Dieses Dokument bietet eine Übersicht über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Mit dem Cloud KMS-CMEK der Schlüssel zum Schutz Ihrer ruhenden Daten. Google Cloud
Vergleich von CMEK und von Google gehörenden und von Google verwalteten Schlüsseln
Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel. Google-Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS-Autoschlüssel (Vorschau). Die folgenden Faktoren unterscheiden die Google-Standardverschlüsselung ruhender Daten von vom Kunden verwaltete Schlüssel:
| Schlüsseltyp | Vom Kunden verwaltet mit Autokey (Vorschau) | Vom Kunden verwaltet (manuell) | Von Google und von Google verwaltet (Standardeinstellung von Google) |
|---|---|---|---|
| Kann Schlüsselmetadaten ansehen | Ja | Ja | Ja |
| Inhaberschaft von Schlüsseln1 | Kunde | Kunde | |
| Kann 2 Schlüssel verwalten und steuern3 | Die Schlüsselerstellung und ‐zuweisung erfolgt automatisch. Die manuelle Kontrolle durch den Kunden vollständig unterstützt. | Kunde, nur manuelle Kontrolle | |
| Einhaltung gesetzlicher Auflagen für vom Kunden verwaltete Schlüssel | Ja | Ja | Nein |
| Schlüsselfreigabe | Eindeutig für einen Kunden | Eindeutig für einen Kunden | Für Daten mehrerer Kunden wird in der Regel derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet. |
| Steuerung der Schlüsselrotation | Ja | Ja | Nein |
| CMEK-Organisationsrichtlinien | Ja | Ja | Nein |
| Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren | Ja | Ja | Nein |
| Preise | Variiert. Weitere Informationen finden Sie unter Preise. Keine zusätzlichen Kosten für Autokey (Vorschau) | Variiert – weitere Informationen finden Sie unter Preise | Kostenlos |
1 Der Inhaber des Schlüssels gibt rechtlich an, wer die Rechte an dem Schlüssel hat. Für Schlüssel, die dem Kunden gehören, ist der Zugriff streng eingeschränkt oder keinen Zugriff durch Google.
2 Die Steuerung von Schlüsseln bedeutet, dass Einstellungen für die Art der Schlüssel festgelegt werden und wie die Schlüssel verwendet werden, Abweichungen erkennen und gegebenenfalls Korrekturmaßnahmen planen. Sie können Ihre Schlüssel zwar verwalten, aber die Verwaltung der Schlüssel an einen Dritten delegieren.
3 Die Schlüsselverwaltung umfasst die folgenden Funktionen:
- Erstellen Sie Schlüssel.
- Wählen Sie das Schutzniveau der Schlüssel aus.
- Weisen Sie die Befugnis für die Verwaltung der Schlüssel zu.
- Zugriff auf Schlüssel steuern.
- Nutzung von Schlüsseln steuern.
- Sie können den Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Rotation von Schlüsseln auslösen.
- Schlüsselstatus ändern.
- Schlüsselversionen löschen
Standardverschlüsselung mit Google-eigenen und von Google verwalteten Schlüsseln
Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und -prüfungen, und die inaktiven Nutzerdaten mit dem Verschlüsselungsstandard AES-256 verschlüsseln. Google ist Eigentümer und verwaltet die Schlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden. Sie können diese weder ansehen noch verwalten oder Schlüsselnutzungslogs überprüfen. Daten von mehreren Kunden verwenden möglicherweise dasselbe Key Encryption Key (KEK). Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloud finden Sie unter Standardverschlüsselung ruhender Daten.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Inhaber Sie sind. Dieses ermöglicht eine bessere Kontrolle über die Schlüssel, die zum Verschlüsseln von Daten verwendet werden. in unterstützten Google Cloud-Diensten ruhen lassen. kryptografischer Grenze um Ihre Daten zu definieren. Sie können CMEKs direkt in Cloud KMS erstellen oder die Bereitstellung und Zuweisung mithilfe von Cloud KMS-Autoschlüssel (Vorschau).
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist ein serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardtechnologie von Google verwenden können Verschlüsselung. Nachdem CMEK eingerichtet ist, werden die Verschlüsselungs- und Entschlüsselungsvorgänge werden vom Ressourcendienst-Agent verarbeitet. Da CMEK-integriert Dienste für den Zugriff auf die verschlüsselte Ressource sowie für die Verschlüsselung und Entschlüsselung können transparent und ohne Aufwand für die Endnutzer stattfinden. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Google. Weitere Informationen zur CMEK-Integration finden Sie unter Was ein CMEK-integrierter Dienst bietet
Sie können für jeden Schlüssel eine unbegrenzte Schlüsselversion verwenden.
Ob ein Dienst CMEK-Schlüssel unterstützt, sehen Sie in der Liste der unterstützten Dienste.
