本页面介绍了 Cloud KMS 中的每种资源类型。您可以详细了解资源层次结构。
键
Cloud KMS 密钥是包含一个或多个密钥的命名对象 版本以及密钥的元数据。密钥保存在于与特定位置绑定的一个密钥环上。
您可以使用 Identity and Access Management (IAM) 权限和角色来允许和拒绝对密钥的访问。您无法管理对密钥的访问权限 版本。
停用或销毁一个密钥会停用或销毁每个密钥版本。
以下部分介绍密钥的属性。
根据上下文,密钥的属性会以不同的格式显示。
- 使用 Google Cloud CLI 或 Cloud Key Management Service API 时,系统会显示
一串大写字母,如
SOFTWARE。 - 使用 Google Cloud 控制台时,该属性显示为字符串,其中包含 首字母大写,如 Software。
以下各部分在适当的位置展示了每种格式。
类型
密钥的类型决定了密钥是用于对称加密操作还是非对称加密操作。
在对称加密或签名中,使用相同的密钥进行加密和解密 数据或对签名进行签名和验证。
在非对称加密或签名中,密钥由公钥和一个 私钥。私钥及其对应的公钥称为密钥 对。
- 私钥是敏感数据,解密数据或进行 签名,具体取决于密钥的配置用途。
- 公钥不是敏感数据,需要该公钥来加密数据 或验证签名,具体取决于密钥的配置用途。
密钥类型是密钥用途的一个组成部分,在 密钥创建成功
用途
密钥的用途指明了密钥可以执行的加密操作类型 用于 — 例如,对称加密/解密或非对称 签名。您可以在创建密钥时选择用途 具有相同的用途。密钥一经指定便无法更改用途 创建。如需详细了解密钥用途,请参阅 密钥用途。
保护级别
密钥的保护级别决定了密钥的存储环境(位于 。保护级别为以下之一:
- 软件(Google Cloud CLI 和 Cloud Key Management Service API 中的
SOFTWARE) - HSM
- 外部(Google Cloud CLI 和 Cloud Key Management Service API 中的
EXTERNAL) - External_VPC(Google Cloud CLI 和 Cloud Key Management Service API 中的
EXTERNAL_VPC)
密钥的保护级别一经创建便无法更改。
主要版本
密钥可以拥有多个有效密钥版本,并且可以同时启用多个密钥版本 。对称加密密钥有一个主密钥版本, 版本。
非对称密钥没有主要版本;则必须在 YAML 文件中 使用相应密钥
对于对称密钥和非对称密钥,您可以使用任何已启用的密钥版本来 加密和解密数据,或对签名进行签名和验证。
密钥版本
密钥的每个版本都包含用于加密或签名的密钥材料。每个
版本分配有从 1 开始的版本号。轮替密钥会创建一个
新密钥版本。您可以详细了解如何轮播
密钥。
如需解密数据或验证签名,您使用的密钥版本必须与 用于加密或签署数据。如需查找密钥版本的资源 ID,请参阅 检索密钥的资源 ID。
您可以停用或销毁个别密钥版本,而不会影响其他密钥版本 versions.您还可以停用或销毁给定密钥的所有密钥版本。
您无法独立于以下项目的权限控制对密钥版本的访问权限: 对键的影响。授予对某个密钥的访问权限会授予对该密钥的所有访问权限 启用版本。
出于安全考虑,Google Cloud 主账号无法查看或导出由密钥版本表示的原始加密密钥材料。Cloud KMS 会代表您访问密钥材料。
以下部分介绍密钥版本的属性。
州
每个密钥版本都有一个状态,用于指示其状态。通常, 密钥的状态将是下列其中一项:
- 已启用
- 已停用
- 已安排销毁
- 已销毁
密钥版本只有在处于已启用状态时才能使用。任何状态的密钥版本 会产生费用。如需详细了解密钥 请参阅密钥版本 状态。
算法
密钥版本的算法决定密钥材料的创建方式以及 加密操作所需的参数。对称密钥和非对称密钥 使用不同的算法加密和签名使用不同的算法。
如果您在创建新的密钥版本时未指定算法, 先前版本的应用。
无论采用何种算法,Cloud KMS 都使用概率加密, 这样,使用同一个密钥版本加密两次的同一明文就不会 返回相同的密文。
密钥环
密钥环用于整理特定 Google Cloud 中的密钥 location,并可让您管理对密钥组的访问权限控制。密钥环 名称不必在整个 Google Cloud 项目中是唯一的,但必须是 是唯一的密钥环一经创建便无法删除。 密钥环不会产生任何费用。
按键手柄
密钥句柄是一种 Cloud KMS 资源,可帮助您安全地跨越 使用 Cloud KMS 为 CMEK 创建新的 Cloud KMS 密钥的职责分离 Autokey。触发在资源项目中创建密钥句柄 在密钥项目中为按需 CMEK 创建 Cloud KMS 密钥 setup.
