Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren

In diesem Thema wird die Unterstützung von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) im Secret Manager erläutert.

Überblick

Secret Manager bietet Tools zum Speichern, Verwalten und Aufrufen sensibler Daten in Ihren Anwendungen.

Standardmäßig werden in Secret Manager gespeicherte Secrets mit der Google-Standardverschlüsselung verschlüsselt. Mit der Google-Standardverschlüsselung werden geheime Nutzlasten durch von Google verwaltete Schlüssel verschlüsselt, bevor sie in den nichtflüchtigen Speicher geschrieben werden. Eine Konfiguration ist nicht erforderlich. Die Standardverschlüsselung von Google ist für viele Organisationen die beste Wahl.

Für Organisationen, die mehr Kontrolle benötigen, können Sie mit der CMEK-Unterstützung für Secret Manager den Cloud KMS-Schlüssel konfigurieren, der inaktive Daten in Secret Manager schützt.

Funktionsweise von CMEK im Secret Manager

Bevor eine Secret-Version in den nichtflüchtigen Speicher an einem bestimmten Ort geschrieben wird, verschlüsselt Secret Manager die Daten mit einem eindeutigen Datenverschlüsselungsschlüssel (Data Encryption Key, DEK). Dieser DEK wird dann mit einem Replikat-spezifischen Schlüssel verschlüsselt, einem sogenannten Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK), der zum Secret Manager-Dienst gehört.

Wenn Sie CMEK für Secret Manager verwenden, wird der KEK als CMEK-Schlüssel bezeichnet und ist ein symmetrischer Schlüssel, den Sie in Cloud KMS verwalten. Der CMEK-Schlüssel muss sich am selben Google Cloud-Standort wie das verschlüsselte Secret-Versionsreplikat befinden. Sie können zur Verschlüsselung und Entschlüsselung auch einen Cloud EKM-Schlüssel in der CMEK-Richtlinie verwenden.

In dieser Anleitung wird beschrieben, wie Sie Secret Manager für die Verwendung von CMEK konfigurieren. Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie in der Dokumentation zum Cloud Key Management Service.

Beschränkungen

CMEK ist nur in der Secret Manager API v1 und gcloud verfügbar.

Hinweise

Sie können alle Ressourcen im selben Projekt oder Secrets und Schlüssel in separaten Projekten speichern. Weitere Informationen zu dieser Entscheidung finden Sie unter Aufgabentrennung in Cloud KMS.

Führen Sie die folgenden Voraussetzungen aus, um Secret Manager und Cloud KMS einzurichten:

Secret Manager:
- Erstellen Sie ein Projekt oder verwenden Sie ein vorhandenes Projekt, um Ihre Secret Manager-Ressourcen zu speichern.
- Führen Sie gegebenenfalls die Schritte im Abschnitt Secret Manager konfigurieren der Kurzanleitung für Secret Manager aus.
Cloud KMS:
- Erstellen Sie ein Projekt oder verwenden Sie ein vorhandenes Projekt zur Speicherung Ihrer Cloud KMS-Ressourcen.
- Aktivieren Sie die Cloud KMS API, falls erforderlich.

Legen Sie die folgenden Variablen auf die Projekt-IDs Ihrer Secret Manager- und Cloud KMS-Projekte fest.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Authentifizieren Sie sich bei Google Cloud:

gcloud

Wenn Sie Secret Manager in der Befehlszeile verwenden möchten, müssen Sie zuerst die Google Cloud CLI ab Version 378.0.0 installieren oder ein Upgrade auf Version 378.0.0 oder höher ausführen. In Compute Engine oder GKE müssen Sie sich mit dem Bereich cloud-platform authentifizieren.

gcloud auth login

Dienst-Agent-Identität erstellen

Sie müssen für jedes Projekt, das vom Kunden verwaltete Verschlüsselungsschlüssel erfordert, eine Dienst-Agent-Identität erstellen.

