在 Google Cloud 中使用 Cloud KMS 密钥

本页介绍了如何在其他 Google Cloud 服务中使用 Cloud KMS 客户管理的加密密钥来保护您的资源。如需了解详情,请参阅客户管理的加密密钥 (CMEK)

如果一项服务支持 CMEK,则称它具有 CMEK 集成。某些服务(例如 GKE)具有多个 CMEK 集成,可保护与该服务相关的不同类型的数据。如需查看具有 CMEK 集成的服务的列表,请参阅本页中的为受支持的服务启用 CMEK

准备工作

您必须先拥有一个包含 Cloud KMS 密钥的项目资源,然后才能在其他 Google Cloud 服务中使用 Cloud KMS 密钥。我们建议您为 Cloud KMS 资源使用一个不包含任何其他 Google Cloud 资源的单独项目。

CMEK 集成

准备启用 CMEK 集成

如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。您可以在本页的为受支持的服务启用 CMEK部分找到指向每项服务的 CMEK 文档的链接。对于每项服务,您可能会遵循类似以下的步骤:

  1. 创建密钥环或选择现有密钥环。密钥环应尽可能地理位置靠近您要保护的资源。

  2. 在所选密钥环中,创建密钥或选择现有密钥。确保密钥的保护级别、用途和算法适合您要保护的资源。此密钥是 CMEK 密钥。

  3. 获取 CMEK 密钥的资源 ID。您稍后需要使用此资源 ID。

  4. 将 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予该服务的服务账号。

创建密钥并分配所需权限后,您可以创建或配置服务以使用 CMEK 密钥。

将 Cloud KMS 密钥与集成 CMEK 的服务搭配使用

以下步骤以 Secret Manager 为例。如需了解在给定服务中使用 Cloud KMS CMEK 密钥的确切步骤,请在集成 CMEK 的服务列表中找到该服务。

在 Secret Manager 中,您可以使用 CMEK 来保护静态数据。

  1. 在 Google Cloud 控制台中,转到 Secret Manager 页面。

    转到 Secret Manager

  2. 如需创建 Secret,请点击创建 Secret

  3. 加密部分中,选择使用客户管理的加密密钥 (CMEK)

  4. 加密密钥框中,执行以下操作:

    1. 可选:如需在其他项目中使用密钥,请执行以下操作:

      1. 点击切换项目
      2. 在搜索栏中输入项目名称的全部或部分内容,然后选择相应项目。
      3. 如需查看所选项目的可用密钥,请点击选择
    2. 可选:如需按位置、密钥环、名称或保护级别过滤可用密钥,请在 过滤栏中输入搜索字词。

    3. 从所选项目中的可用密钥列表中选择一个密钥。 您可以根据显示的位置、密钥环和保护级别详细信息,确保选择正确的密钥。

    4. 如果要使用的密钥未显示在列表中,请点击手动输入密钥,然后输入密钥的资源 ID

  5. 完成密钥配置,然后点击创建密钥。 Secret Manager 会创建 Secret 并使用指定的 CMEK 密钥对其进行加密。

为受支持的服务启用 CMEK

如需启用 CMEK,请先在下表中找到所需服务。您可以在该字段中输入搜索字词以过滤表格。此列表中的所有服务都支持软件和硬件 (HSM) 密钥。使用外部 Cloud EKM 密钥时与 Cloud KMS 集成的产品会显示在 EKM 受支持列中。

