Auf dieser Seite erfahren Sie, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel von Cloud KMS in anderen Google Cloud-Diensten verwenden, um Ihre Ressourcen zu schützen. Weitere Informationen Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Wenn ein Dienst CMEK unterstützt, hat er eine CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Eine Liste der Dienste mit CMEK-Integrationen finden Sie unter CMEK für unterstützte auf dieser Seite.
Hinweise
Bevor Sie Cloud KMS-Schlüssel in anderen Google Cloud-Diensten verwenden können, benötigen Sie eine Projektressource, die Ihre Cloud KMS-Schlüssel enthält. Mi. empfehlen, ein separates Projekt für Ihre Cloud KMS-Ressourcen zu verwenden, enthält keine anderen Google Cloud-Ressourcen.
CMEK-Integrationen
Aktivierung der CMEK-Integration vorbereiten
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Es gibt einen Link zur CMEK-Dokumentation für jeden Dienst unter CMEK für unterstützte Dienste aktivieren für auf dieser Seite. Für jeden Dienst können Sie Schritte ausführen, die der Folgendes:
Erstellen Sie einen Schlüsselbund oder wählen Sie einen vorhandenen aus. Der Schlüsselbund sollte sich möglichst in der Nähe der zu schützenden Ressourcen befinden.
Erstellen Sie einen Schlüssel im ausgewählten Schlüsselbund oder wählen Sie einen vorhandenen Schlüssel. Achten Sie darauf, dass das Schutzniveau, der Zweck und der Algorithmus für den Schlüssel für die zu schützenden Ressourcen geeignet sind. Dies ist der CMEK-Schlüssel.
Rufen Sie die Ressourcen-ID für den CMEK-Schlüssel ab. Sie benötigen diese Ressourcen-ID später.
IAM CryptoKey Encrypter/Decrypter zuweisen Rolle (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) für den CMEK-Schlüssel für den Dienstkonto für den Dienst.
Nachdem Sie den Schlüssel erstellt und die erforderlichen Berechtigungen zugewiesen haben, können Sie einen Dienst erstellen oder konfigurieren, um Ihren CMEK-Schlüssel zu verwenden.
Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden
In den folgenden Schritten wird Secret Manager als Beispiel verwendet. Eine genaue Anleitung dazu, wie Sie einen Cloud KMS-CMEK-Schlüssel in einem bestimmten Dienst verwenden, finden Sie in der Liste der CMEK-integrierten Dienste.
In Secret Manager können Sie einen CMEK verwenden, um ruhende Daten zu schützen.
Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.
Klicken Sie zum Erstellen eines Secrets auf Secret erstellen.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwaltete Verschlüsselung verwenden aus. Schlüssel (CMEK).
Führen Sie im Feld Verschlüsselungsschlüssel die folgenden Schritte aus:
Optional: So verwenden Sie einen Schlüssel in einem anderen Projekt:
- Klicken Sie auf Projekt wechseln.
- Geben Sie den Projektnamen vollständig oder teilweise in die Suchleiste ein und wählen Sie das Projekt aus.
- Klicken Sie auf Auswählen, um die verfügbaren Schlüssel für das ausgewählte Projekt aufzurufen.
Optional: Sie können die verfügbaren Schlüssel nach Standort, Schlüsselbund, Name oder und geben Sie Suchbegriffe in das Feld . -Filterleiste
Wählen Sie einen Schlüssel aus der Liste der verfügbaren Schlüssel im ausgewählten Projekt aus. Sie können den angezeigten Standort, den Schlüsselbund und das Schutzniveau verwenden um sicherzustellen, dass Sie den richtigen Schlüssel auswählen.
Wenn der gewünschte Schlüssel nicht in der Liste aufgeführt ist, drücken Sie die Eingabetaste Schlüssel manuell und geben Sie den Ressourcen-ID des Taste
Schließen Sie die Konfiguration des Secrets ab und klicken Sie dann auf Secret erstellen. Secret Manager erstellt das Secret und verschlüsselt es mit dem angegebenen CMEK-Schlüssel.
CMEK für unterstützte Dienste aktivieren
Wenn Sie CMEK aktivieren möchten, suchen Sie zuerst in der folgenden Tabelle nach dem gewünschten Dienst. Sie können geben Sie Suchbegriffe in das Feld ein, um die Tabelle zu filtern. Alle Dienste in dieser Liste unterstützen Software- und Hardwareschlüssel (HSM). Produkte, die mit Cloud KMS bei Verwendung externer Cloud EKM-Schlüssel finden Sie in der Spalte Von EKM unterstützt.
Folgen Sie der Anleitung für jeden Dienst, für den Sie CMEK-Schlüssel aktivieren möchten.