Recursos do Cloud KMS

Nesta página, descrevemos cada tipo de recurso no Cloud KMS. Saiba mais sobre a hierarquia de recursos.

Chaves

Uma chave do Cloud KMS é um objeto nomeado que contém uma ou mais chaves versões, com os metadados da chave. Há uma chave em exatamente um keyring vinculado a um local específico.

É possível permitir e negar o acesso a chaves usando permissões e papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Não é possível gerenciar o acesso a uma chave para a versão anterior.

Desativar ou destruir uma chave também desativa ou destrói cada versão da chave.

As seções a seguir discutem as propriedades de uma chave.

Dependendo do contexto, as propriedades de uma chave são mostradas em um formato diferente.

  • Ao usar a Google Cloud CLI ou a API Cloud Key Management Service, a propriedade é mostrada como uma string de letras maiúsculas, por exemplo, SOFTWARE.
  • Ao usar o console do Google Cloud, a propriedade é mostrada como uma string com letras maiúsculas iniciais, como Software.

Nas seções a seguir, cada formato é mostrado quando apropriado.

Tipo

O tipo de uma chave determina se a chave é usada para operações criptográficas simétricas ou assimétricas.

Na criptografia ou assinatura simétrica, a mesma chave é usada para criptografar e descriptografar ou assinar e verificar uma assinatura.

Na criptografia ou assinatura assimétrica, a chave consiste em uma chave pública e um chave privada. Uma chave privada com sua chave pública correspondente é chamada de chave par.

  • A chave privada consiste em dados sensíveis e é necessária para descriptografar dados ou para a assinatura, dependendo da finalidade configurada da chave.
  • A chave pública não é considerada confidencial e é necessária para criptografar dados ou para verificar uma assinatura, dependendo da finalidade configurada da chave.

O tipo de uma chave é um componente da finalidade dela e não pode ser alterado depois a chave é criada.

Finalidade

A finalidade de uma chave indica para que tipo de operações criptográficas ela pode ser usada, por exemplo, Criptografia/descriptografia simétrica ou Assinatura assimétrica. Você escolhe a finalidade ao criar a chave, e todas as versões têm a mesma finalidade. A finalidade de uma chave não pode ser alterada depois que ela é criados. Para mais informações sobre finalidades de chave, consulte Finalidades de chave.

Nível de proteção

O nível de proteção de uma chave determina o ambiente de armazenamento dela em descansar. O nível de proteção é um dos seguintes:

  • Software (SOFTWARE na Google Cloud CLI e na API Cloud Key Management Service)
  • HSM
  • Externo (EXTERNAL na Google Cloud CLI e na API Cloud Key Management Service)
  • External_VPC (EXTERNAL_VPC na Google Cloud CLI e na API Cloud Key Management Service)

O nível de proteção de uma chave não pode ser alterado depois que ela é criada.

Versão principal

As chaves podem ter várias versões de chave ativas e ativadas em uma tempo de resposta. As chaves de criptografia simétrica têm uma versão da chave primária, que é a usada por padrão para criptografar dados se você não especificar uma versão de chave.

As chaves assimétricas não têm versões primárias. você precisa especificar a versão usando a chave.

Tanto para chaves simétricas quanto assimétricas, é possível usar qualquer versão de chave ativada para: criptografar e descriptografar dados ou assinar e validar assinaturas.

Versões de chave

Cada versão de uma chave contém o material de chave usado para criptografia ou assinatura. Cada recebe um número de versão a partir de 1. A rotação de uma chave cria uma a nova versão da chave. Saiba mais sobre a rotação de chaves.

Para descriptografar dados ou verificar uma assinatura, use a mesma versão da chave que foi usada para criptografar ou assinar os dados. Para encontrar o ID de recurso de uma versão da chave, consulte Como recuperar o ID de recurso de uma chave.

É possível desativar ou destruir versões de chaves individuais sem afetar outros mais recentes. Também é possível desativar ou destruir todas as versões de uma determinada chave.

Não é possível controlar o acesso às versões de chave independentemente das permissões na chave. Conceder acesso a uma chave concede acesso a todos os mais recentes.

Por motivos de segurança, nenhum principal do Google Cloud pode visualizar ou exportar o material bruto da chave criptográfica representado por uma versão de chave. Em vez disso, o Cloud KMS acessa o material de chave em seu nome.

As seções a seguir discutem as propriedades de uma versão de chave.

Estado

Cada versão de chave tem um estado que informa qual é o status dela. Normalmente, uma estado da chave será um dos seguintes:

  • Ativado
  • Desativada
  • Programada para destruição
  • Destruído

Uma versão de chave só pode ser usada quando está ativada. As versões de chave em qualquer estado que não sejam destruídas geram custos. Para mais informações sobre chaves estados de versão e como as versões podem fazer a transição entre eles, consulte Versão da chave estados.

