Auf dieser Seite wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) in Google Kubernetes Engine (GKE) verwenden. Wenn Sie die Verwaltung Ihrer Schlüssel steuern möchten, können Sie mit Cloud Key Management Service und CMEK angehängte nichtflüchtige Speicher und benutzerdefinierte Bootlaufwerke in Ihrem GKE-Cluster schützen.
Übersicht
Google Cloud verschlüsselt inaktive Kundeninhalte standardmäßig und GKE verwaltet die Verschlüsselung für Sie, ohne dass Sie etwas tun müssen.
Wenn Sie die Rotation von Verschlüsselungsschlüsseln selbst steuern und verwalten möchten, können Sie CMEK verwenden. Mit diesen Schlüsseln werden Datenverschlüsselungsschlüssel verschlüsselt, die wiederum Ihre Daten verschlüsseln. Weitere Informationen finden Sie unter Schlüsselverwaltung.
Mit von Ihnen verwalteten Schlüsseln können Sie außerdem Secrets in Ihrem Cluster verschlüsseln. Weitere Informationen finden Sie unter Verschlüsselung von Secrets auf Anwendungsebene.
In GKE kann CMEK die Daten von zwei Arten von Speicherlaufwerken schützen: Bootlaufwerken von Knoten und angehängten Laufwerken.
- Bootlaufwerke von Knoten
- Knoten-Bootlaufwerke sind Teil der Knotenpools des Clusters. Ein CMEK-verschlüsseltes Bootlaufwerk für Knoten können Sie beim Erstellen von Clustern und Knotenpools erstellen.
- Angehängte Laufwerke
- Angehängte Laufwerke sind PersistentVolumes, die von Pods zum dauerhaften Speichern verwendet werden. CMEK-verschlüsselte angehängte nichtflüchtige Speicher sind in GKE als dynamisch bereitgestelltes PersistentVolume verfügbar.
Weitere Informationen zu Speicherlaufwerken finden Sie unter Speicheroptionen. Laufwerke für Steuerungsebenen, die für GKE-Steuerungsebenen verwendet werden, können nicht mit CMEK geschützt werden.
Vorbereitung
Für die Übungen in diesem Thema benötigen Sie zwei Google Cloud-Projekte:
Schlüsselprojekt: Hier erstellen Sie einen Verschlüsselungsschlüssel.
Clusterprojekt: Hier erstellen Sie einen Cluster, der CMEK aktiviert.
Stellen Sie in Ihrem Schlüsselprojekt sicher, dass Sie die Cloud KMS API aktiviert haben.
In Ihrem Schlüsselprojekt benötigt der Nutzer, der den Schlüsselbund und Schlüssel erstellt, die folgenden IAM-Berechtigungen:
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.setIamPolicy
Diese Berechtigungen sind in der vordefinierten IAM-Rolle (Identity and Access Management)
roles/cloudkms.admin
enthalten. Weitere Informationen zum Erteilen von Berechtigungen zur Schlüsselverwaltung finden Sie in der Cloud KMS-Dokumentation.Achten Sie darauf, dass in Ihrem Clusterprojekt die Cloud KMS API aktiviert ist.
Prüfen Sie, ob die gcloud CLI installiert ist.
Aktualisieren Sie
gcloud
auf die neueste Version:gcloud components update
Cloud KMS-Schlüssel erstellen
Bevor Sie das Knoten-Bootlaufwerk oder das angehängte Laufwerk mit einem CMEK schützen können, benötigen Sie einen Cloud KMS-Schlüsselbund und -Schlüssel.
Für Ihren Schlüsselbund und Schlüssel gelten die folgenden Anforderungen:
Ihr Schlüssel sollte symmetrische Verschlüsselung verwenden.
Sie müssen GKE-Dienstkontoberechtigungen erteilen, um den Schlüssel verwenden zu können.
Der Schlüsselbund muss einen Speicherort haben, der dem Standort Ihres GKE-Clusters entspricht:
Ein zonaler Cluster sollte einen Schlüsselbund von einem übergeordneten Ort aus verwenden. Ein Cluster in der Zone
us-central1-a
kann beispielsweise nur einen Schlüssel in der Regionus-central1
verwenden.Ein regionaler Cluster sollte einen Schlüsselbund am selben Ort verwenden. Beispielsweise sollte ein Cluster in der Region
asia-northeast1
mit einem Schlüsselbund aus der Regionasia-northeast1
geschützt werden.Die Cloud KMS-Region
global
wird für die Verwendung mit GKE nicht unterstützt.
