Auf dieser Seite werden die einzelnen Ressourcentypen in Cloud KMS beschrieben. Weitere Informationen finden sich unter Ressourcenhierarchie.
Schlüssel
Ein Cloud KMS-Schlüssel ist ein benanntes Objekt, das eine oder mehrere Schlüsselversionen sowie Metadaten für den Schlüssel enthält. Ein Schlüssel existiert genau an einem Schlüsselbund, der an einen bestimmten Standort gebunden ist.
Sie können den Zugriff auf Schlüssel mithilfe von Berechtigungen und Rollen von Identity and Access Management (IAM) zulassen oder verweigern. Sie können den Zugriff auf einen Schlüssel nicht verwalten Version.
Durch das Deaktivieren oder Löschen eines Schlüssels wird auch jede Schlüsselversion deaktiviert oder gelöscht.
In folgenden Abschnitten werden die Eigenschaften eines Schlüssels erläutert.
Je nach Kontext werden die Attribute eines Schlüssels in einem anderen Format angezeigt.
- Wenn Sie die Google Cloud CLI oder Cloud Key Management Service API verwenden, wird das Attribut
als String aus Großbuchstaben, z. B.
SOFTWARE. - In der Google Cloud Console wird das Attribut als String mit Anfangsbuchstaben wie Software.
In den folgenden Abschnitten werden die einzelnen Formate jeweils an der richtigen Stelle angezeigt.
Typ
Der Typ eines Schlüssels bestimmt, ob er für symmetrische oder asymmetrische kryptografische Vorgänge verwendet wird.
Bei der symmetrischen Verschlüsselung oder Signierung wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln verwendet oder um eine Signatur zu signieren und zu verifizieren.
Bei der asymmetrischen Verschlüsselung oder Signatur besteht der Schlüssel aus einem öffentlichen Schlüssel und einem privaten Schlüssel enthält. Ein privater Schlüssel mit dem entsprechenden öffentlichen Schlüssel wird als Schlüssel bezeichnet. Paar
- Der private Schlüssel ist sensible Daten und wird zum Entschlüsseln von Daten oder Signaturschlüssel verwendet werden. Dies hängt vom konfigurierten Zweck des Schlüssels ab.
- Der öffentliche Schlüssel gilt nicht als sensibel und wird zum Verschlüsseln von Daten benötigt. oder eine Signatur überprüfen, je nachdem, für welchen Zweck der Schlüssel konfiguriert ist.
Der Typ eines Schlüssels ist eine Komponente des Schlüsselzwecks und kann später nicht mehr geändert werden wird der Schlüssel erstellt.
Zweck
Der Zweck eines Schlüssels gibt an, welche Art von kryptografischen Vorgängen der Schlüssel sein kann z. B. Symmetrisches Ver-/Entschlüsseln oder Asymmetrisches Verschlüsseln/Entschlüsseln . Sie wählen den Zweck beim Erstellen des Schlüssels und aller Versionen eines Schlüssel denselben Zweck haben. Der Zweck eines Schlüssels kann nicht mehr geändert werden, nachdem der Schlüssel erstellt. Weitere Informationen zu wichtigen Zwecken finden Sie unter Schlüsselzwecke:
Schutzniveau
Das Schutzniveau eines Schlüssels bestimmt die Speicherumgebung des Schlüssels im inaktiven Zustand. Das Schutzniveau ist eines der folgenden:
- Software (
SOFTWAREin der Google Cloud CLI und Cloud Key Management Service API) - HSM
- Extern (
EXTERNALin der Google Cloud CLI und Cloud Key Management Service API) - External_VPC (
EXTERNAL_VPCin der Google Cloud CLI und in der Cloud Key Management Service API)
Das Schutzniveau eines Schlüssels kann nach seiner Erstellung nicht mehr geändert werden.
Hauptversion
Für Schlüssel können mehrere Schlüsselversionen aktiv und gleichzeitig aktiviert sein . Symmetrische Verschlüsselungsschlüssel haben eine Primärschlüsselversion. Dies ist der Schlüssel Version, die standardmäßig zum Verschlüsseln von Daten verwendet wird, wenn Sie keine Schlüsselversion angeben.
Asymmetrische Schlüssel haben keine primären Versionen. Sie müssen die Version angeben, wenn Sie den Schlüssel nutzen.
