本页面介绍了如何在其他 Google Cloud 服务中使用 Cloud KMS 客户管理的加密密钥来保护资源。如需了解详情,请参阅客户管理的加密密钥 (CMEK)。
当某项服务支持 CMEK 时,我们称之为具有 CMEK 集成。某些服务(如 GKE)具有多个 CMEK 集成,用于保护与服务相关的不同类型的数据。如需查看具有 CMEK 集成的服务的列表,请参阅本页面中的为受支持的服务启用 CMEK。
准备工作
您必须拥有用于包含 Cloud KMS 密钥的项目资源,才能在其他 Google Cloud 服务中使用 Cloud KMS 密钥。我们建议您为 Cloud KMS 资源使用单独的项目,其中不包含任何其他 Google Cloud 资源。
CMEK 集成
准备启用 CMEK 集成
如需了解启用 CMEK 的确切步骤,请参阅相关 Google Cloud 服务的文档。您可以在本页面上的为支持的服务启用 CMEK 中找到指向每项服务的 CMEK 文档的链接。对于每项服务,您都应该遵循类似于以下内容的步骤:
创建密钥环或选择现有的密钥环。密钥环应位于尽可能靠近您要保护的资源的位置。
在所选的密钥环中,创建密钥或选择现有密钥。请确保密钥的保护级别、用途和算法适合要保护的资源。此密钥是 CMEK 密钥。
获取 CMEK 密钥的资源 ID。 您稍后需要使用此资源 ID。
将 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予该服务的服务帐号。
创建密钥并为其分配所需权限后,您可以创建或配置一项服务来使用您的 CMEK 密钥。
将 Cloud KMS 密钥与 CMEK 集成的服务搭配使用
以下步骤以 Secret Manager 为例。如需了解在给定服务中使用 Cloud KMS CMEK 密钥的具体步骤,请在集成了 CMEK 的服务列表中找到该服务。
在 Secret Manager 中,您可以使用 CMEK 保护静态数据。
在 Google Cloud 控制台中,转到 Secret Manager 页面。
如需创建 Secret,请点击创建 Secret。
在加密部分中,选择使用客户管理的加密密钥 (CMEK)。
在加密密钥框中,执行以下操作:
可选:如需在其他项目中使用密钥,请执行以下操作:
- 点击 Switch project(切换项目)。
- 在搜索栏中输入项目名称的完整或部分名称,然后选择相应项目。
- 如需查看所选项目的可用密钥,请点击选择。
可选:如需按位置、密钥环、名称或保护级别过滤可用密钥,请在 过滤栏中输入搜索字词。
从所选项目的可用密钥列表中选择一个密钥。 您可以利用显示的位置、密钥环和保护级别详细信息来确保选择正确的密钥。
如果列表中未显示您要使用的密钥,请点击手动输入密钥,然后输入该密钥的资源 ID
完成 Secret 的配置,然后点击创建 Secret。Secret Manager 会创建 Secret,并使用指定的 CMEK 密钥对其进行加密。
为支持的服务启用 CMEK
如需启用 CMEK,请先在下表中找到所需的服务。您可以在字段中输入搜索字词以过滤表。此列表中的所有服务都支持软件和硬件 (HSM) 密钥。支持 EKM 列中指明了在使用外部 Cloud EKM 密钥时与 Cloud KMS 集成的产品。
按照要为其启用 CMEK 密钥的每项服务的相关说明进行操作。
| 服务 | 使用 CMEK 保护 | 支持 EKM | 主题 |
|---|---|---|---|
| AI Platform Training | 虚拟机磁盘上的数据 | 否 | 使用客户管理的加密密钥 |
| AlloyDB for PostgreSQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
| 反洗钱 AI | AML AI 实例资源中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) 加密数据 |
| Application Integration | 写入数据库以用于应用集成的数据 | 否 | 使用客户管理的加密密钥 |
| Artifact Registry | 代码库中的数据 | 是 | 启用客户管理的加密密钥 |
| Backup for GKE | Backup for GKE 中的数据 | 是 | Backup for GKE CMEK 加密简介 |
| BigQuery | BigQuery 中的数据 | 是 | 使用 Cloud KMS 密钥保护数据 |
| Bigtable | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Cloud Composer | 环境数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Data Fusion | 环境数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Functions | Cloud Functions 中的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Logging | 日志路由器中的数据 | 是 | 管理保护日志路由器数据的密钥 |
| Cloud Logging | Logging 存储中的数据 | 是 | 管理用于保护 Logging 存储数据的密钥 |
| Cloud Run | 容器映像 | 是 | 将客户管理的加密密钥与 Cloud Run 搭配使用 |
| Cloud SQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Storage | 存储分区中的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Tasks | 任务正文和静态标头 | 是 | 使用客户管理的加密密钥 |