Führen Sie den folgenden Befehl aus, um eine Dienstidentität mit der Google Cloud CLI zu erstellen:

gcloud

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

Dadurch wird ein Dienstidentitätsname im folgenden Format zurückgegeben:

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

Speichern Sie den Namen der Dienstidentität:

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

Sie gewähren dieser Dienstidentität Zugriff auf die CMEK-geschützten Cloud KMS-Schlüssel, die zum Verschlüsseln und Entschlüsseln Ihrer Secrets verwendet werden.

CMEK mit automatischer Replikation

In diesem Abschnitt werden Secrets beschrieben, die über eine automatische Replikationsrichtlinie konfiguriert werden.

Für Secrets, die die automatische Replikationsrichtlinie verwenden, muss sich Ihr CMEK-Schlüssel am multiregionalen Cloud KMS-Standort global befinden. Wenn Sie einen Cloud EKM-Schlüssel verwenden, können Sie Ihr Secret nicht für die automatische Replikation konfigurieren, da Cloud EKM-Schlüssel in der Region global nicht verfügbar sind. Weitere Informationen zur Verwendung von Cloud EKM-Schlüsseln finden Sie unter Cloud EKM-Schlüssel einer CMEK-Richtlinie hinzufügen.

Erstellen Sie einen symmetrischen Cloud KMS-Schlüssel in der Cloud KMS-Region global oder verwenden Sie einen vorhandenen Schlüssel. In diesem Beispiel wird ein neuer Schlüsselbund namens secret-manager-cmek und dann ein neuer Schlüssel mit dem Namen my-cmek-key erstellt.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Gewähren Sie der Dienstidentität für Secret Manager Zugriff zum Verschlüsseln und Entschlüsseln mit dem CMEK-Schlüssel. Mit diesem Befehl wird der Dienstidentität die Cloud KMS-Verschlüsseler-/Entschlüsseler-Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel my-cmek-key zugewiesen.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Secret mit automatischer Replikation erstellen Der Ressourcenname des CMEK-Schlüssels wird als Metadaten im Secret gespeichert.

gcloud

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

API

In diesen Beispielen wird curl verwendet, um die Verwendung mit der API zu demonstrieren. Sie können Zugriffstokens mit gcloud auth print-access-token generieren. In Compute Engine oder GKE müssen Sie sich mit dem Bereich cloud-platform authentifizieren.

Legen Sie den Wert von replication.automatic.customerManagedEncryption.kmsKeyName auf den Ressourcennamen für den CMEK-Schlüssel fest.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

Jedes Mal, wenn in diesem Secret eine Secret-Version erstellt wird, wird die Nutzlast der Secret-Version automatisch mit dem Schlüssel verschlüsselt, bevor sie in den nichtflüchtigen Speicher geschrieben wird, sofern die Dienstidentität Zugriff auf den CMEK-Schlüssel hat. Wenn die Dienstidentität keinen Zugriff mehr hat oder der Schlüssel nicht mehr verfügbar ist, gibt der Versuch, eine neue Secret-Version zu erstellen oder auf eine vorhandene Version zuzugreifen, einen Fehler zurück.

Fügen Sie eine neue Secret-Version hinzu. Beachten Sie, dass Sie nicht den Ressourcennamen des Cloud KMS-Schlüssels angeben. Er wird aus den Metadaten des Secrets gelesen.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

Die Secret-Version wird auch dann erstellt, wenn der Aufrufer keinen direkten Zugriff zur Verwendung des CMEK-Schlüssels hat. Die Dienstidentität für Secret Manager und nicht der Aufrufer ist für die Verschlüsselung und Entschlüsselung von Secrets beim Lesen oder Schreiben verantwortlich.

Ebenso benötigen Sie keinen direkten Zugriff auf den CMEK-Schlüssel, um auf das Secret zuzugreifen. Die Dienstidentität greift auf den Schlüssel zu und verschlüsselt oder entschlüsselt das Secret in Ihrem Namen.

