posizione.
| Oggetto | Formato ID risorsa |
|---|---|
| Keyring | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Chiave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versione chiave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Punto di manipolazione della chiave | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Connessione EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Configurazione Autokey | folders/FOLDER_NUMBER/autopilotConfig |
Per saperne di più, vedi Recupero di un ID risorsa di Cloud KMS.
Organizzazione delle risorse
Quando pianifichi come organizzare le risorse in Google Cloud del progetto, considera le tue regole aziendali e come prevedi di gestire l'accesso. Puoi concedi l'accesso a una singola chiave, a tutte le chiavi in un keyring o a tutte le chiavi di un progetto. Sono comuni i seguenti pattern organizzativi:
- Per ambiente, ad esempio
prod,testedevelop. - Per area di lavoro, ad esempio
payrolloinsurance_claims. - In base alla sensibilità o alle caratteristiche dei dati, ad esempio
unrestricted,restricted,confidentialetop-secret.
Cicli di vita delle risorse
Impossibile eliminare keyring, chiavi e versioni delle chiavi. Ciò garantisce che identificatore di risorsa di un è univoca e punta sempre al materiale originale della chiave per quella versione, a meno che non è stata distrutta. Puoi memorizzare un numero illimitato di keyring, chiavi abilitate o disabilitate e le versioni delle chiavi abilitate, disabilitate o eliminate. Per ulteriori informazioni, vedi Prezzi e Quote.
Per scoprire come eliminare o ripristinare la versione di una chiave, consulta Eliminazione e ripristino le versioni della chiave.
Dopo aver pianificato l'arresto di un progetto Google Cloud, non puoi accedere alle risorse del progetto, incluso Cloud KMS di risorse, a meno che non ripristini il progetto seguendo i passaggi per ripristinare un progetto.
Passaggi successivi
- Crea una chiave.
- Scopri di più su autorizzazioni e ruoli in di Cloud KMS.