Für die Verwendung von Cloud KMS fallen Kosten an, die mit der Anzahl der Schlüsselversionen und kryptografischer Vorgänge mit diesen Schlüsselversionen. Weitere Informationen zu finden Sie unter Cloud Key Management Service – Preise. Kein Mindestkauf oder Zusicherung ist erforderlich.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey
Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEK-Schlüsseln durch Automatisierung Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung bei Bedarf generiert werden, und Service-Agents, die wird den Verschlüsselungs- und Entschlüsselungsvorgängen automatisch die erforderlichen IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung).
Die Verwendung der von Autokey generierten Schlüssel kann Ihnen helfen, Branchenstandards und empfohlenen Praktiken für die Datensicherheit, einschließlich Ausrichtung von Schlüsseldaten, Schlüsselgenauigkeit, Hardwaresicherheitsmodul (HSM) Schutzniveau, Schlüsselrotationszeitplan und Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien speziell für den Ressourcentyp für Google Cloud-Dienste, die in Autokey integriert werden. Mit der Autokey-Funktion erstellte Schlüssel identisch mit anderen Cloud HSM-Schlüsseln (Cloud HSM) mit denselben Einstellungen, einschließlich der Unterstützung gesetzlicher Anforderungen für vom Kunden verwaltete Schlüssel. Für finden Sie unter Autokey – Übersicht
Wann werden vom Kunden verwaltete Schlüssel verwendet?
Sie können manuell erstellte CMEK-Schlüssel oder von Autokey erstellte Schlüssel verwenden in kompatible Dienste, mit denen Sie die folgenden Ziele erreichen können:
Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Standortauswahl Schutzniveau, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Generieren oder verwalten Sie Ihr Schlüsselmaterial außerhalb von Google Cloud.
Legen Sie eine Richtlinie für den Ort fest, an dem Ihre Schlüssel verwendet werden müssen.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei Offboarding oder zur Behebung von Sicherheitsvorfällen selektiv löschen (Crypto-Shredding).
Erstellen und verwenden Sie Schlüssel, die für einen Kunden eindeutig sind und eine kryptografische Grenze für Ihre Daten festlegen.
Administrator- und Datenzugriff in der Verschlüsselung protokollieren Schlüssel.
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.
Was ein CMEK-integrierter Dienst bietet
Wie die Standardverschlüsselung von Google ist CMEK eine serverseitige, symmetrische Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google ist: dass der CMEK-Schutz einen Schlüssel verwendet, den der Kunde kontrolliert. Manuell oder automatisch mit Autokey erstellte CMEK-Schlüssel funktionieren bei der Dienstintegration auf die gleiche Weise.
Cloud-Dienste mit CMEK-Integration Mit den Schlüsseln, die Sie in Cloud KMS erstellen, können Sie Ihre Ressourcen schützen.
In Cloud KMS integrierte Dienste verwenden symmetrische Verschlüsselung.
Das Schutzniveau des Schlüssels können Sie selbst festlegen.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Systemgrenzen von Cloud KMS.
Ihre symmetrischen Schlüssel werden zum Verschlüsseln und Entschlüsseln im Umschlag verwendet Verschlüsselungsmodells.
In CMEK integrierte Dienste verfolgen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadatenfeld mit dem Namen des der sie verschlüsselt. In der Regel sind diese Informationen für den Kunden Ressourcenmetadaten.
Schlüssel-Tracking gibt an, welche Ressourcen ein Schlüssel für Dienste, die das Schlüssel-Tracking unterstützen.
Schlüssel können nach Projekt aufgelistet werden.
CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff
Das Hauptkonto, das Ressourcen im CMEK-integrierten Dienst erstellt oder ansieht
erfordert keine
Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler
(roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK zum Schutz des
.
Jede Projektressource hat ein spezielles Dienstkonto, Dienst-Agent für die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln. Sobald Sie dem Dienst-Agent Zugriff gewähren mit einem CMEK verknüpft ist, verwendet dieser Dienst-Agent diesen Schlüssel, um die Ressourcen Ihrer eine große Auswahl.
Wenn ein Anforderer auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel enthält, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung zum Entschlüsseln mit dem Schlüssel hat und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, stellt der Dienst-Agent die Verschlüsselung und Entschlüsselung mit dem Schlüssel bereit. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Zugriff für den Anfragenden erforderlich. Da der Dienstagent die Verschlüsselung und Entschlüsselung im Hintergrund übernimmt, ähnelt die Nutzererfahrung beim Zugriff auf Ressourcen der Verwendung der Standardverschlüsselung von Google.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie Autokey verwenden möchten, gibt es eine einmalige Einrichtungsprozess. Sie können davon ausgehen, dass Sie einen Ordner auswählen, in dem Sie arbeiten möchten. Autokey-Unterstützung und ein zugehöriges Schlüsselprojekt, bei dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEK-Schlüsseln sind bei Autokey die folgenden Einrichtungsschritte nicht erforderlich:
Schlüsseladministratoren müssen Schlüsselbunde oder Schlüssel nicht manuell erstellen Berechtigungen für Dienst-Agents, die Daten verschlüsseln und entschlüsseln. Die Der Cloud KMS-Dienst-Agent führt diese Aktionen in seinem Namen aus.