| Cloud Workstations | 虚拟机磁盘上的数据 | 是 | 加密工作站资源 |
| Compute Engine | 永久性磁盘 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 快照 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 自定义映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 机器映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Contact Center AI Insights | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Database Migration Service 同构迁移 | MySQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Database Migration Service 同构迁移 | PostgreSQL 迁移 - 写入数据库的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Database Migration Service 同构迁移 | 从 PostgreSQL 到 AlloyDB 的迁移 - 写入数据库的数据 | 是 | CMEK 简介 |
| Database Migration Service 异构迁移 | 将 Oracle 数据迁移到 PostgreSQL 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) 持续迁移 |
| Dataflow | 流水线状态数据 | 是 | 使用客户管理的加密密钥 |
| Dataform(预览版) | 代码库中的数据 | 否 | 使用客户管理的加密密钥 |
| Dataproc | 虚拟机磁盘上的 Dataproc 集群数据 | 是 | 客户管理的加密密钥 |
| Dataproc | 虚拟机磁盘上的 Dataproc 无服务器数据 | 是 | 客户管理的加密密钥 |
| Dataproc Metastore | 静态数据 | 是 | 使用客户管理的加密密钥 |
| Datastream | 传输中的数据 | 否 | 使用客户管理的加密密钥 (CMEK) |
| Dialogflow CX | 静态数据 | 否 | 客户管理的加密密钥 (CMEK) |
| Document AI | 静态数据和使用中的数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Eventarc | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Filestore | 静态数据 | 是 | 使用客户管理的加密密钥来加密数据 |
| Google Distributed Cloud Edge | 边缘节点上的数据 | 是 | 本地存储空间安全性 |
| Google Kubernetes Engine | 虚拟机磁盘上的数据 | 是 | 使用客户管理的加密密钥 (CMEK) |
| Google Kubernetes Engine | 应用层 Secret | 是 | 应用层 Secret 加密 |
| Looker (Google Cloud Core) | 静态数据 | 是 | 为 Looker (Google Cloud Core) 启用 CMEK |
| Memorystore for Redis | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Migrate to Virtual Machines(预览版) | 从 VMware 来源迁移的数据 | 是 | 将 Migrate Connector 注册为 Google Cloud 来源 |
| Migrate to Virtual Machines(预览版) | 从 AWS 来源迁移的数据 | 是 | 创建 AWS 来源 |
| Migrate to Virtual Machines(预览版) | 从 Azure 来源迁移的数据 | 是 | 创建 Azure 来源 |
| Migrate to Virtual Machines(预览版) | 已迁移的磁盘 | 是 | 为迁移后的虚拟机磁盘配置目标 |
| Migrate to Virtual Machines(预览版) | 已迁移的虚拟机 | 是 | 为迁移后的虚拟机配置目标 |
| Pub/Sub | 与主题关联的数据 | 是 | 配置消息加密 |
| Secret Manager | Secret 载荷 | 是 | 为 Secret Manager 启用客户管理的加密密钥 |
| Secure Source Manager | 实例 | 是 | 使用客户管理的加密密钥来加密数据 |
| Spanner | 静态数据 | 是 | 客户管理的加密密钥 (CMEK) |
| Speaker ID(受限正式版) | 静态数据 | 是 | 使用客户管理的加密密钥 |
| 语音转文本 | 静态数据 | 是 | 使用客户管理的加密密钥 |
| Vertex AI | 与资源关联的数据 | 是 | 使用客户管理的加密密钥 |
| Vertex AI Workbench 代管式笔记本 | 静态用户数据 | 否 | 客户管理的加密密钥 |
| Vertex AI Workbench 用户管理的笔记本 | 虚拟机磁盘上的数据 | 否 | 客户管理的加密密钥 |
| Vertex AI Workbench 实例 | 虚拟机磁盘上的数据 | 是 | 客户管理的加密密钥 |
| Workflows | 静态数据 | 是 | 使用客户管理的加密密钥 (CMEK) |