保护级别

本主题比较了 Cloud KMS 支持的不同保护级别:

软件
具有 SOFTWARE 保护级别的 Cloud KMS 密钥用于在软件中执行的加密操作。Cloud KMS 密钥可以由 Google 生成或导入。
硬件
保护级别为 HARDWARE 的 Cloud HSM 密钥存储在 Google 拥有的硬件安全模块 (HSM) 中。使用这些密钥的加密操作在我们的 HSM 中执行。您可以使用 Cloud HSM 密钥,就像使用 Cloud KMS 密钥一样。Cloud HSM 密钥可以由 Google 生成,也可以导入。
通过互联网在外部进行
保护级别为 EXTERNAL 的 Cloud EKM 密钥会生成并存储在您的外部密钥管理 (EKM) 系统中。Cloud EKM 会存储额外的加密材料和指向您唯一密钥的路径,该路径用于通过互联网访问您的密钥。
通过 VPC 在外部进行
保护级别为 EXTERNAL_VPC 的 Cloud EKM 密钥会生成并存储在您的外部密钥管理 (EKM) 系统中。Cloud EKM 会存储额外的加密材料和指向您的唯一密钥的路径,该路径用于通过 Virtual Private Cloud (VPC) 网络访问您的密钥。

具有所有这些保护级别的密钥具有以下共同特性:

  • 将您的密钥用于集成了客户管理的加密密钥 (CMEK) 的 Google Cloud 服务。

  • 将您的密钥与 Cloud KMS API 或客户端库搭配使用,无需根据密钥的保护级别编写任何专用代码。

  • 使用 Identity and Access Management (IAM) 角色控制对密钥的访问权限。

  • 通过 Cloud KMS 控制每个密钥版本是启用还是停用

  • 系统会在审核日志中记录关键操作。可以启用数据访问日志记录。

软件保护级别

Cloud KMS 使用 BoringCrypto 模块 (BCM) 对软件密钥执行所有加密操作。BCM 通过了 FIPS 140-2 验证。Cloud KMS 软件密钥使用 BCM 的 FIPS 140-2 1 级验证加密原语。

软件版密钥比硬件版或外接版密钥便宜得多。对于没有针对更高 FIPs 140-2 验证级别的特定监管要求的用例,软件密钥是一个不错的选择。

硬件保护级别

Cloud HSM 可帮助您执行 Google Cloud 中工作负载的监管要求。利用 Cloud HSM,您可以在经 FIPS 140-2 3 级验证的 HSM 中生成加密密钥并执行加密操作。该服务采用全代管式,这让您可以保护最敏感的工作负载,而无需担心管理 HSM 集群的运营开销。Cloud HSM 在 HSM 模块之上提供了一层抽象。借助此抽象,您可以在 CMEK 集成或 Cloud KMS API 或客户端库中使用密钥,而无需使用 HSM 专用代码。

硬件密钥版本的价格较高,但与软件密钥相比,它们具有显著的安全优势。每个 Cloud HSM 密钥都有一个证明语句,其中包含有关您的密钥的经过认证的信息。此证明及其关联的证书链可用于验证声明的真实性以及密钥和 HSM 的属性。

外部保护级别

Cloud External Key Manager (Cloud EKM) 密钥是指您在受支持的外部密钥管理 (EKM) 合作伙伴服务中管理的密钥,并在 Google Cloud 服务以及 Cloud KMS API 和客户端库中使用。Cloud EKM 密钥可以由软件或硬件支持,具体取决于您的 EKM 提供商。您可以在集成了 CMEK 的服务中使用 Cloud EKM 密钥,也可以使用 Cloud KMS API 和客户端库。

Cloud EKM 密钥版本的费用高于 Google 托管的软件或硬件密钥版本。使用 Cloud EKM 密钥时,您可以确信 Google 无法访问您的密钥材料。

如需查看哪些与 CMEK 集成的服务支持 Cloud EKM 密钥,请参阅 CMEK 集成,然后应用仅显示与 EKM 兼容的服务过滤条件。

通过互联网在外部进行保护级别

您可以在 Cloud KMS 支持的所有位置(但 nam-eur-asia1global 除外)通过互联网使用 Cloud EKM 密钥。

通过 VPC 在外部进行保护级别

您可以通过 VPC 网络使用 Cloud EKM 密钥,以提高外部密钥的可用性。可用性更高意味着 Cloud EKM 密钥及其保护的资源出现不可用情况的可能性更低。

您可以在 Cloud KMS 支持的所有区域位置通过 VPC 网络使用 Cloud EKM 密钥。通过 VPC 网络使用 Cloud EKM 在多区域位置不可用。

后续步骤