Questa pagina descrive ogni tipo di risorsa in Cloud KMS. Puoi scoprire di più sulla gerarchia delle risorse.
Chiavi
Una chiave Cloud KMS è un oggetto denominato contenente una o più versioni della chiave, insieme ai metadati della chiave. Una chiave è presente esattamente su un keyring legato a una località specifica.
Puoi consentire e negare l'accesso alle chiavi utilizzando autorizzazioni e ruoli di Identity and Access Management (IAM). Non puoi gestire l'accesso a una versione della chiave.
La disabilitazione o l'eliminazione di una chiave comporta anche la disattivazione o l'eliminazione di ogni versione della chiave.
Le seguenti sezioni descrivono le proprietà di una chiave.
A seconda del contesto, le proprietà di una chiave vengono visualizzate in un formato diverso.
- Quando utilizzi Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene visualizzata come una stringa di lettere maiuscole, ad esempio
SOFTWARE
. - Quando utilizzi la console Google Cloud, la proprietà viene visualizzata come una stringa con le lettere maiuscole iniziali, ad esempio Software.
Nelle sezioni seguenti, ogni formato viene mostrato laddove opportuno.
Tipo
Il tipo di una chiave determina se la chiave viene utilizzata per operazioni di crittografia simmetriche o asimmetriche.
Nella crittografia o nella firma simmetrica, la stessa chiave viene utilizzata per criptare e decriptare i dati o per firmare e verificare una firma.
Nella crittografia o nella firma asimmetrica, la chiave è composta da una chiave pubblica e una chiave privata. Una chiave privata con la chiave pubblica corrispondente viene chiamata coppia di chiavi.
- La chiave privata è costituita da dati sensibili ed è necessaria per decriptare i dati o per la firma, a seconda dello scopo configurato della chiave.
- La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o verificare una firma, a seconda dello scopo configurato della chiave.
Il tipo di una chiave è uno dei componenti dello scopo della chiave e non può essere modificato dopo la creazione della chiave.
Finalità
Lo scopo di una chiave indica il tipo di operazioni crittografiche per cui può essere utilizzata, ad esempio, crittografia/decriptazione simmetrica o firma asimmetrica. Sei tu a scegliere lo scopo durante la creazione della chiave e tutte le versioni di una chiave hanno lo stesso scopo. Lo scopo di una chiave non può essere modificato dopo la creazione. Per ulteriori informazioni sugli scopi delle chiavi, consulta Scopi delle chiavi.
Livello di protezione
Il livello di protezione di una chiave determina l'ambiente di archiviazione at-rest della chiave. Il livello di protezione è uno dei seguenti:
- Software (
SOFTWARE
in Google Cloud CLI e API Cloud Key Management Service) - HSM
- Esterno (
EXTERNAL
in Google Cloud CLI e API Cloud Key Management Service) - External_VPC (
EXTERNAL_VPC
in Google Cloud CLI e API Cloud Key Management Service)
Il livello di protezione di una chiave non può essere modificato dopo la creazione della chiave.
Versione primaria
Le chiavi possono avere più versioni della chiave attive e abilitate contemporaneamente. Le chiavi di crittografia simmetriche hanno una versione della chiave primaria, ovvero la versione della chiave utilizzata per impostazione predefinita per criptare i dati se non specifichi una versione della chiave.
Le chiavi asimmetriche non hanno versioni primarie. Devi specificare la versione quando utilizzi la chiave.
Per le chiavi simmetriche e asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare e decriptare i dati o per firmare e convalidare le firme.
Versioni delle chiavi
Ogni versione di una chiave contiene il materiale della chiave utilizzato per la crittografia o la firma. A ogni versione viene assegnato un numero di versione, a partire da 1
. La rotazione di una chiave
crea una nuova versione della chiave. Scopri di più sulla rotazione dei tasti.
Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave che è stata utilizzata per criptare o firmare i dati. Per trovare l'ID risorsa di una versione della chiave, consulta Recupero dell'ID risorsa di una chiave.
Puoi disabilitare o eliminare le singole versioni della chiave senza influire sulle altre. Puoi anche disabilitare o eliminare tutte le versioni della chiave per una determinata chiave.
Non puoi controllare l'accesso alle versioni della chiave indipendentemente dalle autorizzazioni in vigore sulla chiave. La concessione dell'accesso a una chiave concede l'accesso a tutte le versioni abilitate per quella chiave.
Per motivi di sicurezza, nessuna entità Google Cloud può visualizzare o esportare il materiale non elaborato della chiave di crittografia rappresentato da una versione della chiave. Cloud KMS accede al materiale della chiave per tuo conto.
Le seguenti sezioni descrivono le proprietà di una versione della chiave.
Stato
Ogni versione della chiave ha uno state che indica il suo stato. In genere, lo stato della chiave è uno dei seguenti:
- Abilitata
- Disabilitata
- Pianificata per l'eliminazione
- Eliminata
La versione della chiave può essere utilizzata solo quando è abilitata. Le versioni della chiave in qualsiasi stato diverso da quella di eliminazione sono soggetti a costi. Per ulteriori informazioni sugli stati delle versioni delle chiavi e su come le versioni possono passare da una versione all'altra, consulta la sezione Stati delle versioni della chiave.
