Nesta página, descrevemos cada tipo de recurso no Cloud KMS. Saiba mais sobre a hierarquia de recursos.
Chaves
Uma chave do Cloud KMS é um objeto nomeado que contém uma ou mais versões de chave e os metadados da chave. Há uma chave em exatamente um keyring vinculado a um local específico.
É possível permitir e negar o acesso a chaves usando permissões e papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Não é possível gerenciar o acesso a uma versão de chave.
Desativar ou destruir uma chave também desativa ou destrói cada versão da chave.
As seções a seguir discutem as propriedades de uma chave.
Dependendo do contexto, as propriedades de uma chave são mostradas em um formato diferente.
- Ao usar a Google Cloud CLI ou a API Cloud Key Management Service, a propriedade é mostrada
como uma string de letras maiúsculas, como
SOFTWARE. - Quando você usa o console do Google Cloud, a propriedade é mostrada como uma string com letras maiúsculas e minúsculas, como Software.
Nas seções a seguir, cada formato é mostrado onde é apropriado.
Tipo
O tipo de uma chave determina se a chave é usada para operações criptográficas simétricas ou assimétricas.
Na criptografia ou assinatura simétrica, a mesma chave é usada para criptografar e descriptografar dados ou para assinar e verificar uma assinatura.
Na criptografia ou assinatura assimétrica, a chave consiste em uma chave pública e uma chave privada. Uma chave privada com a chave pública correspondente é chamada de par de chaves.
- A chave privada é confidencial e é necessária para descriptografar ou assinar, dependendo da finalidade configurada da chave.
- A chave pública não é considerada confidencial e é necessária para criptografar dados ou verificar uma assinatura, dependendo da finalidade configurada da chave.
O tipo de uma chave é um componente da finalidade da chave e não pode ser alterado após a criação da chave.
Finalidade
A finalidade de uma chave indica em que tipo de operações criptográficas ela pode ser usada. Por exemplo, criptografia/descriptografia simétrica ou assinatura assimétrica; Você escolhe a finalidade ao criar a chave, e todas as versões dela têm a mesma finalidade. A finalidade de uma chave não pode ser alterada após a criação dela. Para mais informações, consulte Finalidades de chave.
Nível de proteção
O nível de proteção de uma chave determina o ambiente de armazenamento dela em repouso. O nível de proteção é um dos seguintes:
- Software (
SOFTWAREna Google Cloud CLI e na API Cloud Key Management Service) - HSM
- Externo (
EXTERNALna Google Cloud CLI e na API Cloud Key Management Service) - External_VPC (
EXTERNAL_VPCna Google Cloud CLI e na API Cloud Key Management Service)
O nível de proteção de uma chave não pode ser alterado após a criação dela.
Versão principal
As chaves podem ter várias versões de chave ativas e ativadas ao mesmo tempo. As chaves de criptografia simétrica têm uma versão da chave primária, que é a versão da chave usada por padrão para criptografar dados se você não especificar uma versão da chave.
Chaves assimétricas não têm versões primárias. É necessário especificar a versão ao usar a chave.
Para chaves simétricas e assimétricas, é possível usar qualquer versão de chave ativada para criptografar e descriptografar dados ou para assinar e validar assinaturas.
Versões de chave
Cada versão de uma chave contém o material de chave usado para criptografia ou assinatura. Cada
versão recebe um número de versão, começando em 1. A rotação de uma chave cria uma nova versão. Saiba mais sobre como fazer a rotação
de chaves.
Para descriptografar dados ou verificar uma assinatura, use a mesma versão de chave usada para criptografar ou assinar os dados. Para encontrar o ID do recurso de uma versão da chave, consulte Como recuperar o ID do recurso de uma chave.
É possível desativar ou destruir versões de chave individuais sem afetar outras versões. Também é possível desativar ou destruir todas as versões de uma determinada chave.
Não é possível controlar o acesso a versões de chave independentemente das permissões em vigor na chave. A concessão de acesso a uma chave dá acesso a todas as versões ativadas dela.
Por motivos de segurança, nenhum principal do Google Cloud pode visualizar ou exportar o material bruto da chave criptográfica representado por uma versão de chave. Em vez disso, o Cloud KMS acessa o material de chave em seu nome.
As seções a seguir discutem as propriedades de uma versão de chave.
Estado
Cada versão da chave tem um state que informa qual é o status dela. Normalmente, o estado de uma chave será um destes:
- Ativado
- Desativado
- Programada para destruição
- Destruído
Uma versão da chave só pode ser usada quando está ativada. As versões de chave em qualquer estado que não sejam destruídas geram custos. Para mais informações sobre os estados da versão de chave e como as versões podem fazer a transição entre eles, consulte Estados da versão de chave.
