在 Google Cloud 中使用 Cloud KMS 密钥

本页面介绍了如何使用 Cloud KMS 客户管理的加密 密钥来保护您的资源。有关 相关信息,请参阅客户管理的加密密钥 (CMEK)

当一项服务支持 CMEK 时,就说它具有 CMEK 集成。某些服务(例如 GKE)具有多个 CMEK 集成,可保护与该服务相关的不同类型的数据。如需查看具有 CMEK 集成的服务列表,请参阅为受支持的 CMEK 启用 CMEK 服务

准备工作

您必须先完成以下事项,然后才能在其他 Google Cloud 服务中使用 Cloud KMS 密钥: 您必须拥有项目资源才能包含 Cloud KMS 密钥。我们建议您为 Cloud KMS 资源使用一个不包含任何其他 Google Cloud 资源的单独项目。

CMEK 集成

准备启用 CMEK 集成

如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。您可以在本页的为受支持的服务启用 CMEK部分找到指向每项服务的 CMEK 文档的链接。对于每项服务,您可能会遵循类似以下的步骤:

  1. 创建密钥环或选择现有密钥环。密钥环应放置在尽可能靠近 您要保护的资源

  2. 在所选密钥环中,创建密钥或选择现有密钥。确保密钥的保护级别、用途和算法适合您要保护的资源。此密钥是 CMEK 密钥。

  3. 获取 CMEK 的资源 ID 键。 您稍后需要使用此资源 ID。

  4. 授予 CryptoKey Encrypter/Decrypter IAM 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter) 复制到 服务账号。

创建密钥并分配所需权限后,您可以创建或配置服务以使用 CMEK 密钥。

将 Cloud KMS 密钥与集成了 CMEK 的服务搭配使用

以下步骤以 Secret Manager 为例。如需了解在给定服务中使用 Cloud KMS CMEK 密钥的确切步骤,请在已集成 CMEK 的服务列表中找到该服务。

在 Secret Manager 中,您可以使用 CMEK 来保护静态数据。

  1. 在 Google Cloud 控制台中,转到 Secret Manager 页面。

    转到 Secret Manager

  2. 如需创建 Secret,请点击创建 Secret

  3. 加密部分,选择使用客户管理的加密 密钥 (CMEK)

  4. 加密密钥框中,执行以下操作:

    1. 可选:如需在其他项目中使用密钥,请执行以下操作:

      1. 点击 Switch project
      2. 在搜索栏中输入项目名称的全部或部分内容,然后选择相应项目。
      3. 如需查看所选项目的可用密钥,请点击选择
    2. 可选:如需按位置、密钥环、名称或保护级别过滤可用密钥,请在 过滤栏中输入搜索字词。

    3. 从所选项目中的可用密钥列表中选择一个密钥。 您可以使用显示的位置、密钥环和保护级别 以确保选择正确的密钥。

    4. 如果要使用的密钥未显示在列表中,请点击手动输入密钥,然后输入密钥的资源 ID

  5. 完成密钥配置,然后点击创建密钥。 Secret Manager 会创建 Secret 并使用 指定的 CMEK 密钥。

为受支持的服务启用 CMEK

如需启用 CMEK,请先在下表中找到所需的服务。您可以 请在字段中输入搜索字词以过滤表格。此列表中的所有服务都支持软件和硬件 (HSM) 密钥。在使用外部 Cloud EKM 密钥时与 Cloud KMS 集成的产品会显示在“支持 EKM”列中。