Eine Anleitung zum Erstellen eines Schlüsselbunds und eines Schlüssels finden Sie unter Symmetrische Schlüssel erstellen.
Verwendung des Schlüssels erlauben
Sie müssen dem Compute Engine-Dienstkonto, das von Knoten in Ihrem Cluster verwendet wird, die Rolle "Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler" zuweisen. Dies ist erforderlich, damit nichtflüchtige Speicher in GKE auf Ihren Verschlüsselungsschlüssel zugreifen und ihn verwenden können.
Der Name des Compute Engine-Dienstkontos hat folgendes Format:
service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
Ersetzen Sie PROJECT_NUMBER
durch die Projektnummer des Clusters.
Um Zugriff auf das Dienstkonto zu gewähren, können Sie den Befehl gcloud
oder die Google Cloud Console verwenden.
gcloud
Weisen Sie Ihrem Compute Engine-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location LOCATION \
--keyring RING_NAME \
--member serviceAccount:SERVICE_ACCOUNT \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--project KEY_PROJECT_ID
Dabei gilt:
KEY_NAME
: der Name des SchlüsselsLOCATION
: die Region, in der Sie Ihren Schlüsselbund erstellt habenRING_NAME
: der Name des SchlüsselbundsSERVICE_ACCOUNT
: der Name Ihres Compute Engine-DienstkontosKEY_PROJECT_ID
: Ihre Schlüsselprojekt-ID
Console
Weisen Sie Ihrem Compute Engine-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:
- Öffnen Sie in der Google Cloud Console den Browser für Cloud Key Management Service-Schlüssel.
Zum Browser für Cloud KMS-Schlüssel Klicken Sie auf den Namen des Schlüsselbunds, der den gewünschten Schlüssel enthält.
Klicken Sie das Kästchen für den gewünschten Schlüssel an.
Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse des Compute Engine-Dienstkontos an, dem Sie Zugriff gewähren.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Speichern.
CMEK-geschützte Knoten-Bootlaufwerke verwenden
In diesem Abschnitt erstellen Sie einen neuen Cluster oder Knotenpool mit einem CMEK-geschützten Bootlaufwerk.
Sie können die vom Kunden verwaltete Verschlüsselung für Knoten-Bootlaufwerke auf einem vorhandenen Cluster nicht aktivieren, da Sie den Bootlaufwerktyp eines vorhandenen Clusters oder Knotenpools nicht ändern können. Sie können jedoch einen neuen Knotenpool für Ihren Cluster erstellen, bei dem die vom Kunden verwaltete Verschlüsselung aktiviert ist, und den vorherigen Knotenpool löschen.
Es ist ebenfalls nicht möglich, die vom Kunden verwaltete Verschlüsselung für Knoten-Bootlaufwerke auf einem vorhandenen Cluster oder Knotenpool zu deaktivieren. Sie können jedoch einen neuen Knotenpool für Ihren Cluster erstellen, bei dem die vom Kunden verwaltete Verschlüsselung deaktiviert ist, und den vorherigen Knotenpool löschen.
Cluster mit einem CMEK-geschützten Knoten-Bootlaufwerk erstellen
Sie können einen Cluster mit einem CMEK-geschützten Knoten-Bootlaufwerk mit der gcloud CLI oder der Google Cloud Console erstellen.
Bei Standardclustern kann nur nichtflüchtiger Standardspeicher (pd-standard
) oder nichtflüchtiger SSD-Speicher (pd-ssd
) mit einem CMEK-Schlüssel verschlüsselt werden.
gcloud
Geben Sie in Ihrem Erstellungsbefehl einen Wert für den Parameter --boot-disk-kms-key
an, um einen Cluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird.
Standardcluster erstellen
Verwenden Sie den folgenden Befehl, um einen Standardcluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:
gcloud container clusters create CLUSTER_NAME \
--cluster-version=latest \
--region COMPUTE_REGION \
--boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
--project CLUSTER_PROJECT_ID \
--disk-type DISK_TYPE
Autopilot-Cluster erstellen
Verwenden Sie den folgenden Befehl, um einen Autopilot-Cluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:
gcloud container clusters create-auto CLUSTER_NAME \
--cluster-version=latest \
--region COMPUTE_REGION \
--boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
--project CLUSTER_PROJECT_ID
Dabei gilt:
CLUSTER_NAME
: der Name des neuen ClustersCOMPUTE_REGION
: die Computing-Region für die ClustersteuerungsebeneKEY_PROJECT_ID
: Ihre Schlüsselprojekt-IDLOCATION
: der Speicherort Ihres SchlüsselbundsRING_NAME
: der Name des SchlüsselbundsKEY_NAME
: der Name des SchlüsselsCLUSTER_PROJECT_ID
ist Ihre Clusterprojekt-ID.DISK_TYPE
:pd-standard
(Standard) oderpd-ssd
Console
Standardcluster erstellen
Führen Sie die folgenden Schritte aus, um einen Standardcluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:
Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.
