In diesem Thema werden alle in Cloud KMS vorkommenden Ressourcentypen erläutert. Weitere Informationen finden sich unter Ressourcenhierarchie.
Schlüssel
Ein Cloud KMS-Schlüssel ist ein benanntes Objekt, das eine oder mehrere Schlüsselversionen sowie Metadaten für den Schlüssel enthält. Ein Schlüssel existiert genau an einem Schlüsselbund, der an einen bestimmten Standort gebunden ist.
Sie können den Zugriff auf Schlüssel mithilfe von Berechtigungen und Rollen von Identity and Access Management (IAM) zulassen oder verweigern. Es ist nicht möglich, den Zugriff auf Schlüsselversionen zu verwalten.
Durch das Deaktivieren oder Löschen eines Schlüssels wird auch jede Schlüsselversion deaktiviert oder gelöscht.
In folgenden Abschnitten werden die Eigenschaften eines Schlüssels erläutert.
Je nach Kontext werden die Attribute eines Schlüssels in einem anderen Format angezeigt.
- Wenn Sie die Google Cloud CLI oder die Cloud Key Management Service API verwenden, wird das Attribut als String aus Großbuchstaben angezeigt, z. B.
SOFTWARE. - In der Google Cloud Console wird das Attribut als String mit anfänglicher Großschreibung wie Software angezeigt.
In folgenden Abschnitten wird jedes Format an der richtigen Stelle angezeigt.
Typ
Der Typ eines Schlüssels bestimmt, ob er für symmetrische oder asymmetrische kryptografische Vorgänge verwendet wird.
Bei der symmetrischen Verschlüsselung ist der gesamte Schlüssel zum Verschlüsseln oder Entschlüsseln von Daten erforderlich. Symmetrische Schlüssel können nicht zum Signieren verwendet werden.
Bei der asymmetrischen Verschlüsselung oder Signierung besteht der Schlüssel aus einem öffentlichen und einem privaten Schlüssel.
- Der private Schlüssel wird als vertraulich betrachtet und ist je nach dem konfigurierten Zweck des Schlüssels zum Entschlüsseln von Daten oder Signieren erforderlich.
Der öffentliche Schlüssel wird nicht als vertraulich betrachtet und ist je nach dem konfigurierten Zweck des Schlüssels zum Verschlüsseln von Daten oder zum Verifizieren einer Signatur erforderlich.
Der Typ eines Schlüssels kann nach dem Erstellen des Schlüssels nicht mehr geändert werden.
Der Typ eines Schlüssels ist eine Komponente seines Zwecks.
Zweck
Der Zweck eines Schlüssels bestimmt, ob der Schlüssel zum Verschlüsseln oder zum Signieren verwendet werden kann. Sie wählen den Zweck beim Erstellen des Schlüssels aus und alle Versionen haben denselben Zweck.
Der Zweck eines symmetrischen Schlüssels ist immer Symmetrische Verschlüsselung/Entschlüsselung.
Der Zweck eines asymmetrischen Schlüssels ist entweder Asymmetrische Verschlüsselung/Entschlüsselung oder Asymmetrische Signatur.
Der Zweck eines Schlüssels kann nach Erstellung des Schlüssels nicht mehr geändert werden.
Hauptversion
Ein Schlüssel hat mehrere Versionen, aber symmetrische Schlüssel können höchstens eine primäre Schlüsselversion haben. Die primäre Schlüsselversion dient zum Verschlüsseln von Daten, wenn Sie keine Schlüsselversion angeben.
Asymmetrische Schlüssel haben keine primären Versionen. Sie müssen die Version angeben, wenn Sie den Schlüssel nutzen.
Für symmetrische und auch für asymmetrische Schlüssel können Sie jede aktivierte Schlüsselversion verwenden, um Daten zu verschlüsseln oder zu entschlüsseln, unabhängig davon, ob es sich um die primäre Version handelt.
Schlüsselversionen
Jede Version eines Schlüssels enthält Schlüsselmaterial, das zur Verschlüsselung oder Signierung dient. Die Version eines Schlüssels wird von einer Ganzzahl dargestellt, beginnend mit 1. Um Daten zu entschlüsseln oder eine Signatur zu bestätigen, müssen Sie die Schlüsselversion verwenden, die auch zum Verschlüsseln oder Signieren der Daten verwendet wurde. Informationen zum Suchen und Referenzieren der Ressourcen-ID einer Schlüsselversion finden sich unter Ressourcen-ID eines Schlüssels abrufen.
Sie können Schlüsselversionen deaktivieren oder löschen, ohne dass dies Auswirkungen auf andere Versionen hat. Das Rotieren eines Schlüssels erstellt eine neue Version. Weitere Informationen finden sich unter Schlüssel rotieren.
Durch das Deaktivieren oder Löschen eines Schlüssels werden alle Versionen dieses Schlüssels deaktiviert oder gelöscht. Sie können Schlüsselversionen gezielt deaktivieren, ohne dass sich dies auf andere Schlüsselversionen auswirkt.
Es ist nicht möglich, den Zugriff auf Schlüsselversionen zu verwalten. Das Gewähren des Zugriffs auf einen Schlüssel gewährt auch Zugriff auf alle aktivierten Versionen des Schlüssels.
Aus Sicherheitsgründen können die durch eine Schlüsselversion repräsentierten Rohdaten des kryptografischen Schlüsselmaterials von Google Cloud-Hauptkonten nicht angezeigt oder exportiert werden. Stattdessen greift Cloud KMS für Sie auf das Schlüsselmaterial zu.
In folgenden Abschnitten werden die Eigenschaften einer Schlüsselversion erläutert.
Status
Eine Schlüsselversion hat immer einen der folgenden state:
- Aktiviert
- Deaktiviert
- Löschen geplant
- Gelöscht
Eine Schlüsselversion kann nur verwendet werden, wenn sie aktiviert ist. Für Schlüsselversionen in einem anderen Status als "gelöscht" werden Kosten berechnet.
Schutzniveau
Das Schutzniveau einer Schlüsselversion bestimmt die Speicherumgebung des Schlüssels im inaktiven Zustand. Das Schutzniveau ist eines der folgenden:
- Software (
SOFTWAREin der Google Cloud CLI und Cloud Key Management Service API) - HSM
- Extern (
EXTERNALin der Google Cloud CLI und Cloud Key Management Service API) - Externe_VPC (
EXTERNAL_VPCin der Google Cloud CLI und Cloud Key Management Service API)
Das Schutzniveau ist zwar ein Attribut einer Schlüsselversion, kann nach der Erstellung des Schlüssels aber nicht mehr geändert werden.
Algorithmus
Der Algorithmus einer Schlüsselversion bestimmt, wie das Schlüsselmaterial erstellt wird und welche Parameter für kryptografische Vorgänge erforderlich sind. Symmetrische Schlüssel und asymmetrische Schlüssel unterstützen unterschiedliche Algorithmen.
Wenn Sie beim Erstellen einer neuen Schlüsselversion keinen Algorithmus angeben, wird der Algorithmus der vorherigen Version verwendet.
Unabhängig vom Algorithmus verwendet Cloud KMS die probabilistische Verschlüsselung. Dies bedeutet, dass derselbe Klartext, der zweimal mit derselben Schlüsselversion verschlüsselt wurde, nicht in denselben Geheimtext verschlüsselt wird.
Schlüsselbunde
Ein Schlüsselbund organisiert Schlüssel an einem bestimmten Google Cloud-Standort und ermöglicht Ihnen, die Zugriffssteuerung für Gruppen von Schlüsseln zu verwalten. Der Name eines Schlüsselbunds muss innerhalb eines Google Cloud-Projekts nicht mehrfach vergeben werden, muss aber innerhalb eines bestimmten Standorts eindeutig sein. Nach dem Erstellen kann kein Schlüsselbund gelöscht werden. Für Schlüsselbunde fallen keine Speicherkosten an.
EKM-Verbindungen
Eine EKM-Verbindung ist eine Cloud KMS-Ressource, die VPC-Verbindungen zu Ihren lokalen EKMs an einem bestimmten Google Cloud-Standort organisiert. Mit einer EKM-Verbindung können Sie eine Verbindung zu Schlüsseln aus einem External Key Manager über ein VPC-Netzwerk herstellen und diese verwenden. Nach dem Erstellen kann eine EKM-Verbindung nicht mehr gelöscht werden. Für EKM-Verbindungen fallen keine Speicherkosten an.
Ressourcen-ID abrufen
Bei einigen API-Aufrufen und der gcloud CLI müssen Sie möglicherweise anhand der Ressourcen-ID auf einen Schlüsselbund, einen Schlüssel oder eine Schlüsselversion verweisen. Diese ist ein String, der den voll qualifizierten CryptoKeyVersion-Namen darstellt. Ressourcen-IDs sind hierarchisch, ähnlich einem Dateisystempfad. Die Ressourcen-ID eines Schlüssels enthält auch Informationen zum Schlüsselbund und Speicherort.
| Object | Format der Ressourcen-ID |
|---|---|
| Schlüsselbund | projects/project-id/locations/location/keyRings/keyring |
| Schlüssel | projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key |
| Schlüsselversion | projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key/cryptoKeyVersions/version |
| EKM-Verbindung | projects/project-id/locations/location/ekmConnections/ekmConnection |
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen
Ressourcen organisieren
Wenn Sie die Ressourcen in Ihrem Google Cloud-Projekt organisieren möchten, müssen Sie Ihre Geschäftsregeln und die Planung des Zugriffs berücksichtigen. Sie können Zugriff auf einen einzelnen Schlüssel, alle Schlüssel für einen Schlüsselbund oder alle Schlüssel in einem Projekt gewähren. Folgende Organisationsmuster sind üblich:
- Nach Umgebung, z. B.
prod,testunddevelop. - Nach Arbeitsbereich, z. B.
payrolloderinsurance_claims. - Nach Vertraulichkeit oder Eigenschaften der Daten, z. B.
unrestricted,restricted,confidential,top-secret.
Ressourcenlebenszyklen
Schlüsselbunde, Schlüssel und Schlüsselversionen können nicht gelöscht werden. Dadurch wird sichergestellt, dass die Ressourcen-ID einer Schlüsselversion eindeutig ist und immer auf das ursprüngliche Schlüsselmaterial für diese Schlüsselversion verweist, sofern es nicht gelöscht wurde. Sie können eine unbegrenzte Anzahl von Schlüsselbunden, aktivierten oder deaktivierten Schlüsseln und aktivierten, deaktivierten oder gelöschten Schlüsselversionen speichern. Weitere Informationen finden Sie unter Preise und Kontingente.
Informationen zum Löschen oder Wiederherstellen einer Schlüsselversion finden sich unter Schlüsselversionen löschen und wiederherstellen.
Wenn Sie das Herunterfahren eines Google Cloud-Projekts planen, können Sie nur dann auf die Projektressourcen, einschließlich Cloud KMS-Ressourcen, zugreifen, wenn Sie die Schritte zum Wiederherstellen eines Projekts ausführen.