Dieses Thema enthält eine Liste der Google Cloud-Dienste, die eine Integration in Cloud KMS ermöglichen. Diese Dienste fallen im Allgemeinen in eine der folgenden Kategorien:
Mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) können Sie die inaktiven Daten dieses Dienstes mit einem Cloud KMS-Schlüssel verschlüsseln, den Sie besitzen und verwalten. Mit einem CMEK-Schlüssel geschützte Daten können ohne Zugriff auf diesen Schlüssel nicht entschlüsselt werden.
Ein CMEK-kompatibler Dienst speichert Daten entweder nicht oder nur für einen kurzen Zeitraum, z. B. während der Batch-Verarbeitung. Solche Daten werden mit einem sitzungsspezifischen Schlüssel verschlüsselt, der nur im Speicher vorhanden ist und nie auf die Festplatte geschrieben wird. Wenn die Daten nicht mehr benötigt werden, wird der sitzungsspezifische Schlüssel aus dem Speicher gelöscht und es kann nicht mehr auf die Daten zugegriffen werden. Die Ausgabe eines CMEK-kompatiblen Dienstes kann in einem Dienst gespeichert werden, der in CMEK integriert ist, z. B. Cloud Storage.
Ihre Anwendungen können Cloud KMS auf andere Weise verwenden. Sie können beispielsweise Anwendungsdaten direkt verschlüsseln, bevor Sie sie übertragen oder speichern.
Weitere Informationen zum Schutz von Daten im Ruhezustand in Google Cloud und zur Funktionsweise vom Kunden verwalteter Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
CMEK-Integrationen
CMEK-kompatible Dienste
Dienst | Topic |
---|---|
Cloud Build | CMEK-Compliance in Cloud Build |
Container Registry | Mit CMEK geschützten Storage-Bucket verwenden |
Cloud Vision | CMEK-Compliance in Vision API |
Andere Integrationen in Cloud KMS
In diesen Themen werden andere Möglichkeiten zur Verwendung von Cloud KMS mit anderen Google Cloud-Diensten erläutert.
Produkt | Topic |
---|---|
Beliebiger Dienst | Anwendungsdaten verschlüsseln, bevor sie übertragen oder gespeichert werden |
Cloud Build | Ressourcen verschlüsseln, bevor sie einem Build hinzugefügt werden |