本页介绍了如何在其他 Google Cloud 服务中使用 Cloud KMS 客户管理的加密密钥来保护您的资源。如需了解详情,请参阅客户管理的加密密钥 (CMEK)。
如果一项服务支持 CMEK,则称它具有 CMEK 集成。某些服务(例如 GKE)具有多个 CMEK 集成,可保护与该服务相关的不同类型的数据。如需查看具有 CMEK 集成的服务的列表,请参阅本页中的为受支持的服务启用 CMEK。
准备工作
您必须先拥有一个包含 Cloud KMS 密钥的项目资源,然后才能在其他 Google Cloud 服务中使用 Cloud KMS 密钥。我们建议您为 Cloud KMS 资源使用一个不包含任何其他 Google Cloud 资源的单独项目。
CMEK 集成
准备启用 CMEK 集成
如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。您可以在本页的为受支持的服务启用 CMEK部分找到指向每项服务的 CMEK 文档的链接。对于每项服务,您可能会遵循类似以下的步骤:
创建密钥环或选择现有密钥环。密钥环应尽可能地理位置靠近您要保护的资源。
在所选密钥环中,创建密钥或选择现有密钥。确保密钥的保护级别、用途和算法适合您要保护的资源。此密钥是 CMEK 密钥。
获取 CMEK 密钥的资源 ID。您稍后需要使用此资源 ID。
将 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) 授予该服务的服务账号。
创建密钥并分配所需权限后,您可以创建或配置服务以使用 CMEK 密钥。
将 Cloud KMS 密钥与集成 CMEK 的服务搭配使用
以下步骤以 Secret Manager 为例。如需了解在给定服务中使用 Cloud KMS CMEK 密钥的确切步骤,请在集成 CMEK 的服务列表中找到该服务。
在 Secret Manager 中,您可以使用 CMEK 来保护静态数据。
在 Google Cloud 控制台中,转到 Secret Manager 页面。
如需创建 Secret,请点击创建 Secret。
在加密部分中,选择使用客户管理的加密密钥 (CMEK)。
在加密密钥框中,执行以下操作:
可选:如需在其他项目中使用密钥,请执行以下操作:
- 点击切换项目。
- 在搜索栏中输入项目名称的全部或部分内容,然后选择相应项目。
- 如需查看所选项目的可用密钥,请点击选择。
可选:如需按位置、密钥环、名称或保护级别过滤可用密钥,请在 中输入搜索字词。 过滤栏
从所选项目中的可用密钥列表中选择一个密钥。 您可以根据显示的位置、密钥环和保护级别详细信息,确保选择正确的密钥。
如果要使用的密钥未显示在列表中,请点击手动输入密钥,然后输入密钥的资源 ID
完成密钥配置,然后点击创建密钥。 Secret Manager 会创建 Secret 并使用指定的 CMEK 密钥对其进行加密。
为受支持的服务启用 CMEK
如需启用 CMEK,请先在下表中找到所需服务。您可以在该字段中输入搜索字词以过滤表格。此列表中的所有服务都支持软件和硬件 (HSM) 密钥。使用外部 Cloud EKM 密钥时与 Cloud KMS 集成的产品会显示在 EKM 受支持列中。
请按照您要为哪些服务启用 CMEK 密钥的说明操作。
服务 | 使用 CMEK 保护 | 支持 EKM | 主题 |
---|---|---|---|
客服助手 | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
AI Platform Training | 虚拟机磁盘上的数据 | 否 | 使用客户管理的加密密钥 |
AlloyDB for PostgreSQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
反洗钱 AI | AML AI 实例资源中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) 加密数据 |
Apigee | 静态数据 | 否 | CMEK 简介 |
Apigee API Hub | 静态数据 | 是 | 加密 |
Application Integration | 写入数据库以实现应用集成的数据 | 否 | 使用客户管理的加密密钥 |
Artifact Registry | 代码库中的数据 | 是 | 启用客户管理的加密密钥 |
Backup for GKE | Backup for GKE 中的数据 | 是 | Backup for GKE CMEK 加密简介 |
BigQuery | BigQuery 中的数据 | 是 | 使用 Cloud KMS 密钥保护数据 |
Bigtable | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Cloud Composer | 环境数据 | 是 | 使用客户管理的加密密钥 |
Cloud Data Fusion | 环境数据 | 是 | 使用客户管理的加密密钥 |
Cloud Healthcare API | Cloud Healthcare API 数据集 | 是 | 使用客户管理的加密密钥 (CMEK) |
Cloud Logging | 日志路由器中的数据 | 是 | 管理用于保护日志路由器数据的密钥 |
Cloud Logging | 日志记录存储中的数据 | 是 | 管理用于保护 Logging 存储数据的密钥 |
Cloud Run | 容器映像 | 是 | 搭配使用客户管理的加密密钥与 Cloud Run |
Cloud Run functions | Cloud Run 函数中的数据 | 是 | 使用客户管理的加密密钥 |
Cloud SQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
Cloud Storage | 存储分区中的数据 | 是 | 使用客户管理的加密密钥 |
Cloud Tasks | 任务正文和标头(处于休息状态) | 是 | 使用客户管理的加密密钥 |
Cloud Workstations | 虚拟机磁盘上的数据 | 是 | 加密工作站资源 |