Rufen Sie die soeben erstellte Secret-Version auf:

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

CMEK-Konfiguration aktualisieren

Erstellen Sie einen neuen symmetrischen KMS-Schlüssel in der Multi-Cloud KMS-Region global.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Gewähren Sie der Dienstidentität für Secret Manager Zugriff zum Verschlüsseln und Entschlüsseln mit dem neuen CMEK-Schlüssel. Mit diesem Befehl wird der Dienstidentität die Cloud KMS-Rolle Verschlüsseler / Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel my-other-key zugewiesen.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Ändern Sie die CMEK-Konfiguration für ein Secret. Aktualisieren Sie dazu die Replikation für das Secret mit den neuen Namen der Cloud KMS-Schlüsselressourcen.

gcloud

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

CMEK mit vom Nutzer verwalteter Replikation

In diesem Abschnitt werden Secrets beschrieben, die mit einer vom Nutzer verwalteten Replikationsrichtlinie konfiguriert sind. Mit einer vom Nutzer verwalteten Replikationsrichtlinie können Sie den Google Cloud-Standort steuern, an dem das Secret gespeichert wird. Secrets sind immer von jedem Google Cloud-Standort aus zugänglich.

Secrets mit einer vom Nutzer verwalteten Replikationsrichtlinie müssen Cloud KMS-Schlüssel verwenden, die genau den Speicherorten der Secret-Versionen zugeordnet sind. In den Beispielen in diesem Leitfaden wird ein Secret an zwei separaten Orten gespeichert: us-east1 und us-central1. Anfragen für den Zugriff auf das Secret werden an einen dieser Orte weitergeleitet.

Erstellen Sie in jeder der beiden Regionen einen Schlüsselbund und einen Cloud KMS-Schlüssel zum Zweck der Verschlüsselung oder verwenden Sie einen vorhandenen Schlüssel. In diesem Beispiel wird ein neuer Schlüsselbund namens "secret-manager-cmek" und dann in jeder Region ein Schlüssel mit dem Namen "my-cmek-key" erstellt.

gcloud

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"

gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Erteilen Sie der Dienstidentität für Secret Manager die Berechtigung zum Verschlüsseln und Entschlüsseln mithilfe des CMEK-Schlüssels. Weisen Sie dazu die Rolle „Cloud KMS-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für jeden CMEK-Schlüssel einzeln oder für alle Schlüssel im Projekt zu.

gcloud

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

CMEK-fähiges Secret mit vom Nutzer verwalteter Replikation erstellen Der Ressourcenname des CMEK-Schlüssels wird als Metadaten im Secret gespeichert.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

Legen Sie den Wert von replication.userManaged.replicas.customerManagedEncryption.kmsKeyName auf die Ressourcennamen für die CMEK-Schlüssel fest.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

Fügen Sie eine neue Secret-Version hinzu. Beachten Sie, dass Sie nicht den Ressourcennamen des Cloud KMS-Schlüssels angeben. Er wird aus den Metadaten des Secrets gelesen.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Rufen Sie die soeben erstellte Secret-Version auf.

gcloud

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

CMEK-Konfiguration aktualisieren

Erstellen Sie zwei neue symmetrische KMS-Schlüssel in derselben Region wie das Secret.

gcloud

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Gewähren Sie der Dienstidentität für Secret Manager Zugriff zum Verschlüsseln und Entschlüsseln mit den neuen CMEK-Schlüsseln. Mit diesem Befehl wird der Dienstidentität die Cloud KMS-Verschlüsseler-/Entschlüsseler-Rolle (roles/cloudkms.cryptoKeyEncrypterDecrypter) für die Cloud KMS-Schlüssel my-other-key zugewiesen.

gcloud

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Ändern Sie die CMEK-Konfiguration für ein Secret. Aktualisieren Sie dazu die Replikation für das Secret mit den neuen Namen der Cloud KMS-Schlüsselressourcen.

gcloud

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

Wenn Sie mehrere Schlüssel in einem Secret gleichzeitig aktualisieren möchten, können Sie die Replikationsrichtlinie über eine Datei abrufen und festlegen.

gcloud

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

Aktualisieren Sie die Datei, um die gewünschte CMEK-Konfiguration in Ihrem bevorzugten Editor widerzuspiegeln. Lege dann die neue Richtlinie fest:

