Risorse di Cloud KMS

Questo argomento illustra ogni tipo di risorsa in Cloud KMS. Scopri di più sulla gerarchia delle risorse.

Chiavi

Una chiave Cloud KMS è un oggetto denominato contenente una o più versioni della chiave, oltre ai metadati della chiave. Una chiave esiste su esattamente un keyring legato a una località specifica.

Puoi consentire e negare l'accesso alle chiavi utilizzando le autorizzazioni e i ruoli di Identity and Access Management (IAM). Non è possibile gestire l'accesso a una versione della chiave.

La disabilitazione o l'eliminazione di una chiave comporta anche la disattivazione o l'eliminazione di ogni versione della chiave.

Le seguenti sezioni descrivono le proprietà di una chiave.

A seconda del contesto, le proprietà di una chiave vengono mostrate in un formato diverso.

• Quando utilizzi Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene visualizzata come una stringa di lettere maiuscole, ad esempio SOFTWARE.
• Quando utilizzi la console Google Cloud, la proprietà viene visualizzata come stringa con iniziale maiuscola, ad esempio Software.

Nelle sezioni seguenti, ogni formato viene mostrato dove è appropriato.

Tipo

Il tipo di una chiave determina se la chiave viene utilizzata per operazioni di crittografia simmetriche o asimmetriche.

Nella crittografia simmetrica, per criptare o decriptare i dati è necessaria l'intera chiave. Non è possibile utilizzare chiavi simmetriche per la firma.

Nella crittografia o nella firma asimmetrica, la chiave è costituita da una chiave pubblica e una privata.

• La chiave privata è considerata un dato sensibile ed è necessaria per decriptare i dati o per la firma, a seconda dello scopo configurato della chiave.

• La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o verificare una firma, a seconda dello scopo configurato della chiave.

  Il tipo di una chiave non può essere modificato dopo la creazione della chiave.

Il tipo di una chiave è uno dei componenti del suo scopo.

Finalità

Lo scopo di una chiave determina se la chiave può essere utilizzata per la crittografia o la firma. Sei tu a scegliere lo scopo durante la creazione della chiave e tutte le versioni hanno lo stesso scopo.

Lo scopo di una chiave simmetrica è sempre crittografia/decriptazione simmetrica.

Lo scopo di una chiave asimmetrica è Crittografia/decrittografia asimmetrica o Firma asimmetrica.

Lo scopo di una chiave non può essere modificato dopo la creazione della chiave.

Versione primaria

Una chiave ha più versioni, ma una chiave simmetrica può avere al massimo una versione della chiave primaria. La versione della chiave primaria viene utilizzata per criptare i dati se non specifichi una versione della chiave.

Le chiavi asimmetriche non hanno versioni primarie. Devi specificare la versione quando utilizzi la chiave.

Sia per le chiavi simmetriche che per quelle asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare o decriptare i dati, indipendentemente dal fatto che si tratti della versione primaria o meno.

Versioni delle chiavi

Ogni versione di una chiave contiene il materiale della chiave utilizzato per la crittografia o la firma. La versione di una chiave è rappresentata da un numero intero, a partire da 1. Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave che è stata utilizzata per criptare o firmare i dati. Per trovare e fare riferimento all'ID risorsa di una versione della chiave, consulta Recupero dell'ID risorsa di una chiave.

Puoi disabilitare o eliminare una versione della chiave senza influire sulle altre versioni. La rotazione di una chiave crea una nuova versione. Scopri di più sulla rotazione delle chiavi.

La disabilitazione o l'eliminazione di una chiave comporta anche la disattivazione o l'eliminazione di tutte le relative versioni. Puoi disabilitare selettivamente una versione della chiave senza influire sulle altre versioni della chiave.

Non è possibile gestire l'accesso a una versione della chiave. La concessione dell'accesso a una chiave concede anche l'accesso a tutte le versioni abilitate.

Per motivi di sicurezza, nessuna entità Google Cloud può visualizzare o esportare il materiale della chiave di crittografia non elaborata rappresentato da una versione della chiave. Cloud KMS accede al materiale delle chiavi per tuo conto.

Le seguenti sezioni descrivono le proprietà di una versione della chiave.

