本页面介绍了如何使用 Cloud KMS 客户管理的加密 密钥来保护您的资源。有关 相关信息,请参阅客户管理的加密密钥 (CMEK)。
当某项服务支持 CMEK 时,可以说它具有 CMEK 集成。GKE 等一些服务 CMEK 集成,用于保护与服务相关的不同类型的数据。 如需查看具有 CMEK 集成的服务列表,请参阅为受支持的 CMEK 启用 CMEK 服务。
准备工作
您必须先完成以下事项,然后才能在其他 Google Cloud 服务中使用 Cloud KMS 密钥: 您必须拥有项目资源才能包含 Cloud KMS 密钥。周三 建议您为 Cloud KMS 资源单独使用 不包含任何其他 Google Cloud 资源。
CMEK 集成
准备启用 CMEK 集成
如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。您可以找到指向以下 CMEK 文档的链接 在为受支持的服务启用 CMEK 部分中所述的 此页面。对于每项服务,您可以遵循与 以下:
创建密钥环或选择现有密钥 响铃。密钥环应位于尽可能接近 您要保护的资源
在所选密钥环中,创建密钥或选择 现有密钥。确保保护级别、用途和算法 适用于您要保护的资源。此钥匙 是 CMEK 密钥。
获取 CMEK 的资源 ID 键。 您稍后需要用到此资源 ID。
授予 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) 复制到 服务账号。
创建密钥并分配所需的权限后,您可以 创建或配置服务以使用您的 CMEK 密钥。
将 Cloud KMS 密钥与 CMEK 集成的服务搭配使用
以下步骤以 Secret Manager 为例。对于确切的 在给定服务中使用 Cloud KMS CMEK 密钥的步骤,找到该密钥, 服务(位于 CMEK 集成服务列表中)。
在 Secret Manager 中,您可以使用 CMEK 来保护静态数据。
在 Google Cloud 控制台中,转到 Secret Manager 页面。
如需创建 Secret,请点击创建 Secret。
在加密部分中,选择使用客户管理的加密 密钥 (CMEK)。
在加密密钥框中,执行以下操作:
可选:如需在其他项目中使用密钥,请执行以下操作:
- 点击 Switch project。
- 在搜索栏中输入项目的完整或部分名称,然后选择 项目。
- 如需查看所选项目的可用密钥,请点击选择。
可选:按位置、密钥环、名称或 保护级别,请在 。 过滤栏
从所选项目的可用密钥列表中选择一个密钥。 您可以使用显示的位置、密钥环和保护级别 以确保选择正确的密钥。
如果您要使用的密钥未显示在列表中,请点击 Enter 键 手动输入密钥,然后输入 特定资源的资源 ID 密钥
完成密钥配置,然后点击创建密钥。 Secret Manager 会创建 Secret 并使用 指定的 CMEK 密钥。
为受支持的服务启用 CMEK
如需启用 CMEK,请先在下表中找到所需的服务。您可以 请在字段中输入搜索字词以过滤表格。此列表中的所有服务 支持软件和硬件 (HSM) 密钥。可与以下产品集成的产品: Cloud KMS(使用外部 Cloud EKM 密钥时) 支持 EKM 列中会显示相应信息。
按照您要启用 CMEK 密钥的每项服务的说明操作。
服务 | 使用 CMEK 保护 | 支持 EKM | 主题 |
---|---|---|---|
AI Platform Training | 虚拟机磁盘上的数据 | 否 | 使用客户管理的加密密钥 |
AlloyDB for PostgreSQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
反洗钱 AI | AML AI 实例资源中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) 对数据进行加密 |
Application Integration | 写入数据库以进行应用集成的数据 | 否 | 使用客户管理的加密密钥 |
Artifact Registry | 代码库中的数据 | 是 | 启用客户管理的加密密钥 |
Backup for GKE | Backup for GKE 中的数据 | 是 | Backup for GKE CMEK 加密简介 |
BigQuery | BigQuery 中的数据 | 是 | 使用 Cloud KMS 密钥保护数据 |
Bigtable | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Cloud Composer | 环境数据 | 是 | 使用客户管理的加密密钥 |
Cloud Data Fusion | 环境数据 | 是 | 使用客户管理的加密密钥 |
Cloud Functions | Cloud Functions 中的数据 | 是 | 使用客户管理的加密密钥 |
Cloud Healthcare API | Cloud Healthcare API 数据集 | 是 | 使用客户管理的加密密钥 (CMEK) |
Cloud Logging | 日志路由器中的数据 | 是 | 管理用于保护日志路由器数据的密钥 |
Cloud Logging | Logging 存储中的数据 | 是 | 管理用于保护 Logging 存储数据的密钥 |
Cloud Run | 容器映像 | 是 | 搭配使用 CMEK 与 Cloud Run |
Cloud SQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
Cloud Storage | 存储分区中的数据 | 是 | 使用客户管理的加密密钥 |
Cloud Tasks | 静态任务正文和标题 | 是 | 使用客户管理的加密密钥 |
