将 Cloud KMS 与其他产品搭配使用

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本主题介绍了如何在提供与 Cloud KMS 集成的 Google Cloud 服务中使用 Cloud KMS 密钥。这些服务通常属于以下类别之一:

  • 借助客户管理的加密密钥 (CMEK) 集成,您可以使用自己拥有和管理的 Cloud KMS 密钥对该服务中的静态数据进行加密。对于使用 CMEK 密钥保护的数据,必须访问该密钥才能解密。

  • 兼容 CMEK 的服务不存储数据,或者仅短时间存储数据,例如在批处理期间。此类数据使用仅存在于内存中的临时密钥进行加密,并且永远不会写入磁盘。当不再需要这些数据时,系统会从内存中清空临时密钥,并且无法再次访问数据。兼容 CMEK 的服务的输出可能存储在与 CMEK 集成的服务中,例如 Cloud Storage。

  • 您的应用可以以其他方式使用 Cloud KMS。例如,您可以在传输或存储数据之前直接加密应用数据。

如需详细了解 Google Cloud 中静态数据的保护方式以及客户管理的加密密钥 (CMEK) 的工作原理,请参阅客户管理的加密密钥 (CMEK)

CMEK 集成

将 Cloud KMS 密钥与集成了 CMEK 的服务搭配使用

以下步骤以 Secret Manager 为例。如需了解在给定服务中使用 Cloud KMS CMEK 密钥的确切步骤,请在集成了 CMEK 的服务列表中找到该服务。

在 Secret Manager 中,您可以使用 CMEK 保护静态数据。

  1. 在 Google Cloud 控制台中,转到 Secret Manager 页面。

    转到 Secret Manager

  2. 如需创建 Secret,请点击创建 Secret

  3. 加密部分中,选择使用客户管理的加密密钥 (CMEK)

  4. 加密密钥框中,执行以下操作:

    1. 可选:如需使用其他项目中的密钥,请执行以下操作:

      1. 点击切换项目
      2. 在搜索栏中输入项目名称的全部或部分名称,然后选择项目。
      3. 要查看所选项目的可用密钥,请点击选择
    2. 可选:如需按位置、密钥环、名称或保护级别过滤可用密钥,请在 过滤栏中输入搜索字词。

    3. 从所选项目的可用密钥列表中选择密钥。 您可以使用显示的位置、密钥环和保护级别详细信息来确保选择正确的密钥。

    4. 如果列表中未显示您要使用的密钥,请点击手动输入密钥,然后输入该密钥的资源 ID

  5. 完成密钥的配置,然后点击创建密钥。 Secret Manager 会创建 Secret,并使用指定的 CMEK 密钥对其进行加密。

集成了 CMEK 的服务列表

下表列出了与 Cloud KMS 集成的软件和硬件 (HSM) 密钥的服务。对于在使用外部 Cloud EKM 密钥时与 Cloud KMS 集成的产品,请参阅支持将 CMEK 与 Cloud EKM 搭配使用的服务

Service 使用 CMEK 进行保护 主题
AI Platform Training 虚拟机磁盘上的数据 使用客户管理的加密密钥
Vertex AI 与资源关联的数据 使用客户管理的加密密钥
Artifact Registry 代码库中的数据 启用客户管理的加密密钥
BigQuery BigQuery 中的数据 使用 Cloud KMS 密钥保护数据
Cloud Bigtable 存储中的数据(静态数据) 客户管理的加密密钥 (CMEK)
Cloud Composer 环境数据 使用客户管理的加密密钥
Cloud Functions Cloud Functions 中的数据 使用客户管理的加密密钥
Cloud Data Fusion 环境数据 使用客户管理的加密密钥
Cloud Run 容器映像 搭配使用客户管理的加密密钥与 Cloud Run
Compute Engine 虚拟机磁盘上的数据 使用 Cloud KMS 密钥保护资源
Google Kubernetes Engine 虚拟机磁盘上的数据 使用客户管理的加密密钥 (CMEK)
Google Kubernetes Engine 应用层 Secret 应用层 Secret 加密
Database Migration Service 写入数据库的数据 使用客户管理的加密密钥 (CMEK)
Dataflow 流水线状态数据 使用客户管理的加密密钥
Dataproc 虚拟机磁盘上的数据 客户管理的加密密钥
Dataproc Metastore 存储中的数据(静态数据) 使用客户管理的加密密钥
Datastream 传输中的数据 使用客户管理的加密密钥 (CMEK)
Dialogflow CX 存储中的数据(静态数据) 客户管理的加密密钥 (CMEK)
Google Distributed Cloud Edge 边缘节点上的数据 本地存储空间安全性
Document AI 静态数据和使用中的数据 客户管理的加密密钥 (CMEK)
Eventarc 存储中的数据(静态数据) 使用客户管理的加密密钥 (CMEK)
Filestore 存储中的数据(静态数据) 使用客户管理的加密密钥加密数据
Cloud Logging 日志路由器中的数据 管理保护日志路由器数据的密钥
Cloud Logging Logging 存储中的数据 管理保护 Logging 存储数据的密钥
Memorystore for Redis 存储中的数据(静态数据) 客户管理的加密密钥 (CMEK)
Pub/Sub 与主题关联的数据 配置消息加密
Cloud Spanner 存储中的数据(静态数据) 客户管理的加密密钥 (CMEK)
Cloud SQL 写入数据库的数据 使用客户管理的加密密钥
Cloud Storage 存储分区中的数据 使用客户管理的加密密钥
Secret Manager Secret 载荷 启用客户管理的加密密钥 (CMEK)
Speaker ID(受限 Google Analytics(分析)) 存储中的数据(静态数据) 使用客户管理的加密密钥 使用客户管理的加密密钥
Vertex AI Workbench 代管式笔记本 静态用户数据 客户管理的加密密钥
Vertex AI Workbench 用户管理的笔记本 虚拟机磁盘上的数据 客户管理的加密密钥

兼容 CMEK 的服务

下表列出了不使用客户管理的加密密钥 (CMEK) 的服务,因为它们不会长期存储数据。如需详细了解为何这些服务符合 CMEK 规定,请参阅 CMEK 合规性

与 Cloud KMS 的其他集成

这些主题讨论将 Cloud KMS 与其他 Google Cloud 服务搭配使用的其他方法。

产品 主题
任意服务 在传输或存储应用数据之前加密应用数据
Cloud Build 在添加到构建之前对资源进行加密