In der Sovereign Cloud von T-Systems müssen alle Daten mit Cloud External Key Manager-Schlüsseln (Cloud EKM) verschlüsselt werden. Das sind Verschlüsselungsschlüssel, die mit einem externen Schlüsselmanager (auch EKM abgekürzt) verbunden sind. Kunden können zwar ihre eigene Cloud-EKM einrichten und verwenden, aber auch ein von Google Cloud und T-Systems Sovereign Cloud bereitgestelltes Projekt nutzen. In diesem Projekt, das als Schlüsselverwaltungsprojekt bezeichnet wird, können Schlüssel mit einem externen Schlüsselmanager erstellt werden, der von T-Systems International (TSI) im Namen des Kunden betrieben wird.
In diesem Thema erfahren Sie, wie Sie Cloud KMS mit TSI verwenden.
Übersicht
Zum Erstellen und Verwalten von Schlüsseln mit Cloud EKM in T-Systems Sovereign Cloud verwenden Sie ein Ticketsystem namens Issue Tracker. In der Begrüßungs-E-Mail erhalten Sie einen Link zum Issue Tracker-Tool und die wichtigsten Informationen zur Administratorzugriffsgruppe. Alle wichtigen Administratoren müssen der Zugriffsgruppe hinzugefügt werden. Diese Administratoren haben dann Zugriff auf die Issue-Tracker-Komponente, um bei TSI Tickets zu erstellen. TSI führt dann Schlüsselverwaltungsaktionen in Ihrem Namen aus.
Alle von TSI verwalteten Schlüssel sollten im vorab bereitgestellten Schlüsselverwaltungsprojekt erstellt werden. Daten müssen nicht in demselben Projekt gehostet werden, in dem sich die Cloud KMS-Schlüssel befinden. Mit dieser Funktion wird die Best Practice einer Aufgabentrennung zwischen Schlüssel- und Datenadministratoren unterstützt.
Kundenspezifische Informationen finden
Bevor Sie mit dem Erstellen von Schlüsseln beginnen, suchen Sie in Ihrer ersten Begrüßungs-E-Mail nach den folgenden Informationen:
- Cloud KMS-Projektnummer
- Gruppe mit Schlüsselzugriff für Administratoren
- Link zum Issue Tracker
Zugriffsgruppen konfigurieren
Die Zugriffsgruppe für Schlüsseladministratoren ist eine private Google-Gruppe für Schlüsseladministratoren in Ihrer Organisation, die die IAM-Rolle Cloud KMS Admin (Cloud KMS-Identity and Access Management) erhalten. Die Gruppe für den Zugriff von Hauptadministratoren wird von Ihnen verwaltet.
Sie erhalten Ihre Zugriffsgruppe in der Willkommens-E-Mail. Sie hat folgendes Format:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Fügen Sie der Google-Gruppe die Nutzer hinzu, denen Sie in Ihrem Projekt die Rolle Cloud KMS-Administrator zuweisen möchten. Weitere Informationen zum Verwalten Ihrer Gruppe finden Sie unter Personen zur Gruppe hinzufügen.
Cloud EKM-Schlüssel erstellen
Cloud EKM-Schlüssel werden zum Verschlüsseln Ihrer Daten in Google Cloudverwendet. Wenn Sie Schlüssel aus dem externen Schlüsselverwaltungssystem von TSI verwenden möchten, müssen Sie zuerst einen Cloud EKM-Schlüssel erstellen. Dieser mit TSI verknüpfte Cloud EKM-Schlüssel wird verwendet, um auf einen bestimmten Schlüssel im EKM von TSI zu verweisen. Er kann nur im vorab bereitgestellten Schlüsselverwaltungsprojekt erstellt werden.
Schlüsselbund erstellen
Erstellen Sie einen Schlüsselbund, der Ihren Cloud EKM-Schlüssel enthält. Bei T-Systems Sovereign Cloud muss der Schlüsselbundspeicherort immer europe-west3 sein. Ersetzen Sie den Platzhalter KEY_RING_NAME durch den gewünschten Namen für den Schlüsselbund:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Ressourcennamen der Cloud EKM-Verbindung abrufen
Als Nächstes müssen Sie den Cloud-EKM-Verbindungsressourcennamen von TSI im Schlüsselverwaltungsprojekt abrufen. Er heißt default-ekm-connection.
gcloud
Führen Sie den folgenden Befehl aus und suchen Sie nach dem Namen der Cloud-EKM-Verbindungsressource, der den Verbindungsnamen „default-ekm-connection“ enthält. Sie hat folgendes Format: projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection.
gcloud kms ekm-connections list \ --location europe-west3
Beispielausgabe:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Kopieren Sie den vollständigen Ressourcennamen, der im Bereich NAME hervorgehoben ist. Dieser Wert wird als --crypto-key-backend-Wert verwendet, wenn Sie den symmetrischen und/oder asymmetrischen Schlüssel erstellen.
Symmetrischen Verschlüsselungsschlüssel erstellen
Verwenden Sie den folgenden Befehl in der Google Cloud CLI, um einen symmetrischen Cloud EKM-Schlüssel zu erstellen:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
Mit dem Flag --skip-initial-version-creation wird verhindert, dass eine Schlüsselversion erstellt wird. Wenn Sie Cloud KMS mit TSI Sovereign Cloud verwenden, ist TSI für das Erstellen von Schlüsselversionen für Sie verantwortlich.
Der Zweck des Schlüssels als encryption gibt an, dass es sich um einen symmetrischen Verschlüsselungsschlüssel handelt. Sie müssen die Schutzstufe external-vpc verwenden, da der EKM des TSI über eine VPC-Verbindung mit Cloud KMS verbunden ist.
Ersetzen Sie EKM_CONNECTION durch den Namen der EKM-Verbindung, den Sie oben im Abschnitt Ressourcennamen der Cloud EKM-Verbindung abrufen kopiert haben. Verwenden Sie dabei den vollständigen Ressourcennamen.
Durch den obigen Schritt wird im Schlüsselbund ein leerer symmetrischer Verschlüsselungsschlüssel erstellt. Folgen Sie der Anleitung im Abschnitt Abschließende Schritte unten, um eine Schlüsselversion zu erstellen.
Asymmetrischen Signaturschlüssel erstellen
Das Erstellen eines asymmetrischen Signaturschlüssels ähnelt dem Erstellen eines symmetrischen Verschlüsselungsschlüssels. Die Hauptunterschiede sind der Zweck und der Standardalgorithmus des Schlüssels.
Achten Sie beim Erstellen eines neuen Schlüssels darauf, --skip-initial-version-creation hinzuzufügen, um zu verhindern, dass eine Schlüsselversion erstellt wird. Wenn Sie Cloud KMS mit der T-Systems Sovereign Cloud verwenden, ist TSI für das Erstellen von Schlüsselversionen für Sie verantwortlich.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Legen Sie den Zweck des Schlüssels auf asymmetric-signing fest, um anzugeben, dass es sich um einen asymmetrischen Signaturschlüssel handelt. Sie müssen die Schutzstufe external-vpc verwenden, da das EKM von TSI über eine VPC-Verbindung mit Cloud KMS verbunden ist.
Ersetzen Sie EKM_CONNECTION durch den Namen der EKM-Verbindung, den Sie oben im Abschnitt Ressourcennamen der Cloud EKM-Verbindung abrufen kopiert haben. Verwenden Sie dabei den vollständigen Ressourcennamen.
Mit den oben genannten Schritten wird ein leerer asymmetrischer Verschlüsselungsschlüssel im Schlüsselbund erstellt. Folgen Sie der Anleitung im Abschnitt Abschließende Schritte unten, um eine Schlüsselversion zu erstellen.
Letzte Schritte
Nachdem Sie einen Cloud EKM-Schlüssel in Google Clouderstellt haben, müssen Sie über das Issue-Tracker-Anfrageformular ein Ticket an TSI senden. So erstellen Sie die erste Schlüsselversion. Ihre Anfrage wird an TSI weitergeleitet, damit die Schlüsselbereitstellung auf deren Seite abgeschlossen werden kann.
Unter Von TSI verwaltete Schlüsselvorgänge finden Sie detaillierte Anleitungen zu anderen Schlüsselverwaltungsvorgängen wie dem Erstellen oder Rotieren von Schlüsselversionen.