Cloud KMS-Ressourcen

Auf dieser Seite werden alle in Cloud KMS vorkommenden Ressourcentypen beschrieben. Weitere Informationen finden sich unter Ressourcenhierarchie.

Schlüssel

Ein Cloud KMS-Schlüssel ist ein benanntes Objekt, das eine oder mehrere Schlüsselversionen sowie Metadaten für den Schlüssel enthält. Ein Schlüssel existiert genau an einem Schlüsselbund, der an einen bestimmten Standort gebunden ist.

Sie können den Zugriff auf Schlüssel mithilfe von Berechtigungen und Rollen von Identity and Access Management (IAM) zulassen oder verweigern. Sie können den Zugriff auf Schlüsselversionen nicht verwalten.

Durch das Deaktivieren oder Löschen eines Schlüssels wird auch jede Schlüsselversion deaktiviert oder gelöscht.

In folgenden Abschnitten werden die Eigenschaften eines Schlüssels erläutert.

Je nach Kontext werden die Attribute eines Schlüssels in einem anderen Format angezeigt.

  • Bei Verwendung der Google Cloud CLI oder der Cloud Key Management Service API wird das Attribut als String aus Großbuchstaben angezeigt, z. B. SOFTWARE.
  • In der Google Cloud Console wird das Attribut als String mit Anfangsgroßbuchstaben angezeigt, z. B. Software.

In den folgenden Abschnitten wird jedes Format an der richtigen Stelle angezeigt.

Typ

Der Typ eines Schlüssels bestimmt, ob er für symmetrische oder asymmetrische kryptografische Vorgänge verwendet wird.

Bei der symmetrischen Verschlüsselung oder Signatur wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln von Daten oder zum Signieren und Verifizieren einer Signatur verwendet.

Bei der asymmetrischen Verschlüsselung oder Signatur besteht der Schlüssel aus einem öffentlichen und einem privaten Schlüssel. Ein privater Schlüssel mit dem zugehörigen öffentlichen Schlüssel wird als Schlüsselpaar bezeichnet.

  • Der private Schlüssel wird als vertraulich betrachtet und ist je nach dem konfigurierten Zweck des Schlüssels zum Entschlüsseln von Daten oder Signieren erforderlich.
  • Der öffentliche Schlüssel wird nicht als vertraulich betrachtet und ist je nach dem konfigurierten Zweck des Schlüssels zum Verschlüsseln von Daten oder zum Verifizieren einer Signatur erforderlich.

Der Typ eines Schlüssels ist eine Komponente seines Zwecks und kann nach dem Erstellen des Schlüssels nicht mehr geändert werden.

Zweck

Der Zweck eines Schlüssels gibt an, für welche Art von kryptografischen Vorgängen er verwendet werden kann, z. B. Symmetrisch verschlüsseln/entschlüsseln oder Asymmetrische Signatur. Sie wählen den Zweck beim Erstellen des Schlüssels aus und alle Versionen haben denselben Zweck. Der Zweck eines Schlüssels kann nach Erstellung des Schlüssels nicht mehr geändert werden. Weitere Informationen zu Schlüsselzwecken finden Sie unter Schlüsselzwecke.

Schutzniveau

Das Schutzniveau eines Schlüssels bestimmt die Speicherumgebung des Schlüssels im inaktiven Zustand. Das Schutzniveau ist eines der folgenden:

  • Software (SOFTWARE in der Google Cloud CLI und in der Cloud Key Management Service API)
  • HSM
  • Extern (EXTERNAL in der Google Cloud CLI und in der Cloud Key Management Service API)
  • External_VPC (EXTERNAL_VPC in der Google Cloud CLI und in der Cloud Key Management Service API)

Das Schutzniveau eines Schlüssels kann nach dem Erstellen des Schlüssels nicht mehr geändert werden.

Hauptversion

Für Schlüssel können mehrere Schlüsselversionen gleichzeitig aktiv und aktiviert sein. Symmetrische Verschlüsselungsschlüssel haben eine primäre Schlüsselversion. Diese Schlüsselversion wird standardmäßig zum Verschlüsseln von Daten verwendet, wenn Sie keine Schlüsselversion angeben.

Asymmetrische Schlüssel haben keine primären Versionen. Sie müssen die Version angeben, wenn Sie den Schlüssel nutzen.

Sowohl für symmetrische als auch für asymmetrische Schlüssel können Sie jede aktivierte Schlüsselversion verwenden, um Daten zu verschlüsseln und zu entschlüsseln oder Signaturen zu signieren und zu validieren.

