Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren

Standardmäßig verschlüsselt Secret Manager Kundeninhalte auf Ruhe. Secret Manager übernimmt die Verschlüsselung für Sie, ohne dass zusätzliche Aktionen auf Ihrem Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden (CMEKs) in Cloud KMS mit CMEK-integrierten Diensten, einschließlich Secret Manager Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Secret Manager-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Secret Manager bietet Tools zum Speichern, Verwalten und Abrufen sensibler Daten in Ihren Anwendungen.

CMEK mit Cloud KMS Autokey

Sie können CMEKs entweder manuell erstellen, um Secret Manager zu schützen oder Cloud KMS Autokey verwenden. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung im Secret Manager auf Anfrage generiert. Dienst-Agents, die die Schlüssel zum Verschlüsseln und Entschlüsseln verwenden, werden erstellt, wenn sie das nicht tun bereits vorhanden sind und ihnen die erforderlichen IAM-Rollen (Identity and Access Management) zugewiesen wurden. Weitere Informationen finden Sie unter Übersicht: Autokey.

Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.

So verwenden Sie manuell erstellten CMEKs zum Schutz Ihrer Secret Manager-Ressourcen, siehe CMEK mit automatischer Replikation und CMEK mit Nutzer verwaltete Replikation.

So verwenden Sie CMEKs, die von Cloud KMS Autokey zum Schutz Ihrer Secret Manager-Ressourcen, Siehe Autokey mit Secret Manager verwenden Ressourcen

Funktionsweise von CMEK im Secret Manager

Bevor Sie eine Secret-Version in den nichtflüchtigen Speicher an einem bestimmten Speicherort schreiben, Secret Manager verschlüsselt die Daten mit einem eindeutigen Datenverschlüsselungsschlüssel (DEK) Dieser DEK wird dann mit einem replikatspezifischen Schlüssel verschlüsselt, der als Schlüssel bezeichnet wird. Verschlüsselungsschlüssel (KEK), der dem Secret Manager-Dienst gehört.

Wenn Sie CMEK für Secret Manager verwenden, wird der KEK als CMEK-Schlüssel bezeichnet und ist ein symmetrischer Schlüssel, den Sie in Cloud KMS verwalten. Der CMEK-Schlüssel muss sich am selben Google Cloud-Speicherort wie das Secret-Versionsreplikat befinden, das er verschlüsselt. Sie können auch Verwenden Sie einen Cloud EKM-Schlüssel in der CMEK-Richtlinie für die Verschlüsselung und Entschlüsselung.

In dieser Anleitung wird beschrieben, wie Sie Secret Manager für die Verwendung von CMEK konfigurieren. Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie in der Dokumentation zum Cloud Key Management Service.

Beschränkungen

CMEK ist nur in Secret Manager verfügbar v1 API und Google Cloud CLI

Hinweise

Sie können alle Ressourcen im selben Projekt speichern oder Secrets und Schlüssel in separaten Projekten speichern. Weitere Informationen zu dieser Entscheidung finden Sie unter Aufgabentrennung von Cloud KMS.

Führen Sie die folgenden Voraussetzungen aus, um Secret Manager und Cloud KMS einzurichten:

• Secret Manager:

  • Erstellen oder verwenden Sie ein vorhandenes Projekt für Ihre Secret Manager-Ressourcen.
  • Führen Sie bei Bedarf die Schritte in der Secret Manager konfigurieren des Secret Manager-Schnellstarts.

• Cloud KMS:

  • Projekt für Cloud KMS erstellen oder ein vorhandenes Projekt verwenden Ressourcen.
  • Bei Bedarf können Sie Aktivieren Sie die Cloud KMS API.

Legen Sie die folgenden Variablen auf die Projekt-IDs von Secret Manager fest und Cloud KMS-Projekten.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Authentifizieren Sie sich bei Google Cloud:

gcloud auth login

Dienst-Agent-Identität erstellen

Sie müssen für jedes Projekt, das vom Kunden verwaltete Verschlüsselungsschlüssel erfordert, eine Dienst-Agent-Identität erstellen.