请按照您要为哪些服务启用 CMEK 密钥的说明操作。

服务 使用 CMEK 保护 支持 EKM 主题
客服助手 静态数据 客户管理的加密密钥 (CMEK)
AI Platform Training 虚拟机磁盘上的数据 使用客户管理的加密密钥
AlloyDB for PostgreSQL 写入数据库的数据 使用客户管理的加密密钥
反洗钱 AI AML AI 实例资源中的数据 使用客户管理的加密密钥 (CMEK) 加密数据
Apigee 静态数据 CMEK 简介
Apigee API Hub 静态数据 加密
Application Integration 写入数据库以实现应用集成的数据 使用客户管理的加密密钥
Artifact Registry 代码库中的数据 启用客户管理的加密密钥
Backup for GKE Backup for GKE 中的数据 Backup for GKE CMEK 加密简介
BigQuery BigQuery 中的数据 使用 Cloud KMS 密钥保护数据
Bigtable 静态数据 客户管理的加密密钥 (CMEK)
Cloud Composer 环境数据 使用客户管理的加密密钥
Cloud Data Fusion 环境数据 使用客户管理的加密密钥
Cloud Healthcare API Cloud Healthcare API 数据集 使用客户管理的加密密钥 (CMEK)
Cloud Logging 日志路由器中的数据 管理用于保护日志路由器数据的密钥
Cloud Logging 日志记录存储中的数据 管理用于保护 Logging 存储数据的密钥
Cloud Run 容器映像 搭配使用客户管理的加密密钥与 Cloud Run
Cloud Run functions Cloud Run 函数中的数据 使用客户管理的加密密钥
Cloud SQL 写入数据库的数据 使用客户管理的加密密钥
Cloud Storage 存储分区中的数据 使用客户管理的加密密钥
Cloud Tasks 任务正文和标头(处于休息状态) 使用客户管理的加密密钥
Cloud Workstations 虚拟机磁盘上的数据 加密工作站资源
Colab Enterprise 运行时和笔记本文件 使用客户管理的加密密钥
Compute Engine 永久性磁盘 使用 Cloud KMS 密钥保护资源
Compute Engine 快照 使用 Cloud KMS 密钥保护资源
Compute Engine 自定义映像 使用 Cloud KMS 密钥保护资源
Compute Engine 机器映像 使用 Cloud KMS 密钥保护资源
对话分析洞见 静态数据 客户管理的加密密钥 (CMEK)
Database Migration Service 同构迁移 MySQL 迁移 - 写入数据库的数据 使用客户管理的加密密钥 (CMEK)
Database Migration Service 同构迁移 PostgreSQL 迁移 - 写入数据库的数据 使用客户管理的加密密钥 (CMEK)
Database Migration Service 同构迁移 从 PostgreSQL 迁移到 AlloyDB - 写入数据库的数据 CMEK 简介
Database Migration Service 异构迁移 Oracle 到 PostgreSQL 的静态数据 使用客户管理的加密密钥 (CMEK) 进行持续迁移
Dataflow 流水线状态数据 使用客户管理的加密密钥
Dataform 代码库中的数据 使用客户管理的加密密钥
Dataproc 虚拟机磁盘上的数据 客户管理的加密密钥
Dataproc 虚拟机磁盘上的数据 客户管理的加密密钥
Dataproc Metastore 静态数据 使用客户管理的加密密钥
Datastream 传输中的数据 使用客户管理的加密密钥 (CMEK)
Dialogflow CX 静态数据 客户管理的加密密钥 (CMEK)
Document AI 静态数据和使用中的数据 客户管理的加密密钥 (CMEK)
Eventarc Advanced(预览版 静态数据 使用客户管理的加密密钥 (CMEK)
Eventarc Standard 静态数据 使用客户管理的加密密钥 (CMEK)
Filestore 静态数据 使用客户管理的加密密钥加密数据
Firestore 静态数据 使用客户管理的加密密钥 (CMEK)
Google Cloud Managed Service for Apache Kafka 与主题关联的数据 配置消息加密
Google Cloud NetApp Volumes 静态数据 创建 CMEK 政策
Google Distributed Cloud 边缘节点上的数据 本地存储空间安全
Google Kubernetes Engine 虚拟机磁盘上的数据 使用客户管理的加密密钥 (CMEK)
Google Kubernetes Engine 应用层 Secret 应用层 Secret 加密
Looker (Google Cloud Core) 静态数据 为 Looker (Google Cloud Core) 启用 CMEK
Memorystore for Redis 静态数据 客户管理的加密密钥 (CMEK)
Migrate to Virtual Machines 从 VMware、AWS 和 Azure VM 来源迁移的数据 使用 CMEK 加密迁移期间存储的数据
Migrate to Virtual Machines 从磁盘和机器映像来源迁移的数据 使用 CMEK 加密目标磁盘和机器映像上的数据
Pub/Sub 与主题关联的数据 配置消息加密
Secret Manager Secret 载荷 为 Secret Manager 启用客户管理的加密密钥
Secure Source Manager 实例 使用客户管理的加密密钥加密数据
Spanner 静态数据 客户管理的加密密钥 (CMEK)
Speaker ID(受限正式版) 静态数据 使用客户管理的加密密钥
Speech-to-Text 静态数据 使用客户管理的加密密钥
Vertex AI 与资源关联的数据 使用客户管理的加密密钥
Vertex AI Agent Builder 静态数据 客户管理的加密密钥
Vertex AI Workbench 代管式笔记本 静态用户数据 客户管理的加密密钥
Vertex AI Workbench 用户管理的笔记本 虚拟机磁盘上的数据 客户管理的加密密钥
Vertex AI Workbench 实例 虚拟机磁盘上的数据 客户管理的加密密钥
Workflows 静态数据 使用客户管理的加密密钥 (CMEK)