Risorse di Cloud KMS

Questo argomento tratta ogni tipo di risorsa in Cloud KMS. Scopri di più sulla gerarchia delle risorse.

Chiavi

Una chiave Cloud KMS è un oggetto denominato contenente una o più versioni della chiave, insieme ai metadati per la chiave. Una chiave esiste esattamente su un chiavir associato a una località specifica.

Puoi consentire e negare l'accesso alle chiavi utilizzando le autorizzazioni e i ruoli Identity and Access Management (IAM). Non è possibile gestire l'accesso a una versione della chiave.

La disattivazione o l'eliminazione di una chiave disattiva o elimina anche ogni versione della chiave.

Le seguenti sezioni descrivono le proprietà di una chiave.

A seconda del contesto, le proprietà di una chiave vengono mostrate in un formato diverso.

  • Quando utilizzi l'interfaccia a riga di comando di Google Cloud o l'API Cloud Key Management Service, la proprietà viene mostrata come una stringa di lettere maiuscole, come SOFTWARE.
  • Quando utilizzi Google Cloud Console, la proprietà viene mostrata come stringa con l'iniziale maiuscola, ad esempio Software.

Nelle sezioni seguenti, ogni formato viene mostrato dove appropriato.

Tipo

Il tipo di chiave determina se la chiave viene utilizzata per le operazioni crittografiche simmetriche o asimmetriche.

Nella crittografia simmetrica, per criptare o decriptare i dati è necessaria l'intera chiave. Non è possibile usare le chiavi simmetriche per la firma.

Nella crittografia o nella firma asimmetrica, la chiave è composta da una chiave pubblica e privata.

  • La chiave privata è considerata un dato sensibile ed è necessaria per decriptare i dati o per la firma, a seconda dello scopo configurato per la chiave.
  • La chiave pubblica non è considerata sensibile ed è obbligatoria per criptare i dati o verificare una firma, a seconda dello scopo configurato per la chiave.

    Il tipo di chiave non può essere modificato dopo la creazione della chiave.

Il tipo di chiave è un componente del suo scopo.

Scopo

La funzione di una chiave determina se la chiave può essere utilizzata per la crittografia o per la firma. Tu scegli lo scopo quando crei la chiave e tutte le versioni hanno lo stesso scopo.

Lo scopo di una chiave simmetrica è sempre Simmetrica crypt/decrypt.

Lo scopo di una chiave asimmetrica è Crittografia/asimmetrica o Firma asimmetrica.

Una volta creata, la chiave non può essere modificata.

Versione primaria

Una chiave ha più versioni, ma una chiave simmetrica può avere al massimo una versione della chiave principale. La versione della chiave primaria viene utilizzata per criptare i dati se non specifichi una versione della chiave.

Le chiavi asimmetriche non hanno versioni principali; devi specificare la versione quando utilizzi la chiave.

Per le chiavi simmetriche e asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare o decriptare i dati, indipendentemente dal fatto che si tratti della versione primaria o meno.

Versioni delle chiavi

Ogni versione di una chiave contiene materiale di chiave utilizzato per la crittografia o la firma. La versione di una chiave è rappresentata da un numero intero, a partire da 1. Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave usata per criptare o firmare i dati. Per trovare e fare riferimento all'ID risorsa di una versione della chiave, vedi Recupero dell'ID risorsa di una chiave.

Puoi disattivare o eliminare una versione della chiave senza influire sulle altre versioni. La rotazione di una chiave crea una nuova versione. Scopri di più sulla rotazione delle chiavi.

La disattivazione o l'eliminazione di una chiave comporta anche la disattivazione o l'eliminazione di tutte le versioni della chiave. Puoi disabilitare selettivamente una versione della chiave senza influire sulle altre versioni della chiave.

Non è possibile gestire l'accesso a una versione della chiave. La concessione dell'accesso a una chiave consente l'accesso anche a tutte le sue versioni abilitate.

Per motivi di sicurezza, nessuna entità Google Cloud può visualizzare o esportare il materiale della chiave di crittografia non elaborata rappresentato da una versione della chiave. Cloud KMS accede al materiale della chiave per tuo conto.

Le seguenti sezioni descrivono le proprietà di una versione della chiave.

