将 Cloud KMS 与其他产品搭配使用

本主题提供可与 Cloud KMS 集成的 Google Cloud 服务的列表。这些服务通常属于以下类别之一:

  • 借助客户管理的加密密钥 (CMEK) 集成,您可以使用自己拥有和管理的 Cloud KMS 密钥来加密该服务的静态数据。对于使用 CMEK 密钥保护的数据,必须访问该密钥才能解密。

  • 兼容 CMEK 的服务不存储数据,或者仅短时间存储数据,例如在批处理期间。此类数据使用仅存在于内存中且从不写入磁盘的临时密钥进行加密。当不再需要这些数据时,系统会从内存中清空临时密钥,并且无法再次访问数据。兼容 CMEK 的服务的输出可能存储在与 CMEK 集成的服务中,例如 Cloud Storage。

  • 您的应用可以以其他方式使用 Cloud KMS。例如,您可以在传输或存储数据之前直接加密应用数据。

如需详细了解如何保护 Google Cloud 中的静态数据以及客户管理的加密密钥 (CMEK) 的工作原理,请参阅客户管理的加密密钥 (CMEK)

CMEK 集成

服务 使用 CMEK 保护 主题
AI Platform Training 虚拟机磁盘上的数据 使用客户管理的加密密钥
BigQuery BigQuery 中的数据 使用 Cloud KMS 密钥保护数据
Compute Engine 虚拟机磁盘上的数据 使用 Cloud KMS 密钥保护资源
Google Kubernetes Engine 虚拟机磁盘上的数据、应用层 Secret 使用客户管理的加密密钥 (CMEK)应用层 Secret 加密
数据流 流水线状态数据 使用客户管理的加密密钥
Dataproc 虚拟机磁盘上的数据 客户管理的加密密钥
Cloud Logging Logging 数据 为日志路由器启用客户管理的加密密钥
发布/订阅 与主题关联的数据 配置消息加密
Cloud SQL 写入数据库的数据 使用客户管理的加密密钥
Cloud Storage 存储分区中的数据 使用客户管理的加密密钥

兼容 CMEK 的服务

服务 主题
Cloud Build Cloud Build 中的 CMEK 合规性
Container Registry 使用受 CMEK 保护的存储分区
Cloud Vision Vision API 中的 CMEK 合规性

与 Cloud KMS 的其他集成

这些主题讨论将 Cloud KMS 与其他 Google Cloud 服务搭配使用的其他方法。

产品 主题
任意服务 在传输或存储应用数据之前加密应用数据
Cloud Build 在添加到构建之前对资源进行加密