Algoritmo
O algoritmo de uma versão de chave determina como o material da chave é criado e os parâmetros necessários para operações criptográficas. Chaves simétricas e assimétricas usam algoritmos diferentes. A criptografia e a assinatura usam algoritmos diferentes.
Se você não especificar um algoritmo ao criar uma nova versão de chave, o algoritmo da versão anterior será usado.
Independentemente do algoritmo, o Cloud KMS usa criptografia probabilística, para que o mesmo texto simples criptografado duas vezes com a mesma versão de chave não retorne o mesmo texto criptografado.
Keyrings
Ele organiza as chaves em um local específico do Google Cloud e permite gerenciar o controle de acesso em grupos de chaves. O nome de um keyring não precisa ser exclusivo em um projeto do Google Cloud, mas precisa ser exclusivo em um determinado local. Após a criação, não é possível excluir um keyring. Os keyrings não geram custos financeiros.
Alças de chaves
Um identificador de chave é um recurso do Cloud KMS que ajuda a abranger com segurança a separação de tarefas para criar novas chaves do Cloud KMS para CMEK usando a chave automática. A criação de um identificador de chave em um projeto de recurso aciona a criação de uma chave do Cloud KMS no projeto principal para configuração da CMEK sob demanda.
Um gerenciador de chaves contém uma referência à chave do Cloud KMS que foi criada. É possível recuperar o ID do recurso do Cloud KMS de uma chave criada pela chave automática no gerenciador de chaves. Ferramentas de infraestrutura como código, como o Terraform, podem funcionar com identificadores de chave para gerenciar recursos protegidos pela CMEK sem privilégios elevados.
Os identificadores de chave não ficam visíveis no console do Google Cloud, mas, para usar a chave automática com a API REST ou o Terraform, é preciso trabalhar com identificadores de chave. Para mais informações sobre o uso de identificadores de chaves, consulte Criar recursos protegidos usando a chave automática do Cloud KMS.
Configurações de chave automática
Uma configuração de chave automática é um recurso no nível de pasta que define se a chave automática está ativada para a pasta. A configuração da chave automática também define qual projeto de chave é usado nas chaves criadas pela chave automática do Cloud KMS para proteger os recursos nessa pasta. Ao ativar a chave automática, você cria ou atualiza uma configuração de chave automática na pasta de recursos. Para mais informações sobre como usar configurações de chave automática, consulte Ativar chave automática do Cloud KMS.
Conexões EKM
Uma conexão EKM é um recurso do Cloud KMS que organiza conexões VPC com seus EKMs locais em um local específico do Google Cloud. Uma conexão EKM permite se conectar e usar chaves de um gerenciador de chaves externo em uma rede VPC. Após a criação, uma conexão EKM não pode ser excluída. As conexões EKM não geram nenhum custo.
Como recuperar o ID de um recurso
Algumas chamadas de API e a CLI gcloud podem exigir que você consulte um keyring, uma chave ou uma versão de chave pelo ID do recurso, que é uma string que representa o nome da CryptoKeyVersion totalmente qualificado. Os IDs de recursos são hierárquicos, semelhantes a um caminho de sistema de arquivos. O ID do recurso de uma chave também contém informações sobre o keyring e o local.
| Objeto | Formato de código do recurso |
|---|---|
| Keyring | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Chave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versão da chave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Alça de chave | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Conexão EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Configuração da chave automática | folders/FOLDER_NUMBER/autopilotConfig |
Para saber mais, consulte Como conseguir um código de recurso do Cloud KMS.
Como organizar recursos
Ao planejar como organizar os recursos no seu projeto do Google Cloud, considere as regras de negócios e como você planeja gerenciar o acesso. É possível conceder acesso a uma única chave, a todas as chaves em um keyring ou a todas as chaves de um projeto. Os seguintes padrões de organização são comuns:
- Por ambiente, como
prod,testedevelop. - Por área de trabalho, como
payrollouinsurance_claims. - Por confidencialidade ou características dos dados, como
unrestricted,restricted,confidential,top-secret.
Ciclos de vida de recursos
Os keyrings, as chaves e as versões da chave não podem ser excluídos. Isso garante que o identificador de recurso de uma versão de chave seja exclusivo e sempre aponte para o material original da chave dessa versão, a menos que ela tenha sido destruída. É possível armazenar um número ilimitado de keyrings, chaves ativadas ou desativadas e versões de chave ativadas, desativadas ou destruídas. Para mais informações, consulte Preços e Cotas.
Para aprender a destruir ou restaurar uma versão de chave, consulte Como destruir e restaurar versões de chave.
Depois de programar o encerramento de um projeto do Google Cloud, não será possível acessar os recursos dele, incluindo os do Cloud KMS, a menos que você recupere o projeto seguindo as etapas para restaurar um projeto.
A seguir
- Criar uma chave.
- Saiba mais sobre permissões e papéis no Cloud KMS.