Algoritmo
L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave e i parametri richiesti per le operazioni crittografiche. Le chiavi simmetriche e asimmetriche usano algoritmi diversi. Crittografia e firma utilizzano algoritmi diversi.
Se non specifichi un algoritmo quando crei una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.
Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che lo stesso testo non crittografato criptato con la stessa versione della chiave due volte non restituisca lo stesso testo crittografato.
Keyring
Un keyring organizza le chiavi in una località Google Cloud specifica e ti consente di gestire il controllo dell'accesso a gruppi di chiavi. Il nome di un keyring non deve essere necessariamente univoco in un progetto Google Cloud, ma deve essere univoco all'interno di una determinata località. Dopo la creazione, il keyring non può essere eliminato. I keyring non comportano alcun costo.
Handle dei tasti
Un handle della chiave è una risorsa Cloud KMS che ti aiuta ad affrontare in sicurezza la separazione dei doveri per creare nuove chiavi Cloud KMS per CMEK utilizzando la chiave automatica. La creazione di un handle della chiave in un progetto di risorsa attiva la creazione di una chiave Cloud KMS nel progetto chiave per la configurazione CMEK on demand.
Un handle della chiave contiene un riferimento alla chiave Cloud KMS che è stata creata. Puoi recuperare l'ID risorsa Cloud KMS di una chiave creata da Autokey dall'handle della chiave. Gli strumenti Infrastructure as Code come Terraform possono funzionare con gli handle delle chiavi per gestire le risorse protette da CMEK senza privilegi elevati.
Gli handle delle chiavi non sono visibili nella console Google Cloud, ma per utilizzare Autokey con l'API REST o Terraform, devi utilizzare gli handle delle chiavi. Per ulteriori informazioni sull'utilizzo degli handle delle chiavi, consulta Creare risorse protette con la chiave automatica di Cloud KMS.
Configurazioni della chiave automatica
Una configurazione di Autokey è una risorsa a livello di cartella che definisce se Autokey è abilitata per la cartella. La configurazione della chiave automatica definisce anche il progetto chiave utilizzato per le chiavi create dalla chiave automatica di Cloud KMS al fine di proteggere le risorse in quella cartella. Abilitando Autokey, crei o aggiorni una configurazione della chiave automatica nella cartella delle risorse. Per ulteriori informazioni sull'utilizzo delle configurazioni della chiave automatica, consulta Abilitare la chiave automatica di Cloud KMS.
Connessioni EKM
Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC ai tuoi EKM on-premise in una località Google Cloud specifica. Una connessione EKM ti consente di connetterti a un gestore di chiavi esterno e di utilizzare le chiavi su una rete VPC. Dopo la creazione, non è possibile eliminare una connessione EKM. Le connessioni EKM non hanno alcun costo.
Recupero dell'ID di una risorsa
Alcune chiamate API e gcloud CLI potrebbero richiedere di fare riferimento a un keyring, una chiave o una versione della chiave tramite il relativo ID risorsa, che è una stringa che rappresenta il nome completo di CryptoKeyVersion. Gli ID risorsa sono gerarchici, simili ai percorsi del file system. L'ID risorsa di una chiave contiene anche informazioni sul keyring e sulla località.
Oggetto | Formato dell'ID risorsa |
---|---|
Keyring | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
Chiave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
Versione chiave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
Punto di manipolazione della chiave | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
Connessione EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
Configurazione chiave automatica | folders/FOLDER_NUMBER/autopilotConfig |
Per scoprire di più, consulta Ottenere un ID risorsa di Cloud KMS.
Organizzazione delle risorse
Quando pianifichi l'organizzazione delle risorse nel tuo progetto Google Cloud, considera le tue regole aziendali e il modo in cui prevedi di gestire l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi di un keyring o a tutte le chiavi di un progetto. I seguenti pattern di organizzazione sono comuni:
- Per ambiente, ad esempio
prod
,test
edevelop
. - In base all'area di lavoro, ad esempio
payroll
oinsurance_claims
. - In base a caratteristiche o sensibilità dei dati, ad esempio
unrestricted
,restricted
,confidential
etop-secret
.
Cicli di vita delle risorse
Impossibile eliminare keyring, chiavi e versioni delle chiavi. Ciò garantisce che l'identificatore di risorsa di una versione della chiave sia univoco e rimandi sempre al materiale della chiave originale per quella versione, a meno che non sia stato eliminato. Puoi archiviare un numero illimitato di keyring, chiavi abilitate o disabilitate e versioni delle chiavi abilitate, disabilitate o eliminate. Per ulteriori informazioni, consulta Prezzi e Quote.
Per scoprire come eliminare o ripristinare la versione di una chiave, consulta Eliminare e ripristinare le versioni della chiave.
Dopo aver pianificato la arresto di un progetto Google Cloud, non potrai accedere alle risorse del progetto, comprese le risorse Cloud KMS, a meno che non recuperi il progetto seguendo i passaggi per ripristinare un progetto.
Passaggi successivi
- Crea una chiave.
- Scopri di più su autorizzazioni e ruoli in Cloud KMS.