按照您要启用 CMEK 密钥的每项服务的说明操作。

服务 使用 CMEK 保护 支持 EKM 主题
客服助手 静态数据 客户管理的加密密钥 (CMEK)
AI Platform Training 虚拟机磁盘上的数据 使用客户管理的加密密钥
AlloyDB for PostgreSQL 写入数据库的数据 使用客户管理的加密密钥
反洗钱 AI AML AI 实例资源中的数据 使用客户管理的加密密钥 (CMEK) 加密数据
Apigee 静态数据 CMEK 简介
Apigee API Hub 静态数据 加密
Application Integration 写入数据库以进行应用集成的数据 使用客户管理的加密密钥
Artifact Registry 代码库中的数据 启用客户管理的加密密钥
Backup for GKE Backup for GKE 中的数据 Backup for GKE CMEK 加密简介
BigQuery BigQuery 中的数据 使用 Cloud KMS 密钥保护数据
Bigtable 静态数据 客户管理的加密密钥 (CMEK)
Cloud Composer 环境数据 使用客户管理的加密密钥
Cloud Data Fusion 环境数据 使用客户管理的加密密钥
Cloud Healthcare API Cloud Healthcare API 数据集 使用客户管理的加密密钥 (CMEK)
Cloud Logging 日志路由器中的数据 管理用于保护日志路由器数据的密钥
Cloud Logging Logging 存储中的数据 管理用于保护 Logging 存储数据的密钥
Cloud Run 容器映像 搭配使用客户管理的加密密钥与 Cloud Run
Cloud Run 函数 Cloud Run 函数中的数据 使用客户管理的加密密钥
Cloud SQL 写入数据库的数据 使用客户管理的加密密钥
Cloud Storage 存储分区中的数据 使用客户管理的加密密钥
Cloud Tasks 任务正文和标头(处于休息状态) 使用客户管理的加密密钥
Cloud Workstations 虚拟机磁盘上的数据 加密工作站资源
Colab Enterprise 运行时和笔记本文件 使用客户管理的加密密钥
Compute Engine 永久性磁盘 使用 Cloud KMS 密钥保护资源
Compute Engine 快照 使用 Cloud KMS 密钥保护资源
Compute Engine 自定义映像 使用 Cloud KMS 密钥保护资源
Compute Engine 机器映像 使用 Cloud KMS 密钥保护资源
Contact Center AI Insights 静态数据 客户管理的加密密钥 (CMEK)
Database Migration Service 同构迁移 MySQL 迁移 - 写入数据库的数据 使用客户管理的加密密钥 (CMEK)
Database Migration Service 同构迁移 PostgreSQL 迁移 - 写入数据库的数据 使用客户管理的加密密钥 (CMEK)
Database Migration Service 同构迁移 从 PostgreSQL 迁移到 AlloyDB - 写入数据库的数据 CMEK 简介
Database Migration Service 异构迁移 Oracle 到 PostgreSQL 的静态数据 使用客户管理的加密密钥 (CMEK) 进行持续迁移
Dataflow 流水线状态数据 使用客户管理的加密密钥
Dataform 代码库中的数据 使用客户管理的加密密钥
Dataproc Dataproc 集群数据位于虚拟机磁盘上 客户管理的加密密钥
Dataproc 虚拟机磁盘上的 Dataproc 无服务器数据 客户管理的加密密钥
Dataproc Metastore 静态数据 使用客户管理的加密密钥
Datastream 传输中的数据 使用客户管理的加密密钥 (CMEK)
Dialogflow CX 静态数据 客户管理的加密密钥 (CMEK)
Document AI 静态数据和使用中的数据 客户管理的加密密钥 (CMEK)
Eventarc 静态数据 使用客户管理的加密密钥 (CMEK)
Filestore 静态数据 使用客户管理的加密密钥来加密数据
Firestore 静态数据 使用客户管理的加密密钥 (CMEK)
Google Cloud NetApp Volumes 静态数据 创建 CMEK 政策
Google Distributed Cloud Edge 节点上的数据 本地存储安全性
Google Kubernetes Engine 虚拟机磁盘上的数据 使用客户管理的加密密钥 (CMEK)
Google Kubernetes Engine 应用层 Secret 应用层 Secret 加密
Looker (Google Cloud Core) 静态数据 为 Looker (Google Cloud Core) 启用 CMEK
Memorystore for Redis 静态数据 客户管理的加密密钥 (CMEK)
Migrate to Virtual Machines 从 VMware、AWS 和 Azure 来源迁移的数据 搭配使用客户管理的加密密钥 (CMEK) 与 Migrate to Virtual Machines
Pub/Sub 与主题关联的数据 配置消息加密
Secret Manager Secret 载荷 为 Secret Manager 启用客户管理的加密密钥
Secure Source Manager 实例 使用客户管理的加密密钥加密数据
Spanner 静态数据 客户管理的加密密钥 (CMEK)
Speaker ID(受限正式版) 静态数据 使用客户管理的加密密钥
Speech-to-Text 静态数据 使用客户管理的加密密钥
Vertex AI 与资源关联的数据 使用客户管理的加密密钥
Vertex AI Agent Builder 静态数据 客户管理的加密密钥
Vertex AI Workbench 代管式笔记本 静态用户数据 客户管理的加密密钥
Vertex AI Workbench 用户管理的笔记本 虚拟机磁盘上的数据 客户管理的加密密钥
Vertex AI Workbench 实例 虚拟机磁盘上的数据 客户管理的加密密钥
Workflows 静态数据 使用客户管理的加密密钥 (CMEK)