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

CMEK-Konfiguration der Secret-Version ansehen

Rufen Sie die Metadaten einer Secret-Version auf, um die Metadaten einer Secret-Version zu prüfen, einschließlich, ob die Secret-Version CMEK-fähig ist und den Ressourcennamen der CMEK-Schlüsselversion.

gcloud

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

Dies gibt den vollständigen Cloud KMS-Ressourcennamen der Schlüsselversion zurück, die zum Verschlüsseln der Secret-Version verwendet wird.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

Cloud EKM-Schlüssel einer CMEK-Richtlinie hinzufügen

In diesem Abschnitt wird beschrieben, wie Sie einer CMEK-Richtlinie einen Cloud EKM-Schlüssel hinzufügen. Mit diesen Schritten wird ein Cloud EKM-Schlüssel zum Verschlüsseln oder Entschlüsseln von Secrets aktiviert.

Da Cloud EKM derzeit den multiregionalen Standort global nicht unterstützt, können Cloud EKM-Schlüssel nur mit Secrets verwendet werden, die für die vom Nutzer verwaltete Replikation konfiguriert sind.

Erstellen Sie einen symmetrischen Schlüssel in der Cloud KMS-Region us-central1 (oder in einer beliebigen Region außer global). In diesem Beispiel wird ein neuer Schlüsselbund namens secret-manager-cmek-ekm und dann ein neuer Schlüssel namens my-ekm-key für den Schlüsselbund erstellt.

gcloud

Erstellen Sie einen neuen Schlüsselbund:

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

Erstellen Sie in diesem Schlüsselbund einen Schlüssel:

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

Erstellen Sie als Nächstes eine neue Version von my-ekm-key mit dem externen URI des Schlüssels. Weitere Informationen zu externen URIs für Cloud EKM-Schlüssel finden Sie unter Externen Schlüssel erstellen.

gcloud

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

Gewähren Sie der Dienstidentität für Secret Manager Zugriff zum Verschlüsseln und Entschlüsseln mit dem externen Schlüssel. Mit diesem Befehl wird der Dienstidentität die Cloud KMS-Rolle Verschlüsseler / Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für my-ekm-key zugewiesen.

gcloud

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Erstellen Sie ein CMEK-fähiges Secret, das einen Cloud EKM-Schlüssel verwendet.

gcloud

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF

gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

Jedes Mal, wenn eine Secret-Version in my-ekm-secret erstellt wird, wird die Nutzlast der Secret-Version nun automatisch mit dem Cloud EKM-Schlüssel verschlüsselt, bevor sie in den nichtflüchtigen Speicher geschrieben wird, sofern die Dienstidentität Zugriff auf den Schlüssel hat. Wenn die Dienstidentität keinen Zugriff mehr hat oder der Schlüssel nicht mehr verfügbar ist, gibt der Versuch, eine neue Secret-Version zu erstellen oder auf eine vorhandene Version zuzugreifen, einen Fehler zurück.

Fügen Sie eine neue Secret-Version hinzu. Beachten Sie, dass der Ressourcenname des Schlüssels aus den Metadaten des Secrets gelesen wird.

gcloud

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Die Secret-Version wird auch dann erstellt, wenn der Aufrufer keinen direkten Zugriff zur Verwendung des Schlüssels hat. Die Dienstidentität für Secret Manager und nicht der Aufrufer ist für die Verschlüsselung und Entschlüsselung von Secrets beim Lesen oder Schreiben verantwortlich.

Rufen Sie die soeben erstellte Secret-Version auf. Hier greift die Dienstidentität auf den Schlüssel zu und verschlüsselt oder entschlüsselt das Secret in Ihrem Namen.

gcloud

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

CMEK deaktivieren

Entfernen Sie die CMEK-Konfiguration aus einem Secret, indem Sie die Replikationsrichtlinie aktualisieren.

gcloud

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

API

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

Nächste Schritte

Weitere Informationen zu CMEK