Algoritmo

O algoritmo de uma versão da chave determina como o material da chave é criado e a parâmetros necessários para operações criptográficas. Chaves simétricas e assimétricas usam algoritmos diferentes. A criptografia e a assinatura usam algoritmos diferentes.

Se você não especificar um algoritmo ao criar uma nova versão de chave, ele da versão anterior é usado.

Seja qual for o algoritmo, o Cloud KMS usa criptografia probabilística. para que o mesmo texto simples criptografado com a mesma versão da chave duas vezes não retornam o mesmo texto criptografado.

Keyrings

Um keyring organiza as chaves em um Google Cloud location e permite gerenciar o controle de acesso em grupos de chaves. Um keyring não precisa ser exclusivo em um projeto do Google Cloud, mas precisa ser exclusivos em um determinado local. Após a criação, não é possível excluir um keyring. Os keyrings não têm custos.

Identificadores das teclas

Um identificador de chave é um recurso do Cloud KMS que ajuda você a abranger com segurança separação de tarefas para criar novas chaves do Cloud KMS para CMEK usando Autokey. A criação de um identificador de chave em um projeto de recurso aciona a criação de uma chave do Cloud KMS no projeto de chave para a configuração CMEK sob demanda.

Um identificador de chave contém uma referência à chave do Cloud KMS que foi criados. É possível recuperar o ID do recurso do Cloud KMS de uma chave criada pelo Autokey no identificador de chave. Ferramentas de infraestrutura como código, como O Terraform pode trabalhar com identificadores de chaves para gerenciar recursos protegidos por CMEKs sem com privilégios elevados.

Os identificadores de chaves não são visíveis no console do Google Cloud, mas é possível usar o Autokey com a API REST ou o Terraform, você precisa trabalhar com identificadores de chaves. Para mais informações sobre como usar identificadores de chaves, consulte Criar recursos protegidos usando Autokey do Cloud KMS.

Configurações de chaves automáticas

Uma configuração do Autokey é um recurso no nível de pasta que define se O Autokey está ativado para a pasta. A configuração do Autokey também define qual projeto de chave é usado para chaves criadas pelo Autokey do Cloud KMS para para proteger os recursos dela. Ao ativar a chave automática, você cria ou atualiza uma configuração da chave automática na pasta de recursos. Para mais informações sobre como usar as configurações do Autokey, consulte Ativar Autokey do Cloud KMS.

Conexões EKM

Uma conexão EKM é um recurso do Cloud KMS que organiza conexões VPC para seus EKMs locais em um determinado Local do Google Cloud. Com uma conexão EKM, você pode se conectar de um gerenciador de chaves externo em uma rede VPC. Após a criação, não é possível excluir uma conexão EKM. As conexões EKM não geram custos.

Como recuperar o ID de um recurso

Algumas chamadas de API e CLI gcloud podem exigir que você consulte uma chave do anel, da chave ou da versão da chave por seu ID de recurso, que é uma string que representa o nome da CryptoKeyVersion totalmente qualificado. Os IDs de recursos são hierárquicos, similares para um caminho do sistema de arquivos. O ID de recurso da chave também contém informações keyring e localização.

Objeto Formato de código do recurso
Keyring projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING
Chave projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Versão da chave projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION
Alça da chave projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE
Conexão EKM projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION
Configuração da chave automática folders/FOLDER_NUMBER/autopilotConfig

Para saber mais, consulte Como conseguir um código de recurso do Cloud KMS.

Como organizar recursos

Ao planejar como organizar os recursos no seu projeto do Google Cloud, considere as regras de negócios e como você planeja gerenciar o acesso. Você pode conceder acesso a uma única chave, a todas as chaves em um keyring ou a todas as chaves em um projeto. Os seguintes padrões de organização são comuns:

  • Por ambiente, como prod, test e develop.
  • Por área de trabalho, como payroll ou insurance_claims.
  • Por confidencialidade ou características dos dados, como unrestricted, restricted, confidential, top-secret.

Ciclos de vida de recursos

Os keyrings, as chaves e as versões da chave não podem ser excluídos. Isso garante que o identificador de recurso de um é exclusiva e sempre aponta para o material original da versão, a menos que foi destruída. É possível armazenar um número ilimitado de keyrings, chaves ativadas ou desativadas e ativadas, desativadas ou destruídas. Para mais informações, consulte Preços e Cotas.

Para saber como destruir ou restaurar uma versão de chave, consulte Como destruir e restaurar principais.

Depois de programar o encerramento de um projeto do Google Cloud, você não poderá acessar os recursos do projeto, incluindo recursos, a menos que você recupere o projeto seguindo as etapas para restaurar um projeto.

A seguir