Schlüsselversionen

Jede Version eines Schlüssels enthält Schlüsselmaterial, das zur Verschlüsselung oder Signierung dient. Jede Version erhält eine Versionsnummer, beginnend mit 1. Wenn Sie einen Schlüssel rotieren, wird eine neue Schlüsselversion erstellt. Weitere Informationen zum Rotieren von Schlüsseln

Um Daten zu entschlüsseln oder eine Signatur zu bestätigen, müssen Sie die Schlüsselversion verwenden, die auch zum Verschlüsseln oder Signieren der Daten verwendet wurde. Informationen zum Suchen der Ressourcen-ID einer Schlüsselversion finden Sie unter Ressourcen-ID eines Schlüssels abrufen.

Sie können einzelne Schlüsselversionen deaktivieren oder löschen, ohne dass sich dies auf andere Versionen auswirkt. Sie können auch alle Schlüsselversionen für einen bestimmten Schlüssel deaktivieren oder löschen.

Sie können den Zugriff auf Schlüsselversionen nicht unabhängig von den Berechtigungen steuern, die für den Schlüssel gelten. Das Gewähren des Zugriffs auf einen Schlüssel gewährt auch Zugriff auf alle aktivierten Versionen des Schlüssels.

Aus Sicherheitsgründen können die durch eine Schlüsselversion repräsentierten Rohdaten des kryptografischen Schlüsselmaterials von Google Cloud-Hauptkonten nicht angezeigt oder exportiert werden. Stattdessen greift Cloud KMS für Sie auf das Schlüsselmaterial zu.

In folgenden Abschnitten werden die Eigenschaften einer Schlüsselversion erläutert.

Bundesland

Jede Schlüsselversion hat einen Status, der Aufschluss über ihren Zustand gibt. Normalerweise hat ein Schlüssel einen der folgenden Status:

  • Aktiviert
  • Deaktiviert
  • Löschen geplant
  • Gelöscht

Eine Schlüsselversion kann nur verwendet werden, wenn sie aktiviert ist. Für Schlüsselversionen in einem anderen Status als "gelöscht" werden Kosten berechnet. Weitere Informationen zu den Status von Schlüsselversionen und zu den Übergängen zwischen ihnen finden Sie unter Status von Schlüsselversionen.

Algorithmus

Der Algorithmus einer Schlüsselversion bestimmt, wie das Schlüsselmaterial erstellt wird und welche Parameter für kryptografische Vorgänge erforderlich sind. Für symmetrische und asymmetrische Schlüssel werden unterschiedliche Algorithmen verwendet. Für die Verschlüsselung und Signatur werden unterschiedliche Algorithmen verwendet.

Wenn Sie beim Erstellen einer neuen Schlüsselversion keinen Algorithmus angeben, wird der Algorithmus der vorherigen Version verwendet.

Unabhängig vom Algorithmus verwendet Cloud KMS die probabilistische Verschlüsselung. Dies bedeutet, dass derselbe Klartext, der zweimal mit derselben Schlüsselversion verschlüsselt wurde, nicht in denselben Geheimtext verschlüsselt wird.

Schlüsselbunde

Ein Schlüsselbund organisiert Schlüssel an einem bestimmten Google Cloud-Speicherort und ermöglicht Ihnen, die Zugriffssteuerung für Gruppen von Schlüsseln zu verwalten. Der Name eines Schlüsselbunds muss innerhalb eines Google Cloud-Projekts nicht mehrfach vergeben werden, muss aber innerhalb eines bestimmten Standorts eindeutig sein. Nach dem Erstellen kann kein Schlüsselbund gelöscht werden. Für Schlüsselringe fallen keine Kosten an.

Aliasse

Ein Schlüssel-Handle ist eine Cloud KMS-Ressource, mit der Sie die Trennung von Aufgaben sicher überbrücken können, um mit Autokey neue Cloud KMS-Schlüssel für CMEK zu erstellen. Wenn Sie einen Schlüssel-Handle in einem Ressourcenprojekt erstellen, wird ein Cloud KMS-Schlüssel im Schlüsselprojekt für die CMEK-Einrichtung auf Abruf erstellt.

Ein Schlüssel-Handle enthält eine Referenz auf den erstellten Cloud KMS-Schlüssel. Sie können die Cloud KMS-Ressourcen-ID eines von Autokey erstellten Schlüssels über den Schlüssel-Handle abrufen. Mit Infrastruktur-als-Code-Tools wie Terraform können Sie CMEK-geschützte Ressourcen ohne erhöhte Berechtigungen mit Schlüssel-Handles verwalten.