Führen Sie den folgenden Befehl aus, um mit der Google Cloud CLI eine Dienstidentität zu erstellen:

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

Speichern Sie den Namen der Dienstidentität:

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

Sie erteilen dieser Dienstidentität Zugriff auf die CMEK-Cloud KMS-Schlüssel, die zum Verschlüsseln und Entschlüsseln Ihrer Secrets verwendet werden.

CMEK mit automatischer Replikation

In diesem Abschnitt werden Secrets beschrieben, die über eine automatische Replikation konfiguriert werden .

Bei Secrets, die die automatische Replikationsrichtlinie verwenden, muss Ihr CMEK-Schlüssel an der Cloud KMS-Multiregion global liegen. Wenn Sie einen Cloud EKM-Schlüssel verwenden, können Sie Ihr Secret nicht für die automatische Replikation konfigurieren, da Cloud EKM-Schlüssel in der Region global nicht verfügbar sind. Weitere Informationen zur Verwendung von Cloud EKM-Schlüsseln finden Sie unter Cloud EKM-Schlüssel zu einer CMEK-Richtlinie hinzufügen

Erstellen Sie einen symmetrischen Cloud KMS-Schlüssel in der Cloud KMS-Region global oder verwenden Sie einen vorhandenen Schlüssel. In diesem Beispiel wird ein neuer Schlüsselbund namens secret-manager-cmek und erstellt dann einen neuen Schlüssel mit dem Namen my-cmek-key.

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Gewähren Sie der Dienstidentität für Secret Manager Zugriff zum Verschlüsseln und mit dem CMEK-Schlüssel entschlüsseln. Dieser Befehl gewährt dem Cloud KMS-Verschlüsseler / Entschlüsseler-Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) für die my-cmek-key Cloud KMS-Schlüssel für die Dienstidentität.

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Secret mit automatischer Replikation erstellen Der Ressourcenname des CMEK-Schlüssels lautet die als Metadaten im Secret gespeichert sind.

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

Jedes Mal, wenn eine Secret-Version in diesem Secret erstellt wird, Nutzlast wird automatisch mit dem Schlüssel verschlüsselt, bevor sie in nichtflüchtigen Speicher, solange die Dienstidentität Zugriff auf den CMEK-Schlüssel hat. Wenn die Dienstidentität keinen Zugriff mehr hat oder der Schlüssel nicht mehr verfügbar ist, wird ein wenn Sie versuchen, eine neue Secret-Version zu erstellen oder auf eine vorhandene zuzugreifen, wird ein Fehler.

Fügen Sie eine neue Secret-Version hinzu. Sie geben nicht den Ressourcennamen des Cloud KMS-Schlüssels an; er wird aus den Metadaten des Secrets gelesen.

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

Die Secret-Version wird erstellt, auch wenn der Aufrufer keinen direkten Zugriff auf verwenden Sie den CMEK-Schlüssel. Die Dienstidentität für Secret Manager statt beim Aufrufer, ist für das Verschlüsseln und Entschlüsseln von Secrets beim Lesen oder Entschlüsseln wie sie geschrieben werden.

Ebenso benötigen Sie keinen direkten Zugriff auf den CMEK-Schlüssel, um auf das Secret zuzugreifen. Die Dienstidentität greift auf den Schlüssel zu und verschlüsselt oder entschlüsselt das Secret. .

Rufen Sie die soeben erstellte Secret-Version auf:

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

CMEK-Konfiguration aktualisieren

Erstellen Sie einen neuen symmetrischen KMS-Schlüssel in der Multi-Cloud KMS-Region global.

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Gewähren Sie der Dienstidentität für Secret Manager Zugriff, um es mit dem neuen CMEK-Schlüssel zu verschlüsseln und zu entschlüsseln. Mit diesem Befehl wird der Dienstidentität die Cloud KMS-Rolle „Cloud KMS-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel my-other-key zugewiesen.