Stato

Lo stato della versione della chiave è sempre uno dei seguenti:

  • Abilitato
  • Disabilitata
  • Pianificata per l'eliminazione
  • Eliminata

Una versione della chiave può essere utilizzata solo quando è abilitata. Le versioni della chiave in qualsiasi stato diverso da quelle eliminate vengono costate.

Livello di protezione

Il livello di protezione della versione della chiave determina l'ambiente di archiviazione dei dati inattivi. Il livello di protezione è uno dei seguenti:

  • Software (SOFTWARE nell'interfaccia a riga di comando di Google Cloud e nell'API Cloud Key Management Service)
  • HSM
  • Esterno (EXTERNAL nell'interfaccia a riga di comando di Google Cloud e nell'API Cloud Key Management Service)
  • External_VPC (EXTERNAL_VPC nell'interfaccia a riga di comando di Google Cloud e nell'API Cloud Key Management Service)

Anche se il livello di protezione è una proprietà di una versione della chiave, non può essere modificato dopo la creazione della chiave.

Algoritmo

L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave e i parametri richiesti per le operazioni crittografiche. Le chiavi simmetriche e asimmetriche supportano algoritmi diversi.

Se non specifichi un algoritmo quando crei una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.

Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che lo stesso testo normale criptato con la stessa versione della chiave due volte non esegua la crittografia nello stesso testo criptato.

Keyring

Un keyring organizza le chiavi in una località Google Cloud specifica e consente di gestire il controllo dell'accesso per gruppi di chiavi. Il nome del keyring non deve essere univoco in un progetto Google Cloud, ma deve essere univoco all'interno di una determinata località. Dopo la creazione, non è possibile eliminare un keyring. I keyring non comportano costi di archiviazione.

Connessioni EKM

Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC ai tuoi EKM on-premise in una località Google Cloud specifica. Una connessione EKM ti consente di connetterti e utilizzare le chiavi da un gestore di chiavi esterno su una rete VPC. Dopo la creazione, non è possibile eliminare una connessione EKM. Le connessioni EKM non comportano costi di archiviazione.

Recupero dell'ID di una risorsa in corso...

Alcune chiamate API e l'interfaccia a riga di comando gcloud potrebbero richiedere il riferimento a un keyring, a una chiave o alla versione della chiave tramite il relativo ID risorsa, che è una stringa che rappresenta il nome completo CryptoKeyVersion. Gli ID risorsa sono gerarchici, simili a quelli di un percorso del file system. L'ID risorsa di una chiave contiene anche informazioni sul keyring e sulla posizione.

Oggetto Formato ID risorsa
Keyring projects/project-id/locations/location/keyRings/keyring
Chiave projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key
Versione chiave projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key/cryptoKeyVersions/version
Connessione EKM projects/project-id/locations/location/ekmConnections/ekmConnection

Per saperne di più, consulta Ottenere un ID risorsa Cloud KMS.

Organizzazione delle risorse

Quando pianifichi l'organizzazione delle risorse nel progetto Google Cloud, tieni conto delle regole aziendali e di come gestisci l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi di un keyring o a tutte le chiavi di un progetto. I seguenti pattern organizzativi sono comuni:

  • In base all'ambiente, come prod, test e develop.
  • Per area di lavoro, ad esempio payroll o insurance_claims.
  • In base alla sensibilità o alle caratteristiche dei dati, come unrestricted, restricted, confidential, top-secret.

Cicli di vita delle risorse

Impossibile eliminare keyring, chiavi e versioni. Ciò garantisce che l'identificatore di risorsa della versione della chiave sia univoco e rimandi sempre al materiale della chiave originale per quella versione della chiave. Puoi memorizzare un numero illimitato di keyring e delle chiavi abilitate o disabilitate. Per ulteriori informazioni, consulta le sezioni Prezzi e Quote.

Per informazioni su come eliminare o ripristinare una versione della chiave, vedi Eliminare e ripristinare le versioni della chiave.

Se pianifichi l'arresto di un progetto Google Cloud, non potrai accedere alle risorse del progetto, incluse le risorse di Cloud KMS, a meno che non recuperi il progetto seguendo i passaggi per ripristinare un progetto.

Passaggi successivi