Cloud KMS-Schlüssel in Google Cloud verwenden

Auf dieser Seite wird erläutert, wie Sie die vom Kunden verwaltete Verschlüsselung mit Cloud KMS verwenden Schlüssel in anderen Google Cloud-Diensten, um Ihre Ressourcen zu sichern. Weitere Informationen Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Wenn ein Dienst CMEK unterstützt, hat er einen CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Eine Liste der Dienste mit CMEK-Integrationen finden Sie unter CMEK für unterstützte auf dieser Seite.

Hinweise

Bevor Sie Cloud KMS-Schlüssel in anderen Google Cloud-Diensten verwenden können, benötigen Sie eine Projektressource, die Ihre Cloud KMS-Schlüssel enthält. Mi. empfehlen, ein separates Projekt für Ihre Cloud KMS-Ressourcen zu verwenden, enthält keine anderen Google Cloud-Ressourcen.

CMEK-Integrationen

Aktivierung der CMEK-Integration vorbereiten

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Es gibt einen Link zur CMEK-Dokumentation für jeden Dienst unter CMEK für unterstützte Dienste aktivieren für auf dieser Seite. Für jeden Dienst können Sie Schritte ausführen, die der Folgendes:

  1. Erstellen Sie einen Schlüsselbund oder wählen Sie einen vorhandenen Schlüssel aus. klingeln. Der Schlüsselbund sollte sich so weit wie möglich in der Nähe von die Sie sichern möchten.

  2. Erstellen Sie einen Schlüssel im ausgewählten Schlüsselbund oder wählen Sie einen vorhandenen Schlüssel. Sicherstellen, dass Schutzniveau, Zweck und Algorithmus als Schlüssel für die Ressourcen, die Sie schützen möchten. Dieser Schlüssel ist der CMEK-Schlüssel.

  3. Ressourcen-ID für den CMEK abrufen Schlüssel. Sie benötigen diese Ressourcen-ID später.

  4. IAM CryptoKey Encrypter/Decrypter zuweisen Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel für den Dienstkonto für den Dienst.

Nachdem Sie den Schlüssel erstellt und die erforderlichen Berechtigungen zugewiesen haben, können Sie Erstellen oder konfigurieren Sie einen Dienst, um Ihren CMEK-Schlüssel zu verwenden.

Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden

In den folgenden Schritten wird Secret Manager als Beispiel verwendet. Um den genauen wie Sie einen Cloud KMS-CMEK-Schlüssel in einem bestimmten Dienst verwenden, Dienst in der Liste der CMEK-integrierten Dienste aufgeführt.

In Secret Manager können Sie einen CMEK verwenden, um ruhende Daten zu schützen.

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zu Secret Manager

  2. Klicken Sie zum Erstellen eines Secrets auf Secret erstellen.

  3. Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwaltete Verschlüsselung verwenden aus. Schlüssel (CMEK).

  4. Führen Sie im Feld Verschlüsselungsschlüssel die folgenden Schritte aus:

    1. Optional: So verwenden Sie einen Schlüssel in einem anderen Projekt:

      1. Klicken Sie auf Projekt wechseln.
      2. Geben Sie den Projektnamen ganz oder teilweise in die Suchleiste ein und wählen Sie für das Projekt.
      3. Klicken Sie auf Auswählen, um die verfügbaren Schlüssel für das ausgewählte Projekt aufzurufen.

    2. Optional: Sie können die verfügbaren Schlüssel nach Standort, Schlüsselbund, Name oder und geben Sie Suchbegriffe in das Feld <ph type="x-smartling-placeholder"></ph> -Filterleiste.

    3. Wählen Sie einen Schlüssel aus der Liste der verfügbaren Schlüssel im ausgewählten Projekt aus. Sie können den angezeigten Standort, den Schlüsselbund und das Schutzniveau verwenden um sicherzustellen, dass Sie den richtigen Schlüssel auswählen.

    4. Wenn der gewünschte Schlüssel nicht in der Liste aufgeführt ist, drücken Sie die Eingabetaste Schlüssel manuell und geben Sie den Ressourcen-ID des Taste

  5. Schließen Sie die Konfiguration des Secrets ab und klicken Sie dann auf Secret erstellen. Secret Manager erstellt das Secret und verschlüsselt es mithilfe der Angegebener CMEK-Schlüssel.

CMEK für unterstützte Dienste aktivieren

Suchen Sie zuerst in der folgenden Tabelle nach dem gewünschten Dienst, um CMEK zu aktivieren. Sie können geben Sie Suchbegriffe in das Feld ein, um die Tabelle zu filtern. Alle Dienste in dieser Liste unterstützen Software- und Hardwareschlüssel (HSM). Produkte, die mit Cloud KMS bei Verwendung externer Cloud EKM-Schlüssel finden Sie in der Spalte Von EKM unterstützt.

Folgen Sie der Anleitung für jeden Dienst, für den Sie CMEK-Schlüssel aktivieren möchten.

Dienst Durch CMEK geschützt EKM-Unterstützung Thema
AI Platform Training Daten auf VM-Laufwerken Nein Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
AlloyDB for PostgreSQL Daten, die in Datenbanken geschrieben werden Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Anti Money Laundering AI Daten in AML AI-Instanzressourcen Nein Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln
Application Integration Daten, die für die Anwendungsintegration in Datenbanken geschrieben werden Nein Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Artifact Registry Daten in Repositories Ja Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren
Sicherung für GKE Daten in Sicherung für GKE Ja CMEK-Verschlüsselung für Sicherung für GKE
BigQuery Daten in BigQuery Ja Daten mit Cloud KMS-Schlüsseln schützen
Bigtable Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud Composer Umgebungsdaten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Data Fusion Umgebungsdaten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Functions Daten in Cloud Functions Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Healthcare API Cloud Healthcare API-Datasets Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Cloud Logging Daten im Logrouter Ja Schlüssel zum Schutz von Log Router-Daten verwalten
Cloud Logging Daten im Logging-Speicher Ja Schlüssel zum Schutz der Speicherdaten in Logging verwalten
Cloud Run Container-Image Ja Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud Run verwenden
Cloud SQL Daten, die in Datenbanken geschrieben werden Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Storage Daten in Storage-Buckets Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Tasks Text und Header der Aufgabe im Ruhezustand Ja Kundenverwaltete Verschlüsselungsschlüssel verwenden
Cloud Workstations Daten auf VM-Laufwerken Ja Workstationressourcen verschlüsseln
Colab Enterprise Laufzeiten Nein Kundenverwaltete Verschlüsselungsschlüssel verwenden
Compute Engine Nichtflüchtige Speicher Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Compute Engine Snapshots Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Compute Engine Benutzerdefinierte Images Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Compute Engine Maschinen-Images Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Contact Center AI Insights Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Homogene Migrationen von Database Migration Service MySQL-Migrationen – Daten werden in Datenbanken geschrieben Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Homogene Migrationen von Database Migration Service PostgreSQL-Migrationen – Daten, die in Datenbanken geschrieben werden Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Homogene Migrationen von Database Migration Service Migrationen von PostgreSQL zu AlloyDB – Daten werden in Datenbanken geschrieben Ja CMEK
Heterogene Migrationen von Database Migration Service Oracle-zu-PostgreSQL-Daten im Ruhezustand Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) für kontinuierliche Migrationen verwenden
Dataflow Pipeline-Zustandsdaten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dataform (Vorschau) Daten in Repositories Nein Kundenverwaltete Verschlüsselungsschlüssel verwenden
Dataproc Dataproc-Clusterdaten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Dataproc Serverlose Dataproc-Daten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Dataproc Metastore Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Datastream Daten während der Übertragung Nein Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dialogflow CX Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Document AI Ruhende und verwendete Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Eventarc Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Filestore Ruhende Daten Ja Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Firestore (Vorschau) Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Google Distributed Cloud Daten auf Edge-Knoten Ja Sicherheit des lokalen Speichers
Google Kubernetes Engine Daten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Google Kubernetes Engine Secrets auf Anwendungsebene Ja Verschlüsselung von Secrets auf Anwendungsebene
Looker (Google Cloud Core) Ruhende Daten Ja CMEK für Looker (Google Cloud Core) aktivieren
Memorystore for Redis Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Migrate to Virtual Machines Aus VMware-, AWS- und Azure-Quellen migrierte Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Migrate to Virtual Machines verwenden
Pub/Sub Mit Themen verknüpfte Daten Ja Nachrichtenverschlüsselung konfigurieren
Secret Manager Secret-Nutzlasten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren
Secure Source Manager Instanzen Ja Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Spanner Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Speaker ID (eingeschränkte GA) Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Speech-to-Text Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Vertex AI Mit Ressourcen verknüpfte Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Vertex AI Agent Builder Ruhende Daten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Von Vertex AI Workbench verwaltete Notebooks Ruhende Nutzerdaten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Vertex AI Workbench: Nutzerverwaltete Notebooks Daten auf VM-Laufwerken Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Vertex AI Workbench-Instanzen Daten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Workflows Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden