Risorse di Cloud KMS

Questa pagina descrive ogni tipo di risorsa in Cloud KMS. Puoi Scopri di più sulla gerarchia delle risorse.

Chiavi

Una chiave Cloud KMS è un oggetto denominato che contiene una o più chiavi versioni, oltre ai metadati della chiave. Esiste una chiave esattamente un keyring legato a una località specifica.

Puoi consentire e negare l'accesso alle chiavi utilizzando Identity and Access Management (IAM) autorizzazioni e ruoli. Non puoi gestire l'accesso a una versione della chiave.

La disattivazione o la distruzione di una chiave comporta anche la disattivazione o la distruzione di ogni versione della chiave.

Le seguenti sezioni discutono le proprietà di una chiave.

A seconda del contesto, le proprietà di una chiave vengono mostrate in un formato diverso.

  • Quando utilizzi Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene mostrata sotto forma di stringa con lettere maiuscole, ad esempio SOFTWARE.
  • Quando utilizzi la console Google Cloud, la proprietà viene visualizzata come stringa con lettere maiuscole iniziali, ad esempio Software.

Nelle sezioni seguenti, ogni formato viene mostrato dove appropriato.

Tipo

Il tipo di chiave determina se la chiave viene utilizzata per operazioni di crittografia simmetrica o asimmetrica.

Nella crittografia o nella firma simmetrica, la stessa chiave viene utilizzata per criptare e decriptare i dati o per firmare e verificare una firma.

Nella crittografia o nella firma asimmetrica, la chiave è composta da una chiave pubblica e chiave privata. Una chiave privata con la relativa chiave pubblica corrispondente è chiamata coppia di chiavi.

  • La chiave privata contiene dati sensibili ed è necessaria per decriptare i dati o per a seconda dello scopo configurato della chiave.
  • La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o per verificare una firma, a seconda dello scopo configurato della chiave.

Il tipo di chiave è uno dei componenti dello scopo della chiave e non può essere modificato dopo viene creata la chiave.

Finalità

Lo scopo di una chiave indica il tipo di operazioni crittografiche che può essere eseguita dalla chiave utilizzata per, ad esempio, Crittografia/decrittografia simmetrica o Asimmetrica firma. Sei tu a scegliere lo scopo durante la creazione della chiave e tutte le versioni di una hanno lo stesso scopo. Lo scopo di una chiave non può essere modificato dopo la sua creazione. Per ulteriori informazioni sugli scopi chiave, consulta Scopi principali.

Livello di protezione

Il livello di protezione di una chiave determina l'ambiente di archiviazione della chiave in stato inattivo. Il livello di protezione è uno dei seguenti:

  • Software (SOFTWARE in Google Cloud CLI e nell'API Cloud Key Management Service)
  • HSM
  • Esterno (EXTERNAL in Google Cloud CLI e API Cloud Key Management Service)
  • VPC esterno (EXTERNAL_VPC in Google Cloud CLI e API Cloud Key Management Service)

Il livello di protezione di una chiave non può essere modificato dopo la creazione della chiave.

Versione primaria

Le chiavi possono avere più versioni attive e abilitate contemporaneamente. Le chiavi di crittografia simmetriche hanno una versione della chiave primaria, ovvero la chiave utilizzata per impostazione predefinita per criptare i dati se non specifichi una versione della chiave.

Le chiavi asimmetriche non hanno versioni primarie. devi specificare la versione quando utilizzando la chiave.

Per le chiavi simmetriche e asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare e decriptare i dati o firmare e convalidare le firme.

Versioni delle chiavi

Ogni versione di una chiave contiene il materiale della chiave utilizzato per la crittografia o la firma. A ogni versione viene assegnato un numero, a partire da 1. La rotazione di una chiave crea nuova versione della chiave. Puoi scoprire di più sulla rotazione chiave.

Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave utilizzata per criptare o firmare i dati. Per trovare l'ID risorsa di una versione della chiave, consulta Recupero dell'ID risorsa di una chiave.

Puoi disabilitare o eliminare singole versioni della chiave senza influire su altre e versioni successive. Puoi anche disabilitare o eliminare tutte le versioni della chiave per una determinata chiave.

Non puoi controllare l'accesso alle versioni delle chiavi indipendentemente dalle autorizzazioni in l'effetto sulla chiave. Se concedi l'accesso a una chiave, concedi l'accesso a tutte le sue compatibili con le versioni precedenti.

Per motivi di sicurezza, nessun principale Google Cloud può visualizzare o esportare il materiale delle chiavi crittografiche non elaborato rappresentato da una versione della chiave. Invece, Cloud KMS accede al materiale della chiave per tuo conto.

Le seguenti sezioni discutono le proprietà di una versione della chiave.

Stato

Ogni versione della chiave ha uno stato che indica il relativo stato. Di solito, lo stato della chiave sarà uno dei seguenti:

  • Abilitato
  • Disattivata
  • Pianificata per l'eliminazione
  • Eliminata

Una versione della chiave può essere utilizzata solo se è abilitata. Versioni della chiave in qualsiasi stato a parte quelli eliminati sono soggetti a costi. Per ulteriori informazioni sugli stati delle versioni delle chiavi e su come le versioni possono passare da uno stato all'altro, consulta Stati delle versioni delle chiavi.

Algoritmo

L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave e i parametri richiesti per le operazioni crittografiche. Chiavi simmetriche e asimmetriche usano algoritmi diversi. La crittografia e la firma utilizzano algoritmi diversi.

Se non specifichi un algoritmo durante la creazione di una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.

Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che la stessa testo non cifrato criptata due volte con la stessa versione della chiave non restituisce la stessa crittografia.

Keyring

Un keyring organizza le chiavi in un ambiente Google Cloud specifico location e consente di gestire il controllo dell'accesso su gruppi di chiavi. Un keyring nome non deve essere univoco in un progetto Google Cloud, ma deve essere univoci all'interno di una determinata località. Dopo la creazione, un keyring non può essere eliminato. I keyring non comportano costi.

Punti di manipolazione dei tasti

Un handle della chiave è una risorsa Cloud KMS che ti consente di gestire in sicurezza la separazione dei compiti per creare nuove chiavi Cloud KMS per CMEK utilizzando Autokey. La creazione di un handle della chiave in un progetto di risorse attiva la creazione di una chiave Cloud KMS nel progetto di chiavi per la configurazione di CMEK on demand.

Un handle della chiave contiene un riferimento alla chiave Cloud KMS che era è stato creato. Puoi recuperare l'ID risorsa Cloud KMS di una chiave creata da Autokey dall'handle della chiave. gli strumenti Infrastructure as Code come Terraform può utilizzare gli handle delle chiavi per gestire le risorse protette da CMEK senza con privilegi elevati.

I handle delle chiavi non sono visibili nella console Google Cloud, ma per utilizzare Autokey con l'API REST o Terraform, devi utilizzare gli handle delle chiavi. Per ulteriori informazioni sull'utilizzo degli handle delle chiavi, consulta Creare risorse protette utilizzando Cloud KMS Autokey.

Configurazioni Autokey

Una configurazione Autokey è una risorsa a livello di cartella che definisce se Autokey è abilitato per la cartella. La configurazione di Autokey inoltre definisce il progetto di chiavi utilizzato per le chiavi create da Cloud KMS Autokey per difendere le risorse nella cartella. Quando attivi Autokey, crei o aggiorni una configurazione di Autokey nella cartella delle risorse. Per ulteriori informazioni sull'utilizzo delle configurazioni di Autokey, consulta Attivare Autokey di Cloud KMS.

Connessioni EKM

Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC alle tue EKM on-premise in una determinata località Google Cloud. Una connessione EKM ti consente di connetterti e utilizzare da un gestore di chiavi esterno su una rete VPC. Dopo il giorno creazione, una connessione EKM non può essere eliminata. Le connessioni EKM non sono soggette a a qualsiasi costo.

Recupero dell'ID di una risorsa

Alcune chiamate API e gcloud CLI potrebbero richiedere il riferimento a una chiave dell'anello, della chiave o della versione della chiave in base all'ID risorsa, ovvero una stringa che rappresenta nome completo di CryptoKeyVersion. Gli ID risorsa sono gerarchici, simili in un percorso del file system. L'ID risorsa di una chiave contiene anche informazioni sul ciondolo e sulla posizione.

Oggetto Formato ID risorsa
Keyring projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING
Chiave projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Versione chiave projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION
Maniglia della chiave projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE
Connessione EKM projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION
Configurazione Autokey folders/FOLDER_NUMBER/autopilotConfig

Per saperne di più, consulta Ottenere un ID risorsa Cloud KMS.

Organizzazione delle risorse

Quando pianifichi come organizzare le risorse nel tuo progetto Google Cloud, prendi in considerazione le regole aziendali e il modo in cui prevedi di gestire l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi di un mazzo o a tutte le chiavi di un progetto. I seguenti pattern di organizzazione sono comuni:

  • Per ambiente, ad esempio prod, test e develop.
  • Per area di lavoro, ad esempio payroll o insurance_claims.
  • In base alla sensibilità o alle caratteristiche dei dati, ad esempio unrestricted, restricted, confidential, top-secret.

Cicli di vita delle risorse

Impossibile eliminare keyring, chiavi e versioni delle chiavi. Ciò garantisce che identificatore di risorsa di un è univoca e punta sempre al materiale originale della chiave per quella versione, a meno che non è stata distrutta. Puoi memorizzare un numero illimitato di keyring, chiavi abilitate o disabilitate e le versioni delle chiavi abilitate, disabilitate o eliminate. Per ulteriori informazioni, vedi Prezzi e Quote.

Per scoprire come eliminare o ripristinare la versione di una chiave, consulta Eliminazione e ripristino le versioni della chiave.

Dopo aver pianificato l'arresto di un progetto Google Cloud, non puoi accedere alle risorse del progetto, incluse le risorse Cloud KMS, a meno che non lo recuperi seguendo la procedura per ripristinare un progetto.

Passaggi successivi