Stato

Lo state di una versione della chiave è sempre uno dei seguenti:

• Abilitato
• Disabilitata
• Pianificata per l'eliminazione
• Eliminata

Una versione della chiave può essere utilizzata solo quando è abilitata. Le versioni della chiave in qualsiasi stato diverso da quelle eliminate comportano costi.

Livello di protezione

Il livello di protezione di una versione della chiave determina l'ambiente di archiviazione at-rest della chiave. Il livello di protezione è uno dei seguenti:

• Software (SOFTWARE in Google Cloud CLI e API Cloud Key Management Service)
• HSM
• Esterna (EXTERNAL in Google Cloud CLI e API Cloud Key Management Service)
• External_VPC (EXTERNAL_VPC in Google Cloud CLI e nell'API Cloud Key Management Service)

Sebbene il livello di protezione sia una proprietà di una versione della chiave, non può essere modificato dopo la creazione della chiave.

Algoritmo

L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave e i parametri richiesti per le operazioni crittografiche. Le chiavi simmetriche e asimmetriche supportano diversi algoritmi.

Se non specifichi un algoritmo durante la creazione di una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.

Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che lo stesso testo non crittografato criptato con la stessa versione della chiave due volte non esegua la crittografia con lo stesso testo crittografato.

Keyring

Un keyring organizza le chiavi in una località Google Cloud specifica e consente di gestire il controllo dell'accesso su gruppi di chiavi. Il nome di un keyring non deve essere necessariamente univoco in un progetto Google Cloud, ma deve essere univoco all'interno di una determinata località. Dopo la creazione, non è possibile eliminare un keyring. I keyring non prevedono costi di archiviazione.

Connessioni EKM

Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC ai tuoi EKM on-premise in una località Google Cloud specifica. Una connessione EKM ti consente di connetterti a un gestore di chiavi esterno e di utilizzarle su una rete VPC. Dopo la creazione, non è possibile eliminare una connessione EKM. Le connessioni EKM non prevedono costi di archiviazione.

Recupero dell'ID di una risorsa

Alcune chiamate API e gcloud CLI potrebbero richiedere di fare riferimento a un keyring, a una chiave o a una versione della chiave tramite il relativo ID risorsa, che è una stringa che rappresenta il nome completo CryptoKeyVersion. Gli ID risorsa sono gerarchici, simili ai percorsi dei file system. L'ID risorsa di una chiave contiene anche informazioni sul keyring e sulla località.

Oggetto	Formato ID risorsa
Keyring	projects/project-id/locations/location/keyRings/keyring
Chiave	projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key
Versione chiave	projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key/cryptoKeyVersions/version
connessione EKM	projects/project-id/locations/location/ekmConnections/ekmConnection

Per scoprire di più, consulta Ottenere un ID risorsa di Cloud KMS.

Organizzazione delle risorse

Quando pianifichi come organizzare le risorse nel tuo progetto Google Cloud, tieni conto delle tue regole aziendali e di come prevedi di gestire l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi in un keyring o a tutte le chiavi di un progetto. I seguenti pattern dell'organizzazione sono comuni:

• Per ambiente, ad esempio prod, test e develop.
• Per area di lavoro, ad esempio payroll o insurance_claims.
• In base a sensibilità o caratteristiche dei dati, ad esempio unrestricted, restricted, confidential e top-secret.

Cicli di vita delle risorse

Impossibile eliminare keyring, chiavi e versioni delle chiavi. In questo modo l'identificatore di risorsa di una versione della chiave è univoco e rimanda sempre al materiale originale della chiave per quella versione, a meno che non sia stata eliminata. Puoi archiviare un numero illimitato di keyring, chiavi abilitate o disabilitate e versioni delle chiavi abilitate, disabilitate o eliminate. Per ulteriori informazioni, consulta le pagine Prezzi e Quote.

Per scoprire come eliminare o ripristinare la versione di una chiave, consulta Eliminare e ripristinare le versioni delle chiavi.

Se pianifichi l'arresto di un progetto Google Cloud, non potrai accedere alle risorse del progetto, comprese le risorse Cloud KMS, a meno che non recuperi il progetto seguendo i passaggi per ripristinare un progetto.

Passaggi successivi

• Crea una chiave.
• Scopri di più su autorizzazioni e ruoli in Cloud KMS.