Für sowohl symmetrische als auch asymmetrische Schlüssel können Sie jede aktivierte Schlüsselversion verwenden, um Daten zu verschlüsseln und zu entschlüsseln oder Signaturen zu signieren und zu validieren.
Schlüsselversionen
Jede Version eines Schlüssels enthält Schlüsselmaterial, das zur Verschlüsselung oder Signierung dient. Jedes
Version wird eine Versionsnummer zugewiesen, die mit 1 beginnt. Durch das Rotieren eines Schlüssels
neue Schlüsselversion. Weitere Informationen zum Rotieren von Schlüsseln
Um Daten zu entschlüsseln oder eine Signatur zu verifizieren, müssen Sie dieselbe Schlüsselversion verwenden, die zum Verschlüsseln oder Signieren der Daten verwendet wurde. Informationen zur Ressourcen-ID einer Schlüsselversion finden Sie unter Ressourcen-ID eines Schlüssels abrufen
Sie können einzelne Schlüsselversionen deaktivieren oder löschen, ohne dass sich dies auf andere Versionen auswirkt. Sie können auch alle Schlüsselversionen für einen bestimmten Schlüssel deaktivieren oder löschen.
Sie können den Zugriff auf Schlüsselversionen nicht unabhängig von den Berechtigungen in auf den Schlüssel auswirkt. Wenn Sie Zugriff auf einen Schlüssel gewähren, gewährst du Zugriff auf alle Schlüssel dieses Schlüssels Versionen verfügbar sind.
Aus Sicherheitsgründen können die durch eine Schlüsselversion repräsentierten Rohdaten des kryptografischen Schlüsselmaterials von Google Cloud-Hauptkonten nicht angezeigt oder exportiert werden. Stattdessen greift Cloud KMS für Sie auf das Schlüsselmaterial zu.
In folgenden Abschnitten werden die Eigenschaften einer Schlüsselversion erläutert.
Bundesland
Jede Schlüsselversion hat einen Status, der Aufschluss über ihren Status gibt. Normalerweise Schlüsselstatus ist einer der folgenden:
- Aktiviert
- Deaktiviert
- Löschen geplant
- Gelöscht
Eine Schlüsselversion kann nur verwendet werden, wenn sie aktiviert ist. Für Schlüsselversionen in einem anderen Status als "gelöscht" werden Kosten berechnet. Weitere Informationen zum Schlüssel Versionsstatus und wie zwischen ihnen gewechselt werden kann, finden Sie unter Schlüsselversionen Bundesländer.
Algorithmus
Der Algorithmus einer Schlüsselversion bestimmt, wie das Schlüsselmaterial erstellt und die Parameter, die für kryptografische Vorgänge erforderlich sind. Für symmetrische und asymmetrische Schlüssel werden unterschiedliche Algorithmen verwendet. Für die Verschlüsselung und Signatur werden unterschiedliche Algorithmen verwendet.
Wenn Sie beim Erstellen einer neuen Schlüsselversion keinen Algorithmus angeben, wird der Algorithmus der vorherigen Version verwendet.
Unabhängig vom Algorithmus verwendet Cloud KMS die probabilistische Verschlüsselung. Dies bedeutet, dass derselbe Klartext, der zweimal mit derselben Schlüsselversion verschlüsselt wurde, nicht in denselben Geheimtext verschlüsselt wird.
Schlüsselbunde
Ein Schlüsselbund organisiert Schlüssel in einer bestimmten Google Cloud Standort und ermöglicht die Verwaltung der Zugriffssteuerung für Schlüsselgruppen. Die Der Name muss innerhalb eines Google Cloud-Projekts nicht eindeutig sein, innerhalb eines Standorts eindeutig sein. Nach dem Erstellen kann ein Schlüsselbund nicht mehr gelöscht werden. Für Schlüsselbunde fallen keine Kosten an.
Aliasse
Ein Schlüssel-Handle ist eine Cloud KMS-Ressource, mit der Sie den Aufgabentrennung zum Erstellen neuer Cloud KMS-Schlüssel für CMEK mit Autokey. Das Erstellen eines Schlüssel-Handles in einem Ressourcenprojekt wird ausgelöst Erstellen eines Cloud KMS-Schlüssels im Schlüsselprojekt für On-Demand-CMEK einrichten.
Ein Schlüssel-Handle enthält einen Verweis auf den Cloud KMS-Schlüssel, der erstellt. Sie können die Cloud KMS-Ressourcen-ID eines erstellten Schlüssels abrufen. durch „Autokey“ über den Tastenziehpunkt. Infrastructure-as-Code-Tools wie Terraform kann mit Handles CMEK-geschützte Ressourcen ohne die Rechte ausgeweitet haben.