Klicken Sie auf add_box Erstellen.
Klicken Sie unter Standard auf Konfigurieren.
Konfigurieren Sie den Cluster wie gewünscht.
Klicken Sie im Navigationsbereich unter Knotenpools auf Knoten.
Wählen Sie in der Drop-down-Liste Bootlaufwerktyp die Option Nichtflüchtiger Standardspeicher oder Nichtflüchtiger SSD-Speicher aus.
Aktivieren Sie das Kästchen Vom Kunden verwaltete Verschlüsselung des Bootlaufwerks aktivieren und wählen Sie den oben erstellten Cloud KMS-Verschlüsselungsschlüssel aus.
Klicken Sie auf Erstellen.
Autopilot-Cluster erstellen
Führen Sie die folgenden Schritte aus, um einen Autopilot-Cluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:
Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.
Klicken Sie auf add_box Erstellen.
Klicken Sie im Abschnitt Autopilot auf Konfigurieren.
Konfigurieren Sie den Cluster wie gewünscht.
Maximieren Sie den Abschnitt Erweiterte Optionen mit den Optionen für Sicherheit.
Aktivieren Sie das Kästchen Vom Kunden verwaltete Verschlüsselung des Bootlaufwerks aktivieren und wählen Sie den oben erstellten Cloud KMS-Verschlüsselungsschlüssel aus.
Klicken Sie auf Erstellen.
Neuen Knotenpool mit CMEK-geschützten Knoten-Bootlaufwerken erstellen
Zum Erstellen eines neuen Knotenpools mit aktiviertem CMEK in einem vorhandenen Standard-Cluster können Sie die gcloud CLI oder die Google Cloud Console verwenden.
gcloud
Um einen Knotenpool mit vom Kunden verwalteter Verschlüsselung für Knoten-Bootlaufwerke zu erstellen, geben Sie in Ihrem Erstellungsbefehl einen Wert für den Parameter --boot-disk-kms-key
an.
gcloud container node-pools create NODE_POOL_NAME \
--region COMPUTE_REGION \
--disk-type DISK_TYPE \
--boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
--project CLUSTER_PROJECT_ID \
--cluster CLUSTER_NAME
Dabei gilt:
NODE_POOL_NAME
: der Name, den Sie für Ihren Knotenpool auswählenCOMPUTE_REGION
: die Computing-Region für die ClustersteuerungsebeneDISK_TYPE
:pd-standard
(Standard) oderpd-ssd
KEY_PROJECT_ID
: Ihre Schlüsselprojekt-IDLOCATION
: der Speicherort Ihres SchlüsselbundsRING_NAME
: der Name des SchlüsselbundsKEY_NAME
: der Name des SchlüsselsCLUSTER_PROJECT_ID
: Ihre Clusterprojekt-IDCLUSTER_NAME
: der Name des Standard-Clusters, den Sie im vorherigen Schritt erstellt haben.
Console
Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.
Klicken Sie in der Clusterliste auf den Namen des Clusters, den Sie ändern möchten.
Klicken Sie auf Knotenpool hinzufügen add_box.
Klicken Sie im Navigationsbereich auf Knoten.
Prüfen Sie im Abschnitt Maschinenkonfiguration, ob der Bootlaufwerktyp entweder Nichtflüchtiger Standardspeicher oder Nichtflüchtiger SSD-Speicher ist.
Aktivieren Sie das Kästchen Vom Kunden verwaltete Verschlüsselung des Bootlaufwerks aktivieren und wählen Sie den oben erstellten Cloud KMS-Verschlüsselungsschlüssel aus.
Klicken Sie auf Erstellen.
CMEK-geschützte Filestore-Instanzen oder nichtflüchtige Speicher verwenden
Die folgenden Informationen zeigen, wie Sie neu erstellte Filestore-Instanzen oder nichtflüchtige Speicher verschlüsseln. Sie können CMEK für einen neuen oder vorhandenen Cluster mithilfe eines neuen oder vorhandenen Cloud KMS-Schlüssels aktivieren.
Diese Schritte müssen für jeden GKE-Cluster ausgeführt werden:
- Erstellen Sie einen GKE-Cluster, falls noch keiner vorhanden ist.
- Stellen Sie den CSI-Treiber für Filestore oder den CSI-Treiber für nichtflüchtigen Speicher von Compute Engine im Cluster bereit.
- Erstellen Sie einen Cloud KMS-Schlüsselbund und eine Schlüsselversion, falls noch keine vorhanden sind.
- Gewähren Sie Schlüsselzugriffsberechtigungen für das Filestore-Dienstkonto.
- Erstellen Sie eine StorageClass, mit der von Kubernetes bereitgestellte Festplatten automatisch mit diesem Cloud KMS-Schlüssel verschlüsselt werden können. Weitere Informationen dazu finden Sie im folgenden Abschnitt.
StorageClass erstellen, die auf den Cloud KMS-Schlüssel verweist
Kopieren Sie den nachstehenden Inhalt in eine YAML-Datei mit dem Namen
cmek-sc.yaml
. Diese Konfiguration ermöglicht die dynamische Bereitstellung verschlüsselter Volumes:Filestore-Instanzen
apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: csi-filestore-cmek provisioner: filestore.csi.storage.gke.io allowVolumeExpansion: true parameters: tier: enterprise instance-encryption-kms-key: projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
- Das Feld
instance-encryption-kms-key
muss die voll qualifizierte Ressourcenkennung für den Schlüssel sein, der zum Verschlüsseln neuer Filestore-Instanzen verwendet wird. - Bei den Werten in
instance-encryption-kms-key
wird zwischen Groß- und Kleinschreibung unterschieden (z. B.keyRings
undcryptoKeys
). Die Bereitstellung eines neuen Volumes mit falschen Werten führt zum FehlerinvalidResourceUsage
. - Sie können den Parameter
instance-encryption-kms-key
nicht einem vorhandenenStorageClass
-Objekt hinzufügen. Sie können dasStorageClass
-Objekt jedoch löschen und mit demselben Namen, jedoch mit einer anderen Gruppe von Parametern neu erstellen.
Nichtflüchtiger Speicher
apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: csi-gce-pd-cmek provisioner: pd.csi.storage.gke.io volumeBindingMode: "WaitForFirstConsumer" allowVolumeExpansion: true parameters: type: pd-standard disk-encryption-kms-key: projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
- Das Feld
disk-encryption-kms-key
muss die voll qualifizierte Ressourcenkennung für den Schlüssel sein, der zum Verschlüsseln neuer Laufwerke verwendet wird. - Bei den Werten in
disk-encryption-kms-key
wird zwischen Groß- und Kleinschreibung unterschieden (z. B.keyRings
undcryptoKeys
). Die Bereitstellung eines neuen Volumes mit falschen Werten führt zum FehlerinvalidResourceUsage
. - Sie können den Parameter
disk-encryption-kms-key
nicht einem vorhandenenStorageClass
-Objekt hinzufügen. Sie können dasStorageClass
-Objekt jedoch löschen und mit demselben Namen, jedoch mit einer anderen Gruppe von Parametern neu erstellen. Der Bereitsteller der vorhandenen Klasse musspd.csi.storage.gke.io
sein.
Sie können die StorageClass als Standard festlegen.
- Das Feld
Stellen Sie
StorageClass
mithilfe vonkubectl
in Ihrem GKE-Cluster bereit:kubectl apply -f cmek-sc.yaml
Prüfen Sie noch, ob die
StorageClass
den CSI-Treiber für den nichtflüchtigen Speicher oder für Filestore von Compute Engine verwendet hat und die ID Ihres Schlüssels enthält.Filestore-Instanzen
kubectl describe storageclass csi-filestore-cmek
Prüfen Sie in der Ausgabe des Befehls Folgendes:
- Als Bereitsteller ist filestore.csi.storage.gke.io festgelegt.
- Die ID Ihres Schlüssels folgt instance-encryption-kms-key.
Name: csi-filestore-cmek IsDefaultClass: No Annotations: None Provisioner: filestore.csi.storage.gke.io Parameters: instance-encryption-kms-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME,type=pd-standard AllowVolumeExpansion: true MountOptions: none ReclaimPolicy: Delete VolumeBindingMode: WaitForFirstConsumer Events: none
Nichtflüchtiger Speicher
kubectl describe storageclass csi-gce-pd-cmek
Prüfen Sie in der Ausgabe des Befehls Folgendes:
- Der Bereitsteller wird auf
pd.csi.storage.gke.io
gesetzt. - Die ID Ihres Schlüssels folgt auf
disk-encryption-kms-key
.