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Ändern Sie die CMEK-Konfiguration für ein Secret, indem Sie die Replikation des Secrets mit den neuen Cloud KMS-Schlüsselressourcennamen aktualisieren.

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

CMEK mit vom Nutzer verwalteter Replikation

In diesem Abschnitt werden Secrets beschrieben, die mit einer vom Nutzer verwalteten Replikationsrichtlinie konfiguriert wurden. Mit einer vom Nutzer verwalteten Replikationsrichtlinie steuern Sie den Google Cloud-Speicherort, an dem das Secret gespeichert ist. Secrets sind immer von jedem Google Cloud-Standort aus zugänglich.

Secrets mit einer vom Nutzer verwalteten Replikationsrichtlinie müssen Cloud KMS-Schlüssel verwenden, die genau den Speicherorten entsprechen, an denen die Secret-Versionen gespeichert sind. In den Beispielen in diesem Leitfaden wird ein Secret an zwei verschiedenen Standorten gespeichert: us-east1 und us-central1. Anfragen für den Zugriff auf das Secret werden an einen dieser Orte weitergeleitet.

Erstellen Sie in jeder der beiden Regionen einen Schlüsselbund und einen Cloud KMS-Schlüssel mit oder einen vorhandenen Schlüssel verwenden. In diesem Beispiel wird ein neuer Schlüsselbund namens "secret-manager-cmek" erstellt. Anschließend wird in jeder Region ein Schlüssel namens "my-cmek-key" erstellt.

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Sie können der Dienstidentität für Secret Manager die Berechtigung zum Verschlüsseln und Entschlüsseln mithilfe des CMEK-Schlüssels erteilen. Weisen Sie dafür jedem Cloud KMS-Schlüssel einzeln oder für alle Schlüssel im Projekt die Rolle „Cloud KMS-Verschlüsseler / Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu.

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

CMEK-fähiges Secret mit vom Nutzer verwalteter Replikation erstellen Der Ressourcenname des CMEK-Schlüssels wird als Metadaten im Secret gespeichert.

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

Bei jeder Secret-Version in diesem Secret wird die Nutzlast der Secret-Version automatisch mit dem Schlüssel verschlüsselt, bevor in den nichtflüchtigen Speicher geschrieben wird, sofern die Dienstidentität Zugriff auf den CMEK-Schlüssel hat. Wenn die Dienstidentität keinen Zugriff mehr hat oder der Schlüssel nicht mehr verfügbar ist, wird ein wenn Sie versuchen, eine neue Secret-Version zu erstellen oder auf eine vorhandene zuzugreifen, wird ein Fehler.

Fügen Sie eine neue Secret-Version hinzu. Sie geben nicht den Ressourcennamen des Cloud KMS-Schlüssels an; er wird aus den Metadaten des Secrets gelesen.

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Die Secret-Version wird erstellt, auch wenn der Aufrufer keinen direkten Zugriff auf verwenden Sie den CMEK-Schlüssel. Beim Lesen und Schreiben des Secrets ist die Dienstidentität für Secret Manager und nicht der Aufrufer verantwortlich.

Ebenso benötigen Sie keinen direkten Zugriff auf den CMEK-Schlüssel, um auf den geheim halten. Die Dienstidentität greift auf den Schlüssel zu und verschlüsselt oder entschlüsselt das Secret für Sie.

Rufen Sie die soeben erstellte Secret-Version auf.

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

CMEK-Konfiguration aktualisieren

Erstellen Sie zwei neue symmetrische KMS-Schlüssel in derselben Region wie das Secret.

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Gewähren Sie der Dienstidentität für Secret Manager Zugriff, um es mit den neuen CMEK-Schlüsseln zu verschlüsseln und zu entschlüsseln. Dieser Befehl gewährt Cloud KMS Rolle „Verschlüsseler / Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für das my-other-key Cloud KMS-Schlüssel für die Dienstidentität.