Schlüssel-Handles sind in der Google Cloud Console nicht sichtbar, aber für die Verwendung von Autokey mit der REST API oder Terraform verwenden, müssen Sie mit Schlüsselbunden arbeiten. Weitere Informationen Informationen zur Verwendung von Schlüssel-Handles finden Sie unter Geschützte Ressourcen erstellen mithilfe von Cloud KMS Autokey
Autokey-Konfigurationen
Eine Autokey-Konfiguration ist eine Ressource auf Ordnerebene, die festlegt, ob Autokey für den Ordner aktiviert ist. Die Autokey-Konfiguration definiert, welches Schlüsselprojekt für Schlüssel verwendet wird, die von Cloud KMS Autokey für um Ressourcen in diesem Ordner zu schützen. Wenn Sie Autokey aktivieren, erstellen Sie oder eine Autokey-Konfiguration für den Ressourcenordner aktualisieren. Weitere Informationen Informationen zur Verwendung von Autokey-Konfigurationen finden Sie unter Aktivieren Cloud KMS Autokey
EKM-Verbindungen
Eine EKM-Verbindung ist eine Cloud KMS-Ressource, mit der VPC-Verbindungen zu Ihren lokalen EKMs an einem bestimmten Google Cloud-Speicherort organisiert werden. Mit einer EKM-Verbindung können Sie eine Verbindung zu Schlüssel von einem External Key Manager über ein VPC-Netzwerk. Nachher erstellt wird, kann eine EKM-Verbindung nicht gelöscht werden. Für EKM-Verbindungen fallen keine Kosten an.
Ressourcen-ID abrufen
Für einige API-Aufrufe und die gcloud CLI müssen Sie möglicherweise auf einen Schlüssel verweisen Ring, Schlüssel oder Schlüsselversion durch seine Ressourcen-ID, bei der es sich um einen String handelt, der den vollständig qualifizierter CryptoKeyVersion-Name. Ressourcen-IDs sind hierarchisch, ähnlich einem Dateisystempfad. Die Ressourcen-ID eines Schlüssels enthält auch Informationen zum Schlüsselbund und Speicherort.
| Object | Format der Ressourcen-ID |
|---|---|
| Schlüsselbund | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Schlüssel | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Schlüsselversion | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Ziehpunkt | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| EKM-Verbindung | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Autokey-Konfiguration | folders/FOLDER_NUMBER/autopilotConfig |
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen
Ressourcen organisieren
Wenn Sie die Ressourcen in Ihrem Google Cloud-Projekt organisieren möchten, müssen Sie Ihre Geschäftsregeln und die Planung des Zugriffs berücksichtigen. Sie können Zugriff auf einen einzelnen Schlüssel, alle Schlüssel in einem Schlüsselbund oder alle Schlüssel in einem Projekt gewähren. Folgende Organisationsmuster sind üblich:
- Nach Umgebung, z. B.
prod,testunddevelop. - Nach Arbeitsbereich, z. B.
payrolloderinsurance_claims. - Nach Vertraulichkeit oder Eigenschaften der Daten, z. B.
unrestricted,restricted,confidential,top-secret.
Ressourcenlebenszyklen
Schlüsselbunde, Schlüssel und Schlüsselversionen können nicht gelöscht werden. Dadurch wird gewährleistet, dass die Ressourcen-ID einer Schlüsselversion eindeutig ist und immer auf das ursprüngliche Schlüsselmaterial für diese Schlüsselversion verweist, sofern es nicht gelöscht wurde. Sie können eine unbegrenzte Anzahl von Schlüsselbunden, aktivierten oder deaktivierten Schlüsseln und aktivierte, deaktivierte oder gelöschte Schlüsselversionen. Weitere Informationen finden Sie unter Preise und Kontingente.
Informationen zum Löschen oder Wiederherstellen einer Schlüsselversion finden Sie unter Löschen und Wiederherstellen Schlüsselversionen
Nachdem Sie das Herunterfahren eines Google Cloud-Projekts geplant haben, Sie können nicht auf die Projektressourcen zugreifen, einschließlich Cloud KMS. Es sei denn, Sie stellen das Projekt mithilfe der Schritte zum Wiederherstellen eines Projekt