Cloud KMS mit anderen Produkten verwenden

Dieses Thema enthält eine Liste der Google Cloud-Dienste, die eine Integration in Cloud KMS ermöglichen. Diese Dienste fallen im Allgemeinen in eine der folgenden Kategorien:

  • Mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) können Sie die inaktiven Daten dieses Dienstes mit einem Cloud KMS-Schlüssel verschlüsseln, den Sie besitzen und verwalten. Mit einem CMEK-Schlüssel geschützte Daten können ohne Zugriff auf diesen Schlüssel nicht entschlüsselt werden.

  • Ein CMEK-kompatibler Dienst speichert Daten entweder nicht oder nur für einen kurzen Zeitraum, z. B. während der Batch-Verarbeitung. Solche Daten werden mit einem sitzungsspezifischen Schlüssel verschlüsselt, der nur im Speicher vorhanden ist und nie auf die Festplatte geschrieben wird. Wenn die Daten nicht mehr benötigt werden, wird der sitzungsspezifische Schlüssel aus dem Speicher gelöscht und es kann nicht mehr auf die Daten zugegriffen werden. Die Ausgabe eines CMEK-kompatiblen Dienstes kann in einem Dienst gespeichert werden, der in CMEK integriert ist, z. B. Cloud Storage.

  • Ihre Anwendungen können Cloud KMS auf andere Weise verwenden. Sie können beispielsweise Anwendungsdaten direkt verschlüsseln, bevor Sie sie übertragen oder speichern.

Weitere Informationen zum Schutz von Daten im Ruhezustand in Google Cloud und zur Funktionsweise vom Kunden verwalteter Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).

CMEK-Integrationen

Dienst Durch CMEK geschützt Topic
AI Platform Training Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Notebooks Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Vertex AI Zu Ressourcen gehörige Daten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Artifact Registry Daten in Repositories Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren
BigQuery Daten in BigQuery Daten mit Cloud KMS-Schlüsseln schützen
Cloud Bigtable Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud Composer Umgebungsdaten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Run Container-Image Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud Run verwenden
Compute Engine Daten auf VM-Laufwerken Ressourcen mit Cloud KMS-Schlüsseln schützen
Google Kubernetes Engine Daten auf VM-Laufwerken, Secrets auf Anwendungsebene Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden Verschlüsselung von Secrets auf Anwendungsebene
Dataflow Pipeline-Zustandsdaten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dataproc Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel
Dialogflow CX Alle inaktiven Daten und aktiven Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud Logging Logging von Daten Vom Kunden verwaltete Verschlüsselungsschlüssel für Logs Router aktivieren
Pub/Sub Mit Themen verknüpfte Daten Nachrichtenverschlüsselung konfigurieren
Cloud Spanner Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud SQL Daten, die in Datenbanken geschrieben werden Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Storage Daten in Storage-Buckets Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Secret Manager Secret-Nutzlasten Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren

CMEK-kompatible Dienste

Dienst Topic
Cloud Build CMEK-Compliance in Cloud Build
Container Registry Mit CMEK geschützten Storage-Bucket verwenden
Cloud Vision CMEK-Compliance in Vision API

Andere Integrationen in Cloud KMS

In diesen Themen werden andere Möglichkeiten zur Verwendung von Cloud KMS mit anderen Google Cloud-Diensten erläutert.

Produkt Topic
Beliebiger Dienst Anwendungsdaten verschlüsseln, bevor sie übertragen oder gespeichert werden
Cloud Build Ressourcen verschlüsseln, bevor sie einem Build hinzugefügt werden