Cloud KMS mit anderen Produkten verwenden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Thema enthält Informationen zur Verwendung von Cloud KMS-Schlüsseln in Google Cloud-Diensten, die Integrationen in Cloud KMS anbieten. Diese Dienste fallen im Allgemeinen in eine der folgenden Kategorien:

  • Mit einer vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) können Sie ruhende Daten in diesem Dienst mit einem Cloud KMS-Schlüssel verschlüsseln, der Ihnen gehört und verwaltet. Mit einem CMEK-Schlüssel geschützte Daten können ohne Zugriff auf diesen Schlüssel nicht entschlüsselt werden.

  • Ein CMEK-kompatibler Dienst speichert Daten entweder nicht oder nur für einen kurzen Zeitraum, z. B. während der Batch-Verarbeitung. Diese Daten werden mit einem sitzungsspezifischen Schlüssel verschlüsselt, der nur im Arbeitsspeicher vorhanden ist und niemals auf das Laufwerk geschrieben wird. Wenn die Daten nicht mehr benötigt werden, wird der sitzungsspezifische Schlüssel aus dem Speicher gelöscht und es kann nicht mehr auf die Daten zugegriffen werden. Die Ausgabe eines CMEK-kompatiblen Dienstes kann in einem Dienst gespeichert werden, der in CMEK integriert ist, z. B. Cloud Storage.

  • Ihre Anwendungen können Cloud KMS auf andere Weise verwenden. Sie können beispielsweise Anwendungsdaten direkt verschlüsseln, bevor Sie sie übertragen oder speichern.

Weitere Informationen zum Schutz inaktiver Daten in Google Cloud und zur Funktionsweise von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).

CMEK-Integrationen

Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden

In den folgenden Schritten wird Secret Manager als Beispiel verwendet. Die genauen Schritte zur Verwendung eines Cloud KMS-CMEK-Schlüssels in einem bestimmten Dienst finden Sie in der Liste der CMEK-integrierten Dienste.

In Secret Manager können Sie ruhende Daten mit einem CMEK schützen.

  1. Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.

    Zum Secret Manager

  2. Klicken Sie auf Secret erstellen, um ein Secret zu erstellen.

  3. Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.

  4. Führen Sie im Feld Verschlüsselungsschlüssel die folgenden Schritte aus:

    1. Optional: So verwenden Sie einen Schlüssel in einem anderen Projekt:

      1. Klicken Sie auf Projekt wechseln.
      2. Geben Sie den Projektnamen ganz oder teilweise in die Suchleiste ein und wählen Sie das Projekt aus.
      3. Klicken Sie auf Auswählen, um die verfügbaren Schlüssel für das ausgewählte Projekt aufzurufen.
    2. Optional: Geben Sie Suchbegriffe in die Filterleiste ein, um verfügbare Schlüssel nach Standort, Schlüsselbund, Name oder Schutzniveau zu filtern.

    3. Wählen Sie einen Schlüssel aus der Liste der verfügbaren Schlüssel im ausgewählten Projekt aus. Sie können den angezeigten Standort, den Schlüsselbund und die Details der Schutzstufe verwenden, um den richtigen Schlüssel auszuwählen.

    4. Wenn der Schlüssel, den Sie verwenden möchten, nicht in der Liste angezeigt wird, klicken Sie auf Schlüssel manuell eingeben und geben Sie die Ressourcen-ID des Schlüssels ein

  5. Schließen Sie die Konfiguration des Secrets ab und klicken Sie auf Secret erstellen. Secret Manager erstellt das Secret und verschlüsselt es mit dem angegebenen CMEK-Schlüssel.

Liste der CMEK-integrierten Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die in Cloud KMS für Schlüssel für Software und Hardware (HSM) eingebunden werden können. Informationen zu Produkten, die mit externen Cloud EKM-Schlüsseln in Cloud KMS eingebunden werden, finden Sie unter Dienste, die CMEK mit Cloud EKM unterstützen.

Dienst Durch CMEK geschützt Topic
AI Platform Training Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Vertex AI Mit Ressourcen verknüpfte Daten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Artifact Registry Daten in Repositories Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren
BigQuery Daten in BigQuery Daten mit Cloud KMS-Schlüsseln schützen
Cloud Bigtable Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud Composer Umgebungsdaten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Functions Daten in Cloud Functions Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Data Fusion Umgebungsdaten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Run Container-Image Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud SQL verwenden
Compute Engine Daten auf VM-Laufwerken Ressourcen mit Cloud KMS-Schlüsseln schützen
Google Kubernetes Engine Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Google Kubernetes Engine Secrets auf Anwendungsebene Verschlüsselung von Secrets auf Anwendungsebene
Database Migration Service Daten, die in Datenbanken geschrieben werden Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dataflow Pipeline-Zustandsdaten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dataproc Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel
Dataproc Metastore Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Datastream Daten während der Übertragung Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Grafik: Dialogflow CX Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Google Distributed Cloud Edge Daten auf Edge-Knoten Lokale Speichersicherheit
Document AI Inaktive Daten und Daten in Verwendung Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Eventarc Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Filestore Inaktive Daten Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Cloud Logging Daten im Log Router Schlüssel zum Schutz von Log Router-Daten verwalten
Cloud Logging Daten im Logging-Speicher Schlüssel zum Schutz von Logging-Speicherdaten verwalten
Memorystore for Redis Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Pub/Sub Mit Themen verknüpfte Daten Nachrichtenverschlüsselung konfigurieren
Cloud Spanner Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud SQL Daten, die in Datenbanken geschrieben werden Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Storage Daten in Storage-Buckets Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Secret Manager Secret-Nutzlasten Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) aktivieren
Sprecher-ID (eingeschränkte Verfügbarkeit) Inaktive Daten Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Von Vertex AI Workbench verwaltete Notebooks Inaktive Nutzerdaten Vom Kunden verwaltete Verschlüsselungsschlüssel
Vertex AI Workbench: Nutzerverwaltete Notebooks Daten auf VM-Laufwerken Vom Kunden verwaltete Verschlüsselungsschlüssel

CMEK-kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEKs) verwenden, da sie keine Daten langfristig speichern. Weitere Informationen dazu, warum diese Dienste als CMEK gelten, finden Sie unter CMEK.

Andere Integrationen in Cloud KMS

In diesen Themen werden andere Möglichkeiten zur Verwendung von Cloud KMS mit anderen Google Cloud-Diensten erläutert.

Produkt Topic
Beliebiger Dienst Anwendungsdaten verschlüsseln, bevor sie übertragen oder gespeichert werden
Cloud Build Ressourcen verschlüsseln, bevor sie einem Build hinzugefügt werden