Vom Kunden verwaltete Verschlüsselungsschlüssel

Auf dieser Seite erfahren Sie mehr über vom Kunden verwaltete Verschlüsselungsschlüssel. Weitere Verschlüsselungsoptionen finden Sie unter Datenverschlüsselungsoptionen. Beispiele für die Verwendung dieser Funktion finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden.

Übersicht

Zusätzlich zu von Google verwalteten Verschlüsselungsschlüsseln können Sie vom Cloud Key Management Service generierte Schlüssel verwenden. Diese Schlüssel werden als vom Kunden verwaltete Verschlüsselungsschlüssel bezeichnet. Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, werden Ihre Verschlüsselungsschlüssel in Cloud KMS gespeichert. Das Projekt, das Ihre Verschlüsselungsschlüssel enthält, kann dann unabhängig von dem Projekt sein, das Ihre Buckets enthält, wodurch eine bessere Aufgabentrennung ermöglicht wird.

Wann wird der Schlüssel verwendet?

Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel auf ein Objekt anwenden, verwendet Cloud Storage den Schlüssel, um Folgendes zu verschlüsseln:

  • Die Daten des Objekts
  • Die CRC32C-Prüfsumme des Objekts
  • Den MD5-Hash des Objekts

Cloud Storage verwendet standardmäßige serverseitige Schlüssel zum Verschlüsseln der verbleibenden Metadaten für das Objekt, einschließlich des Objektnamens. Auf diese Weise können Sie allgemeine Metadaten lesen und aktualisieren sowie Objekte auflisten und löschen, ohne auf den vom Kunden verwalteten Verschlüsselungsschlüssel angewiesen zu sein. Sie benötigen jedoch ausreichende Berechtigungen für diese Aktionen.

Wenn ein Objekt z. B. mit einem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt wird, benötigen Sie den Schlüssel für Vorgänge wie das Herunterladen oder Verschieben des Objekts. Wenn Sie versuchen, die Metadaten des Objekts ohne Angabe des Schlüssels zu lesen, erhalten Sie beispielsweise den Objektnamen und den Content-Type, aber nicht die CRC32C-Prüfsumme oder den MD5-Hash des Objekts. Wenn Sie Ihren Schlüssel in der Anfrage für die Objektmetadaten angeben, werden auch die CRC32C-Prüfsumme und der MD5-Hash des Objekts in den Metadaten zurückgegeben.

Dienstkonten

Die Ver- und Entschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln erfolgt mithilfe von Dienstkonten. Nachdem Sie Ihrem Cloud Storage-Dienstkonto Zugriff auf einen Verschlüsselungsschlüssel gewährt haben, verschlüsselt dieses Dienstkonto:

Wenn Sie sowohl einen Standardschlüssel für Ihren Bucket als auch einen spezifischen Schlüssel für die Anfrage festgelegt haben, verwendet Cloud Storage den spezifischen Schlüssel zum Verschlüsseln des Objekts, wenn ein Objekt in Cloud Storage hinzugefügt oder neu geschrieben wird.

Wenn Sender ein Objekt lesen möchten, das mit einem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt ist, können sie wie gewohnt auf das Objekt zugreifen. Während einer solchen Anfrage entschlüsselt das Dienstkonto das angeforderte Objekt automatisch, solange:

  • Das Dienstkonto weiterhin über die Berechtigung verfügt, mit dem Schlüssel zu entschlüsseln
  • Sie den Schlüssel nicht deaktiviert oder zerstört haben

Wenn eine dieser Bedingungen nicht erfüllt ist, entschlüsselt das Dienstkonto die Daten nicht und die Anfrage schlägt fehl.

Wichtige Ressourcen

Eine Cloud KMS-Schlüsselressource hat folgendes Format:

projects/[PROJECT_STORING_KEYS]/locations/[LOCATION]/keyRings/[KEY_RING_NAME]/cryptoKeys/[KEY_NAME]

Dabei sind [VALUES_IN_BRACKETS] Werte, die von Ihrer Schlüsselressource abhängen.

Beschränkungen

Vom Kunden verwaltete Verschlüsselungsschlüssel unterliegen den folgenden Beschränkungen:

  • Cloud SQL-Exporte in Cloud Storage und Cloud Dataflow unterstützen derzeit keine Objekte, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden.

  • Vom Kunden verwaltete Verschlüsselungsschlüssel sind in folgenden Ländern verfügbar:

    Argentinien, Australien, Belgien, Bulgarien, Chile, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Großbritannien, Hongkong, Indien, Indonesien, Irland, Israel, Italien, Japan, Kanada, Kolumbien, Lettland, Litauen, Luxemburg, Malaysia, Malta, Mexiko, Neuseeland, Niederlande, Norwegen, Österreich, Peru, Polen, Portugal, Rumänien, Schweden, Schweiz, Singapur, Slowakei, Spanien, Südafrika, Südkorea, Taiwan, Thailand, Tschechische Republik, Türkei, Ungarn, USA, Vietnam, Zypern
  • Sie können die Methode JSON API Copy Object nicht verwenden, wenn das Quellobjekt mit einem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt ist. Das Gleiche gilt, wenn dadurch das Zielobjekt durch einen vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt würde. Verwenden Sie stattdessen die Methode Rewrite Object.

  • Eine Aktualisierung der Metadaten des Objekts führt nicht dazu, dass Sie ein Objekt mit einem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsseln können. Fügen Sie den Schlüssel stattdessen hinzu, während Sie das Objekt neu schreiben.

  • Sie müssen den Cloud KMS-Schlüssel am selben Standort wie die Daten erstellen, die Sie verschlüsseln möchten. Beispiel: Wenn sich Ihr Bucket in us-east1 befindet, müssen alle Cloud KMS-Schlüssel, die Objekte in diesem Bucket verschlüsseln, ebenfalls in us-east1 erstellt werden. Informationen zu verfügbaren Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte.

  • Sie können einen vom Kunden verwalteten Verschlüsselungsschlüssel nicht als Teil einer Übertragung des Storage Transfer Service angeben. Solche Schlüssel für Quellobjekte werden nicht auf die übertragenen Objekte angewendet. Legen Sie stattdessen vor der Übertragung den vom Kunden verwalteten Schlüssel als Standardschlüssel für Ihren Bucket fest.

Bezug zu vom Kunden bereitgestellten Verschlüsselungsschlüsseln

Neben der Verschlüsselung, die vom Kunden verwaltet wird, bietet Cloud Storage zur Steuerung Ihrer Datenverschlüsselung auch vom Kunden bereitgestellte Verschlüsselungsschlüssel. Sie können verschiedene Objekte in einem einzelnen Bucket mit unterschiedlichen Verschlüsselungsmethoden verschlüsseln, beachten Sie aber Folgendes:

  • Ein einzelnes Objekt kann immer nur mit einer dieser Methoden verschlüsselt werden.

  • Wenn der Standardschlüssel für Ihren Bucket ein vom Kunden verwalteter Schlüssel ist und Sie in einer Anfrage einen vom Kunden bereitgestellten Schlüssel angeben, verwendet Cloud Storage den vom Kunden bereitgestellten Schlüssel zum Verschlüsseln des Objekts.

  • Sie können als Standardschlüssel für Ihren Bucket einen vom Kunden verwalteten Schlüssel festlegen, aber keinen vom Kunden bereitgestellten Schlüssel.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...