Entwickler müssen nicht im Voraus planen, um vor dem Erstellen von Ressourcen Schlüssel anzufordern. Sie können nach Bedarf selbst Schlüssel bei Autokey anfordern und dabei die Aufgabentrennung wahren.
Wenn Sie Autokey verwenden, gibt es nur einen Schritt: Der Entwickler fordert die Schlüssel als Teil der Ressourcenerstellung. Die zurückgegebenen Schlüssel sind für den vorgesehenen Ressourcentyp.
Ihre mit Autokey erstellten CMEK-Schlüssel verhalten sich genauso wie manuell erstellte Schlüssel für die folgenden Funktionen:
CMEK-integrierte Dienste verhalten sich gleich.
Der Schlüsseladministrator kann weiterhin alle erstellten und verwendeten Schlüssel überwachen über das Cloud KMS-Dashboard Tracking der Schlüsselnutzung.
Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEK-Schlüsseln.
Eine Übersicht über Autokey finden Sie unter Autokey – Übersicht Weitere Informationen Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen
CMEK-Schlüssel manuell erstellen
Wenn Sie Ihre CMEK-Schlüssel manuell erstellen, müssen Schlüsselbunde, Schlüssel und Ressourcenspeicherorte vor der Ressourcenerstellung geplant und erstellt werden. Sie können dann Ihre Schlüssel verwenden, um die Ressourcen zu schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Einige Dienste wie GKE haben mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit für den Dienst. Sie sollten in etwa folgende Schritte ausführen:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wann? beim Erstellen Ihres Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe des die Sie schützen möchten. Der Schlüsselbund kann sich im selben Projekt befinden wie der die Sie schützen, oder in verschiedenen Projekten. Wenn Sie verschiedene Projekte verwenden, haben Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel in den ausgewählten Schlüsselbund. Dieses ist der CMEK-Schlüssel.
Sie gewähren die IAM-Rolle CryptoKey Encrypter/Decrypter Rolle (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel für den Dienstkonto für den Dienst.Konfigurieren Sie beim Erstellen einer Ressource die Verwendung des CMEK-Schlüssels. Sie können beispielsweise einen GKE-Cluster so konfigurieren, dass CMEK zum Schutz inaktiver Daten auf den Bootlaufwerken der Knoten verwendet wird.
Damit ein Antragsteller auf die Daten zugreifen kann, benötigt er keinen direkten Zugriff auf den CMEK-Schlüssel.
Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder Wenn Sie den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen, sodass Sie die Schlüssel selbst verwalten können. Einige Dienste bieten stattdessen CMEK-Compliance, d. h. die temporären Daten und werden nie auf das Laufwerk geschrieben. Eine vollständige Liste der integrierten und konformen Diensten, finden Sie unter Mit CMEK kompatible Dienste.
Tracking der Schlüsselnutzung
Das Tracking der Schlüsselnutzung zeigt Ihnen die Google Cloud-Ressourcen in Ihrem Organisationen, die durch Ihre CMEK-Schlüssel geschützt sind. Mit dem Tracking der Schlüsselnutzung können die geschützten Ressourcen, Projekte und einzelnen Google Cloud-Produkte ansehen. die einen bestimmten Schlüssel verwenden, und ob Schlüssel verwendet werden. Weitere Informationen zu Schlüsselnutzungs-Tracking (siehe Schlüsselnutzung ansehen)
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um sicherzustellen, konsistente CMEK-Nutzung in einer Organisationsressource möglich. Diese Einschränkungen an die Administratoren der Organisation, CMEK-Nutzung erforderlich und die Angabe Einschränkungen und Kontrollen der für CMEK verwendeten Cloud KMS-Schlüssel einschließlich:
Limits dafür, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden
Limits für die zulässigen Schutzniveaus von Schlüsseln
Einschränkungen für den Speicherort von CMEK-Schlüsseln
Steuerelemente für das Löschen von Schlüsselversionen
Weitere Informationen zu Organisationsrichtlinien für CMEK finden Sie unter CMEK-Organisationsrichtlinien.
Nächste Schritte
- Liste der Dienste mit CMEK ansehen Integrationen.
- Liste der CMEK-kompatiblen Dienste.
- Liste der Ressourcentypen, für die das Tracking der Schlüsselnutzung aktiviert werden kann
- Hier finden Sie eine Liste der Dienste, die von Autokey