Colab Enterprise | 运行时和笔记本文件 | 否 | 使用客户管理的加密密钥 |
Compute Engine | 永久性磁盘 | 是 | 使用 Cloud KMS 密钥保护资源 |
Compute Engine | 快照 | 是 | 使用 Cloud KMS 密钥保护资源 |
Compute Engine | 自定义映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
Compute Engine | 机器映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
对话分析洞见 | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Database Migration Service 同构迁移 | MySQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Database Migration Service 同构迁移 | PostgreSQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Database Migration Service 同构迁移 | 从 PostgreSQL 迁移到 AlloyDB - 写入数据库的数据 | 是 | CMEK 简介 |
Database Migration Service 异构迁移 | Oracle 到 PostgreSQL 的静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) 进行持续迁移 |
Dataflow | 流水线状态数据 | 是 | 使用客户管理的加密密钥 |
Dataform | 代码库中的数据 | 是 | 使用客户管理的加密密钥 |
Dataproc | 虚拟机磁盘上的数据 | 是 | 客户管理的加密密钥 |
Dataproc | 虚拟机磁盘上的数据 | 是 | 客户管理的加密密钥 |
Dataproc Metastore | 静态数据 | 是 | 使用客户管理的加密密钥 |
Datastream | 传输中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) |
Dialogflow CX | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Document AI | 静态数据和使用中的数据 | 是 | 客户管理的加密密钥 (CMEK) |
Eventarc Advanced(预览版) | 静态数据 | 否 | 使用客户管理的加密密钥 (CMEK) |
Eventarc Standard | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Filestore | 静态数据 | 是 | 使用客户管理的加密密钥加密数据 |
Firestore | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Google Cloud Managed Service for Apache Kafka | 与主题关联的数据 | 是 | 配置消息加密 |
Google Cloud NetApp Volumes | 静态数据 | 否 | 创建 CMEK 政策 |
Google Distributed Cloud | 边缘节点上的数据 | 是 | 本地存储空间安全 |
Google Kubernetes Engine | 虚拟机磁盘上的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Google Kubernetes Engine | 应用层 Secret | 是 | 应用层 Secret 加密 |
Looker (Google Cloud Core) | 静态数据 | 是 | 为 Looker (Google Cloud Core) 启用 CMEK |
Memorystore for Redis | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Migrate to Virtual Machines | 从 VMware、AWS 和 Azure VM 来源迁移的数据 | 是 | 使用 CMEK 加密迁移期间存储的数据 |
Migrate to Virtual Machines | 从磁盘和机器映像来源迁移的数据 | 是 | 使用 CMEK 加密目标磁盘和机器映像上的数据 |
Pub/Sub | 与主题关联的数据 | 是 | 配置消息加密 |
Secret Manager | Secret 载荷 | 是 | 为 Secret Manager 启用客户管理的加密密钥 |
Secure Source Manager | 实例 | 是 | 使用客户管理的加密密钥加密数据 |
Spanner | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Speaker ID(受限正式版) | 静态数据 | 是 | 使用客户管理的加密密钥 |
Speech-to-Text | 静态数据 | 是 | 使用客户管理的加密密钥 |
Vertex AI | 与资源关联的数据 | 是 | 使用客户管理的加密密钥 |
Vertex AI Agent Builder | 静态数据 | 否 | 客户管理的加密密钥 |
Vertex AI Workbench 代管式笔记本 | 静态用户数据 | 否 | 客户管理的加密密钥 |
Vertex AI Workbench 用户管理的笔记本 | 虚拟机磁盘上的数据 | 否 | 客户管理的加密密钥 |
Vertex AI Workbench 实例 | 虚拟机磁盘上的数据 | 是 | 客户管理的加密密钥 |
Workflows | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |