Risorse di Cloud KMS

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo argomento illustra ogni tipo di risorsa in Cloud KMS. Scopri di più sulla gerarchia delle risorse.

Chiavi

Una chiave Cloud KMS è un oggetto denominato contenente una o più versioni della chiave, insieme ai metadati della chiave. Una chiave esiste esattamente su un keyring associato a una località specifica.

Puoi consentire e negare l'accesso alle chiavi utilizzando autorizzazioni e ruoli di Identity and Access Management (IAM). Non è possibile gestire l'accesso a una versione della chiave.

La disabilitazione o l'eliminazione di una chiave comporta anche la disattivazione o l'eliminazione di ogni versione della chiave.

Le seguenti sezioni descrivono le proprietà di una chiave.

A seconda del contesto, le proprietà di una chiave vengono mostrate in un formato diverso.

  • Quando utilizzi l'interfaccia a Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene visualizzata come una stringa di lettere maiuscole, come SOFTWARE.
  • Quando utilizzi Google Cloud Console, la proprietà viene mostrata come stringa con l'iniziale maiuscola, ad esempio Software.

Nelle sezioni che seguono, ciascun formato viene mostrato dove appropriato.

Tipo

Il tipo di una chiave determina se la chiave viene utilizzata per operazioni crittografiche simmetriche o asimmetriche.

Nella crittografia simmetrica è necessaria l'intera chiave per criptare o decriptare i dati. Non è possibile utilizzare chiavi simmetriche per la firma.

Nella crittografia o nella firma asimmetriche, la chiave è composta da una chiave pubblica e privata.

  • La chiave privata è considerata dati sensibili ed è necessaria per decriptarli o per la firma, a seconda dello scopo configurato della chiave.
  • La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o per verificare una firma, a seconda dello scopo configurato della chiave.

    Il tipo di chiave non può essere modificato dopo la sua creazione.

Il tipo di una chiave è un componente del suo scopo.

Finalità

Lo scopo di una chiave determina se la chiave può essere utilizzata per la crittografia o per la firma. Puoi scegliere lo scopo durante la creazione della chiave e tutte le versioni hanno lo stesso scopo.

Lo scopo di una chiave simmetrica è sempre Crittografia/decriptazione simmetrica.

Lo scopo di una chiave asimmetrica è Crittografia asimmetrica/decriptata o Firma asimmetrica.

Lo scopo di una chiave non può essere modificato dopo la sua creazione.

Versione primaria

Una chiave ha più versioni, ma una chiave simmetrica può avere al massimo una versione della chiave principale. La versione della chiave primaria viene utilizzata per criptare i dati se non specifichi una versione della chiave.

Le chiavi asimmetriche non hanno versioni primarie; devi specificare la versione quando utilizzi la chiave.

Sia per le chiavi simmetriche che per quelle asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare o decriptare i dati, indipendentemente dal fatto che si tratti della versione principale o meno.

Versioni delle chiavi

Ogni versione di una chiave contiene materiale chiave utilizzato per la crittografia o la firma. La versione di una chiave è rappresentata da un numero intero, a partire da 1. Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave utilizzata per criptare o firmare i dati. Per trovare e fare riferimento all'ID risorsa di una versione della chiave, consulta Recupero dell'ID risorsa di una chiave.

Puoi disattivare o eliminare una versione della chiave senza influire sulle altre versioni. La rotazione di una chiave crea una nuova versione. Scopri di più sulle chiavi di rotazione.

La disattivazione o l'eliminazione di una chiave comporta anche la disattivazione o l'eliminazione di tutte le versioni di tale chiave. Puoi disabilitare selettivamente una versione della chiave senza influire sulle altre versioni della chiave.

Non è possibile gestire l'accesso a una versione della chiave. La concessione dell'accesso a una chiave concede anche l'accesso a tutte le sue versioni abilitate.

Per motivi di sicurezza, nessuna entità Google Cloud può visualizzare o esportare il materiale della chiave crittografica non elaborata rappresentato da una versione della chiave. Cloud KMS accede al materiale delle chiavi per tuo conto.

Le seguenti sezioni descrivono le proprietà di una versione della chiave.

Stato

Lo stato di una versione della chiave è sempre uno dei seguenti:

  • Abilitato
  • Disabilitata
  • Pianificata per l'eliminazione
  • Eliminata

Una versione della chiave può essere utilizzata solo quando è abilitata. Le versioni della chiave in qualsiasi stato diverso da quello eliminato vengono addebitati costi.

Livello di protezione

Il livello di protezione di una versione della chiave determina l'ambiente di archiviazione at-rest della chiave. Il livello di protezione è uno dei seguenti:

  • Software (SOFTWARE nell'API Google Cloud CLI e Cloud Key Management Service)
  • HSM
  • Esterno (EXTERNAL nell'API Google Cloud CLI e Cloud Key Management Service)
  • External_VPC (EXTERNAL_VPC nell'API Google Cloud CLI e Cloud Key Management Service)

Anche se il livello di protezione è una proprietà di una versione della chiave, non può essere modificato dopo la creazione della chiave.

Algoritmo

L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave e i parametri richiesti per le operazioni crittografiche. Le chiavi simmetriche e asimmetriche supportano diversi algoritmi.

Se non specifichi un algoritmo durante la creazione di una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.

Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che lo stesso testo non criptato criptato con la stessa versione della chiave due volte non venga criptato con lo stesso testo di crittografia.

Keyring

Un keyring organizza le chiavi in una località specifica di Google Cloud e consente di gestire il controllo dell'accesso per gruppi di chiavi. Il nome del keyring non deve essere univoco in un progetto Google Cloud, ma deve essere univoco all'interno di una località specifica. Dopo la creazione, non è possibile eliminare un keyring. I keyring non comportano costi di archiviazione.

Connessioni EKM

Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC ai tuoi EKM on-premise in una località specifica di Google Cloud. Una connessione EKM ti consente di connetterti a chiavi di un gestore di chiavi esterno e di utilizzarle tramite una rete VPC. Dopo la creazione, non è possibile eliminare una connessione EKM. Le connessioni EKM non comportano costi di archiviazione.

Recupero dell'ID di una risorsa in corso...

Alcune chiamate API e gcloud CLI potrebbero richiedere di fare riferimento a un keyring, una chiave o una versione della chiave tramite il relativo ID risorsa, che è una stringa che rappresenta il nome CryptoKeyVersion completo. Gli ID risorsa sono gerarchici, simili a un percorso del file system. L'ID risorsa di una chiave contiene anche informazioni sul keyring e sulla posizione.

Oggetto Formato ID risorsa
Keyring projects/project-id/locations/location/keyRings/keyring
Chiave projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key
Versione chiave projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key/cryptoKeyVersions/version
Connessione EKM projects/project-id/locations/location/ekmConnections/ekmConnection

Per scoprire di più, consulta Acquisizione di un ID risorsa di Cloud KMS.

Organizzazione delle risorse

Quando pianifichi come organizzare le risorse nel tuo progetto Google Cloud, considera le tue regole aziendali e come prevedi di gestire l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi di un keyring o a tutte le chiavi di un progetto. I seguenti pattern organizzativi sono comuni:

  • A seconda dell'ambiente, ad esempio prod,test e develop.
  • Per area di lavoro, ad esempio payroll o insurance_claims.
  • In base alla sensibilità o alle caratteristiche dei dati, ad esempio unrestricted, restricted, confidential, top-secret.

Cicli di vita delle risorse

Non è possibile eliminare keyring, chiavi e versioni delle chiavi. In questo modo, l'identificatore di risorsa di una versione della chiave è univoco e punta sempre al materiale della chiave originale per quella versione, a meno che non sia stato eliminato. Puoi archiviare un numero illimitato di keyring, abilitare o disabilitare le chiavi e le versioni delle chiavi attivate, disattivate o distrutte. Per maggiori informazioni, consulta i prezzi e le quote.

Per scoprire come eliminare o ripristinare una versione della chiave, consulta la sezione Eliminare e ripristinare le versioni della chiave.

Se pianifichi l'arresto di un progetto Google Cloud, non potrai accedere alle risorse del progetto, incluse le risorse Cloud KMS, a meno che non recuperi il progetto seguendo i passaggi per ripristinare un progetto.

Passaggi successivi