Schlüssel-IDs sind in der Google Cloud Console nicht sichtbar. Wenn Sie Autokey jedoch mit der REST API oder Terraform verwenden möchten, müssen Sie mit Schlüssel-IDs arbeiten. Weitere Informationen zur Verwendung von Schlüssel-Handles finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

Autokey-Konfigurationen

Eine Autokey-Konfiguration ist eine Ressource auf Ordnerebene, die festlegt, ob Autokey für den Ordner aktiviert ist. In der Autokey-Konfiguration wird auch festgelegt, welches Schlüsselprojekt für Schlüssel verwendet wird, die von Cloud KMS Autokey zum Schutz von Ressourcen in diesem Ordner erstellt wurden. Wenn Sie Autokey aktivieren, erstellen oder aktualisieren Sie eine Autokey-Konfiguration im Ressourcenordner. Weitere Informationen zur Verwendung von Autokey-Konfigurationen finden Sie unter Cloud KMS Autokey aktivieren.

EKM-Verbindungen

Eine EKM-Verbindung ist eine Cloud KMS-Ressource, mit der VPC-Verbindungen zu Ihren lokalen EKMs an einem bestimmten Google Cloud-Speicherort organisiert werden. Über eine EKM-Verbindung können Sie eine Verbindung zu Schlüsseln aus einem externen Schlüsselverwaltungssystem über ein VPC-Netzwerk herstellen und diese Schlüssel verwenden. Nach dem Erstellen kann eine EKM-Verbindung nicht mehr gelöscht werden. Für EKM-Verbindungen fallen keine Kosten an.

Ressourcen-ID abrufen

Für einige API-Aufrufe und die gcloud CLI ist es möglicherweise erforderlich, dass Sie auf einen Schlüsselbund, Schlüssel oder eine Schlüsselversion anhand seiner Ressourcen-ID verweisen, die eine Zeichenfolge ist, die den vollqualifizierten Namen CryptoKeyVersion darstellt. Ressourcen-IDs sind hierarchisch, ähnlich einem Dateisystempfad. Die Ressourcen-ID eines Schlüssels enthält auch Informationen zum Schlüsselbund und Speicherort.

Object Format der Ressourcen-ID
Schlüsselbund projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING
Schlüssel projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Schlüsselversion projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION
Alias projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE
EKM-Verbindung projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION
Autokey-Konfiguration folders/FOLDER_NUMBER/autopilotConfig

Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen

Ressourcen organisieren

Wenn Sie die Ressourcen in Ihrem Google Cloud-Projekt organisieren möchten, müssen Sie Ihre Geschäftsregeln und die Planung des Zugriffs berücksichtigen. Sie können Zugriff auf einen einzelnen Schlüssel, alle Schlüssel für einen Schlüsselbund oder alle Schlüssel in einem Projekt gewähren. Folgende Organisationsmuster sind üblich:

  • Nach Umgebung, z. B. prod, test und develop.
  • Nach Arbeitsbereich, z. B. payroll oder insurance_claims.
  • Nach Vertraulichkeit oder Eigenschaften der Daten, z. B. unrestricted, restricted, confidential, top-secret.

Ressourcenlebenszyklen

Schlüsselbunde, Schlüssel und Schlüsselversionen können nicht gelöscht werden. Dadurch wird gewährleistet, dass die Ressourcen-ID einer Schlüsselversion eindeutig ist und immer auf das ursprüngliche Schlüsselmaterial für diese Schlüsselversion verweist, sofern es nicht gelöscht wurde. Sie können eine unbegrenzte Anzahl von Schlüsselringen, aktivierten oder deaktivierten Schlüsseln und aktivierten, deaktivierten oder gelöschten Schlüsselversionen speichern. Weitere Informationen finden Sie unter Preise und Kontingente.

Informationen zum Löschen oder Wiederherstellen einer Schlüsselversion finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Nachdem Sie das Herunterfahren eines Google Cloud-Projekts geplant haben, können Sie nicht mehr auf die Projektressourcen zugreifen, auch nicht auf die Cloud KMS-Ressourcen. Dies ist nur durch eine Wiederherstellung des Projekts gemäß der Anleitung unter Projekt wiederherstellen möglich.

Nächste Schritte