密钥句柄包含对之前创建的 Cloud KMS 密钥的引用 创建。您可以检索所创建的密钥的 Cloud KMS 资源 ID 。例如基础设施即代码工具 Terraform 可与密钥句柄配合使用来管理受 CMEK 保护的资源,而无需 提升的权限。
按键句柄在 Google Cloud 控制台中不可见,但若要使用 Autokey, 必须使用密钥句柄。有关 如需了解如何使用密钥句柄,请参阅使用 Cloud KMS Autokey。
Autokey 配置
Autokey 配置是文件夹级资源,用于定义 已为文件夹启用 Autokey。Autokey 配置还会 定义将 Cloud KMS Autokey 创建的密钥用于 保护该文件夹中的资源启用 Autokey 后,您将创建 或更新资源文件夹上的 Autokey 配置。有关 有关如何使用 Autokey 配置的信息,请参阅启用 Cloud KMS Autokey。
EKM 连接
EKM 连接是一种 Cloud KMS 资源,用于组织 在特定可用区中与您的本地 EKM 建立的 VPC 连接 Google Cloud 位置。EKM 连接可让您连接到和使用 通过 VPC 网络从外部密钥管理器中获取的密钥。更新后 无法删除 EKM 连接。不会产生 EKM 连接 不会产生任何费用
检索资源的 ID
某些 API 调用和 gcloud CLI 可能会要求您引用密钥 按资源 ID 标识环、密钥或密钥版本,该 ID 是表示 完全限定的 CryptoKeyVersion 名称。资源 ID 是分层的, 添加到文件系统路径密钥的资源 ID 还包含 密钥环和位置
| 对象 | 资源 ID 格式 |
|---|---|
| 密钥环 | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| 密钥 | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| 密钥版本 | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| 按键手柄 | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| EKM 连接 | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Autokey 配置 | folders/FOLDER_NUMBER/autopilotConfig |
如需了解详情,请参阅获取 Cloud KMS 资源 ID。
组织资源
在规划如何组织 Google Cloud 项目中的资源时,请考虑您的业务规则以及计划如何管理访问权限。您可以 授予对单个密钥、密钥环上的所有密钥或项目中的所有密钥的访问权限。 以下是一些常见的组织模式:
- 按环境(例如
prod、test、develop)。 - 按工作领域(例如
payroll或insurance_claims)。 - 按数据敏感度或特征(例如
unrestricted、restricted、confidential、top-secret)。
资源生命周期
您无法删除密钥环、密钥和密钥版本。这样可以确保 资源标识符 密钥版本是唯一的,并始终指向该密钥版本的原始密钥材料,除非 已被销毁。 您可以存储不限数量的密钥环、启用或停用的密钥,以及 已启用、已停用或已销毁的密钥版本。如需了解详情,请参阅 价格和配额。
如需了解如何销毁或恢复密钥版本,请参阅销毁和恢复 密钥版本。
安排关停 Google Cloud 项目后, 您就无法访问项目的资源,包括 Cloud KMS 除非您按照恢复 项目。