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Ändern Sie die CMEK-Konfiguration für ein Secret, indem Sie die Replikation auf der mit den neuen Cloud KMS-Schlüsselressourcennamen.

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

Um mehrere Schlüssel in einem Secret gleichzeitig zu aktualisieren, können Sie die Replikationsrichtlinie über eine Datei.

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

CMEK-Konfiguration der Secret-Version ansehen

Prüfen der Metadaten einer Secret-Version, einschließlich der Frage, ob die Secret-Version Bei aktiviertem CMEK und dem Ressourcennamen der CMEK-Schlüsselversion werden die zugehörigen Metadaten angezeigt.

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

Dies gibt den vollständigen Cloud KMS-Ressourcennamen der Schlüsselversion zurück, die zum Verschlüsseln der Secret-Version verwendet wird.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

CMEK-Richtlinien einen Cloud EKM-Schlüssel hinzufügen

In diesem Abschnitt erfahren Sie, wie Sie einer CMEK-Richtlinie einen Cloud EKM-Schlüssel hinzufügen. Diese können Sie einen Cloud EKM-Schlüssel zum Ver- oder Entschlüsseln von Secrets verwenden.

Da Cloud EKM derzeit die global-Mehrfachregion nicht unterstützt, können Cloud EKM-Schlüssel nur mit Secrets verwendet werden, die für die vom Nutzer verwaltete Replikation konfiguriert sind.

Erstellen Sie einen symmetrischen Schlüssel in der Cloud KMS-Region us-central1 (oder in einer anderen Region mit Ausnahme von global). In diesem Beispiel wird ein neuer Schlüsselbund namens secret-manager-cmek-ekm erstellt. Anschließend wird im Schlüsselbund ein neuer Schlüssel namens my-ekm-key erstellt.

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

Erstellen Sie als Nächstes mit dem externen URI des Schlüssels eine neue Version von my-ekm-key. Weitere Informationen zu externen URIs für Cloud EKM-Schlüssel finden Sie unter Externen Schlüssel erstellen.

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

Gewähren Sie der Dienstidentität für Secret Manager Zugriff zum Verschlüsseln und mit dem externen Schlüssel entschlüsseln. Mit diesem Befehl wird der Dienstidentität die Cloud KMS-Rolle „Cloud KMS-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für my-ekm-key zugewiesen.

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Erstellen Sie ein CMEK-fähiges Secret, das einen Cloud EKM-Schlüssel verwendet.

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

Jedes Mal, wenn in my-ekm-secret eine Secret-Version erstellt wird, wird automatisch mit dem Cloud EKM-Schlüssel verschlüsselt, bevor dauerhaften Speicher, solange die Dienstidentität Zugriff auf den Schlüssel hat. Wenn die Dienstidentität keinen Zugriff mehr hat oder der Schlüssel nicht mehr verfügbar ist, wird beim Versuch, eine neue Secret-Version zu erstellen oder auf eine vorhandene zuzugreifen, ein Fehler zurückgegeben.

Fügen Sie eine neue Secret-Version hinzu. Beachten Sie, dass der Ressourcenname des Schlüssels aus dem die Metadaten des Secrets enthalten.

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Die Secret-Version wird auch dann erstellt, wenn der Aufrufer keinen direkten Zugriff auf den Schlüssel hat. Die Dienstidentität für Secret Manager anstelle der ist für das Verschlüsseln und Entschlüsseln von Secrets beim Lesen oder wie sie geschrieben werden.

Rufen Sie die soeben erstellte Secret-Version auf. Hier wird die Dienstidentität auf den Schlüssel zugreift und das Secret in Ihrem Namen verschlüsselt oder entschlüsselt.

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

CMEK deaktivieren

Entfernen Sie die CMEK-Konfiguration aus einem Secret, indem Sie die Replikationsrichtlinie aktualisieren.

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

Nächste Schritte

• Weitere Informationen zu CMEK