Name: csi-gce-pd-cmek IsDefaultClass: No Annotations: None Provisioner: pd.csi.storage.gke.io Parameters: disk-encryption-kms-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME,type=pd-standard AllowVolumeExpansion: unset MountOptions: none ReclaimPolicy: Delete VolumeBindingMode: WaitForFirstConsumer Events: none
Verschlüsseltes Speicher-Volume in GKE erstellen
In diesem Abschnitt stellen Sie verschlüsselte Kubernetes-Speicher-Volumes dynamisch mit Ihrer neuen StorageClass
und Ihrem Cloud KMS-Schlüssel bereit.
Kopieren Sie den folgenden Inhalt in eine neue Datei mit dem Namen
pvc.yaml
und achten Sie darauf, dass der Wert fürstorageClassName
mit dem Namen IhresStorageClass
-Objekts übereinstimmt:Filestore-Instanzen
kind: PersistentVolumeClaim apiVersion: v1 metadata: name: podpvc spec: accessModes: - ReadWriteMany storageClassName: csi-filestore-cmek resources: requests: storage: 1Ti
Nichtflüchtiger Speicher
kind: PersistentVolumeClaim apiVersion: v1 metadata: name: podpvc spec: accessModes: - ReadWriteOnce storageClassName: csi-gce-pd-cmek resources: requests: storage: 6Gi
Wenden Sie den
PersistentVolumeClaim
(PVC) auf Ihren GKE-Cluster an:kubectl apply -f pvc.yaml
Wenn das
volumeBindingMode
-Feld fürStorageClass
aufWaitForFirstConsumer
gesetzt ist, müssen Sie einen Pod erstellen, um den PVC zu verwenden, bevor Sie ihn prüfen können. Kopieren Sie den folgenden Inhalt in eine neue Datei mit dem Namenpod.yaml
und achten Sie darauf, dass der Wert fürclaimName
mit dem Namen IhresPersistentVolumeClaim
-Objekts übereinstimmt:apiVersion: v1 kind: Pod metadata: name: web-server spec: containers: - name: web-server image: nginx volumeMounts: - mountPath: /var/lib/www/html name: mypvc volumes: - name: mypvc persistentVolumeClaim: claimName: podpvc readOnly: false
Wenden Sie den Pod auf Ihren GKE-Cluster an:
kubectl apply -f pod.yaml
Rufen Sie den Status des
PersistentVolumeClaim
Ihres Clusters ab und prüfen Sie, ob der PVC erstellt und an ein neu bereitgestelltesPersistentVolume
gebunden ist.Filestore-Instanzen
kubectl get pvc
Die entsprechende Ausgabe sieht etwa so aus:
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE podpvc Bound pvc-e36abf50-84f3-11e8-8538-42010a800002 1Ti RWO csi-filestore-cmek 9s
Nichtflüchtiger Speicher
kubectl get pvc
Die entsprechende Ausgabe sieht etwa so aus:
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE podpvc Bound pvc-e36abf50-84f3-11e8-8538-42010a800002 6Gi RWO csi-gce-pd-cmek 9s
Sie können nun den durch CMEK geschützten nichtflüchtigen Speicher mit dem GKE-Cluster verwenden.
CMEK-Schutz entfernen
Folgen Sie der Anleitung in der Compute Engine-Dokumentation, um den CMEK-Schutz von einem nichtflüchtigen Speicher zu entfernen.
Die CMEK-Verschlüsselung kann nicht aus Filestore-Instanzen entfernt werden.
Organisationsrichtlinien für GKE und CMEK
GKE unterstützt CMEK-Organisationsrichtlinien (Vorschau), die einen CMEK-Schutz erfordern und einschränken können, welche Cloud KMS-Schlüssel Sie für den CMEK-Schutz verwenden können.
Wenn sich container.googleapis.com
in der Richtlinienliste Deny
für die Einschränkung constraints/gcp.restrictNonCmekServices
befindet, lehnt GKE das Erstellen der folgenden Ressourcen ab, wenn Sie den CMEK-Schutz nicht aktivieren:
- Neue Cluster und Knotenpools
- Neue Filestore-Instanzen und nichtflüchtige Speicher
Wenn die Einschränkung constraints/gcp.restrictNonCmekCryptoKeyProjects
in einer Organisationsrichtlinie konfiguriert ist, erstellt GKE nur CMEK-geschützte Ressourcen, die einen Verschlüsselungsschlüssel aus einem zulässigen Projekt, Ordner oder einer Organisation verwenden.
Nächste Schritte
- Häufig gestellte Fragen zum Cloud Key Management Service
- Weitere Informationen zum Schützen von Ressourcen mit Cloud KMS-Schlüsseln