Cloud Workstations | 虚拟机磁盘上的数据 | 是 | 加密工作站资源 |
Colab Enterprise | 运行时 | 否 | 使用客户管理的加密密钥 |
Compute Engine | 永久性磁盘 | 是 | 使用 Cloud KMS 密钥保护资源 |
Compute Engine | 快照 | 是 | 使用 Cloud KMS 密钥保护资源 |
Compute Engine | 自定义映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
Compute Engine | 机器映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
Contact Center AI Insights | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Database Migration Service 同构迁移 | MySQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Database Migration Service 同构迁移 | PostgreSQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Database Migration Service 同构迁移 | 从 PostgreSQL 迁移到 AlloyDB - 写入数据库的数据 | 是 | CMEK 简介 |
Database Migration Service 异构迁移 | 从 Oracle 迁移到 PostgreSQL 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) 进行持续迁移 |
Dataflow | 流水线状态数据 | 是 | 使用客户管理的加密密钥 |
Dataform(预览版) | 代码库中的数据 | 否 | 使用客户管理的加密密钥 |
Dataproc | Dataproc 集群数据位于虚拟机磁盘上 | 是 | 客户管理的加密密钥 |
Dataproc | 虚拟机磁盘上的 Dataproc 无服务器数据 | 是 | 客户管理的加密密钥 |
Dataproc Metastore | 静态数据 | 是 | 使用客户管理的加密密钥 |
Datastream | 传输中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) |
Dialogflow CX | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Document AI | 静态数据和使用中的数据 | 是 | 客户管理的加密密钥 (CMEK) |
Eventarc | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Filestore | 静态数据 | 是 | 使用客户管理的加密密钥来加密数据 |
Firestore(预览版) | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Google Distributed Cloud | Edge 节点上的数据 | 是 | 本地存储安全性 |
Google Kubernetes Engine | 虚拟机磁盘上的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
Google Kubernetes Engine | 应用层 Secret | 是 | 应用层 Secret 加密 |
Looker (Google Cloud Core) | 静态数据 | 是 | 为 Looker (Google Cloud Core) 启用 CMEK |
Memorystore for Redis | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Migrate to Virtual Machines | 从 VMware、AWS 和 Azure 来源迁移的数据 | 是 | 搭配使用客户管理的加密密钥 (CMEK) 与 Migrate to Virtual Machines |
Pub/Sub | 与主题关联的数据 | 是 | 配置消息加密 |
Secret Manager | Secret 载荷 | 是 | 为 Secret Manager 启用客户管理的加密密钥 |
Secure Source Manager | 实例 | 是 | 使用客户管理的加密密钥来加密数据 |
Spanner | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
Speaker ID(受限的 Google Analytics) | 静态数据 | 是 | 使用客户管理的加密密钥 |
Speech-to-Text | 静态数据 | 是 | 使用客户管理的加密密钥 |
Vertex AI | 与资源关联的数据 | 是 | 使用客户管理的加密密钥 |
Vertex AI Agent Builder | 静态数据 | 否 | 客户管理的加密密钥 |
Vertex AI Workbench 代管式笔记本 | 静态用户数据 | 否 | 客户管理的加密密钥 |
Vertex AI Workbench 用户管理的笔记本 | 虚拟机磁盘上的数据 | 否 | 客户管理的加密密钥 |
Vertex AI Workbench 实例 | 虚拟机磁盘上的数据 | 是 | 客户管理的加密密钥 |
Workflows | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |