本主题比较了 Cloud KMS 中支持的不同保护级别:
- 软件
- 具有
SOFTWARE
保护级别的 Cloud KMS 密钥用于在软件中执行的加密操作。Cloud KMS 密钥可以由 Google 生成,也可以导入。 - 硬件
- 保护级别为
HARDWARE
的 Cloud HSM 密钥存储在 Google 自有的硬件安全模块 (HSM) 中。使用这些密钥的加密操作在我们的 HSM 中执行。使用 Cloud HSM 密钥的方式与使用 Cloud KMS 密钥的方式相同。Cloud HSM 密钥可以由 Google 生成,也可以导入。 - 通过互联网在外部共享 具有
- Cloud EKM 密钥会生成并存储在您的外部密钥管理 (EKM) 系统中。Cloud EKM 会存储额外的加密材料以及指向用于通过互联网访问密钥的唯一密钥的路径。
- 通过 VPC 在外部使用 系统会生成具有
- Cloud EKM 密钥,并将其存储在您的外部密钥管理 (EKM) 系统中。Cloud EKM 会存储额外的加密材料和指向您唯一密钥的路径,该密钥用于通过虚拟私有云 (VPC) 网络访问您的密钥。
EXTERNAL
保护级别的EXTERNAL_VPC
保护级别的具有所有这些保护级别的密钥具有以下特性:
将您的密钥用于客户管理的加密密钥 (CMEK) 集成的 Google Cloud 服务。
您可以根据密钥的保护级别,将您的密钥与 Cloud KMS API 或客户端库搭配使用,而无需编写任何专用代码。
使用 Identity and Access Management (IAM) 角色控制对密钥的访问权限。
在 Cloud KMS 中控制每个密钥版本是已启用还是已停用。
审核日志中会捕获密钥操作。您可以启用数据访问日志记录。
软件保护级别
Cloud KMS 使用 BoringCrypto 模块 (BCM) 进行软件密钥的所有加密操作。BCM 已通过 FIPS 140-2 验证。Cloud KMS 软件密钥使用通过 FIPS 140-2 1 级验证的 BCM 加密原语。
软件密钥版本比硬件或外部密钥版本便宜得多。对于没有更高 FIP 140-2 验证级别的具体监管要求的用例,软件密钥是不错的选择。
硬件保护级别
Cloud HSM 可帮助您对 Google Cloud 中的工作负载强制执行法规遵从。利用 Cloud HSM,您可以在经 FIPS 140-2 3 级验证的 HSM 中生成加密密钥并执行加密操作。该服务为全代管式服务,因此您可以保护最敏感的工作负载,而无需担心管理 HSM 集群的运营开销。Cloud HSM 在 HSM 模块之上提供一个抽象层。通过这种抽象,您无需特定于 HSM 的代码即可在 CMEK 集成或 Cloud KMS API 或客户端库中使用密钥。
硬件密钥版本较昂贵,但与软件密钥相比,它们可以提供极大的安全优势。每个 Cloud HSM 密钥都有一个证明声明,其中包含有关您的密钥的认证信息。此证明及其关联的证书链可用于验证声明以及密钥和 HSM 特性的真实性。
外部保护级别
Cloud External Key Manager (Cloud EKM) 密钥是由您在受支持的外部密钥管理 (EKM) 合作伙伴服务中管理的密钥,供您在 Google Cloud 服务、Cloud KMS API 和客户端库中使用。 Cloud EKM 密钥可以由软件支持,也可以由硬件支持,具体取决于您的 EKM 提供商。您可以在集成 CMEK 的服务中使用 Cloud EKM 密钥,也可以使用 Cloud KMS API 和客户端库。
Cloud EKM 密钥版本比 Google 托管的软件或硬件密钥版本费用更高。使用 Cloud EKM 密钥时,您可以确保 Google 无法访问您的密钥材料。
如需查看哪些集成了 CMEK 的服务支持 Cloud EKM 密钥,请参阅 CMEK 集成并应用仅显示与 EKM 兼容的服务过滤条件。
通过互联网保护级别在外部共享
您可以在 Cloud KMS 支持的所有位置(nam-eur-asia1
和 global
除外)通过互联网使用 Cloud EKM 密钥。
外部(通过 VPC 保护级别)
您可以通过 VPC 网络使用 Cloud EKM 密钥,以提高外部密钥的可用性。更高的可用性意味着 Cloud EKM 密钥及其保护的资源不可用的可能性会更少。
您可以在 Cloud KMS 支持的所有区域位置中,通过 VPC 网络使用 Cloud EKM 密钥。基于 VPC 网络的 Cloud EKM 不适用于多区域位置。