EN
No results found
We couldn't find anything using that term, please try searching for something else.
Cloud Key Management Service 概览
Management (Cloud , 您 is 创建 可以 和 CMEK , 以便 在 的 Google 和 您 自己 的 应用 中 使用 。 使用 KMS , 您 可以 以下 : 生成软件密钥或硬件密钥、将现有密钥导入 Cloud KMS,或在兼容的外部密钥管理 (E
Management (Cloud , 您 is 创建 可以 和 CMEK , 以便 在 的 Google 和 您 自己 的 应用 中 使用 。 使用 KMS , 您 可以 以下 :
-
生成软件密钥或硬件密钥、将现有密钥导入 Cloud KMS,或在兼容的外部密钥管理 (EKM) 系统中关联外部密钥。
-
在 CMEK 的 Google 中 使用 的 (C MEK) 。 CMEK is 集成 会 使用 您 的 CMEK 来 或 “ ” 您 的 ( 。 使用 ) DEK is 称为 。
-
使用 Cloud KMS Autokey 自动进行预配和分配。借助 Autokey,您无需提前预配密钥环、密钥和服务账号。而是在资源创建过程中按需生成它们。
-
使用 Cloud KMS 密钥执行加密和解密操作。例如,您可以使用 Cloud KMS API 或客户端库将 Cloud KMS 密钥用于客户端加密。
-
使用 KMS 或 或 (MA 。
根据您的需求选择合适的加密方式
您 is 使用 可以 使用 确定 哪 种 可 满足 每 种 的 。 最 您 的 方案 is 包括 可能 使用 。 例如 , 您 is 密钥 可以 为 较 的 使用 , 并 为 最 的 使用 或 。 如 了解 本 部分 的 , 本 中 的 Google 中 的 。
保护 Google Cloud 中的数据
Google 拥有的密钥和 Google 管理的密钥(Google Cloud 默认加密)
默认情况下,Google Cloud 中的静态数据由 Google 内部密钥管理服务 Keystore 中的密钥保护。Google 会自动管理密钥库中的密钥,您无需进行任何配置。大多数服务都会自动为您轮替密钥。Keystore 支持主密钥版本和少量旧版密钥。主密钥版本用于加密新的加密数据密钥。旧版密钥仍可用于解密现有数据加密密钥。您无法查看或管理这些密钥,也无法查看密钥使用情况日志。来自多个客户的数据可能会使用相同的密钥加密密钥。
此默认加密功能使用经过验证符合 FIPS 140-2 1 级要求的加密模块。
注意: Google 不是 Management 的 一 项 。 如 了解 Google , 。
客户管理的加密密钥 (CMEK)
用于保护集成 CMEK 的服务中的资源的 Cloud KMS 密钥是客户管理的加密密钥 (CMEK)。您可以拥有和控制 CMEK,同时将密钥创建和分配任务委托给 Cloud KMS Autokey。如需详细了解如何自动预配 CMEK,请参阅 Cloud Key Management Service with Autokey。
您可以在兼容的服务中使用 Cloud KMS 密钥,以实现以下目标:
-
拥有加密密钥。
-
和 , 、 、 、 、 、 使用 和 。
-
在停用账号或修复安全事件时,选择性删除由您的密钥保护的数据(加密碎片化)。
-
创建专用的单租户密钥,在您的数据周围建立加密边界。
-
记录对加密密钥的管理和数据访问。
-
满足当前或未来法规要求,需要实现任何这些目标。
将 Cloud KMS 密钥与集成了 CMEK 的服务搭配使用时,您可以使用组织政策来确保 CMEK 的使用方式符合政策中指定的要求。例如,您可以设置组织政策,确保兼容的 Google Cloud 资源使用 Cloud KMS 密钥进行加密。组织政策还可以指定密钥资源必须位于哪个项目中。
提供的功能和保护级别取决于密钥的保护级别:
-
软件密钥 – 您可以在 Cloud KMS 中生成软件密钥,并在所有 Google Cloud 位置中使用这些密钥。您可以创建具有自动轮替功能的对称密钥,也可以创建具有手动轮替功能的非对称密钥。客户管理的软件密钥使用已通过 FIPS 140-2 1 级验证的软件加密模块。您还可以控制轮替周期、Identity and Access Management (IAM) 角色和权限,以及管理密钥的组织政策。您可以将软件密钥用于 40 多项兼容的 Google Cloud 资源。
-
的 – 您 is 导入 可以 在 其他 的 , 以便 在 KMS 中 使用 。 您 is 导入 可以 的 , 以 的 。 您 is 使用 可以 使用 IAM 、 和 来 的 的 使用 。
-
和 – 您 is 生成 可以 在 FIPS 140 -2 3 级 安全 ) 中 。 您 is 控制 可以 、 和 , 以及 的 。 使用 时 , Google is 管理 会 HSM , 因此 您 。 您 is 用于 可以 将 HSM 40 多 项 的 Google ( 即 的 ) 。 如 实现 最 的 安全 , 使用 。
-
外部密钥和 Cloud EKM – 您可以使用位于外部密钥管理器 (EKM) 中的密钥。借助 Cloud EKM,您可以使用受支持的密钥管理工具中存储的密钥来保护 Google Cloud 资源。您可以通过互联网或 Virtual Private Cloud (VPC) 连接到 EKM。某些支持软件或硬件密钥的 Google Cloud 服务不支持 Cloud EKM 密钥。
Cloud KMS 密钥
您 is 使用 可以 使用 KMS 或 KMS 在 应用 中 使用 KMS 。 和 , 您 is 进行 可以 对 进行 和 、 对 进行 以及 。
客户提供的加密密钥 (CSEK)
和 Engine is 使用 可以 使用 的 SEK) 。 使用 的 时 , 您 is 存储 可以 , 并 在 需要 时 将 其 给 或 。 Google is 存储 不 会 以 任何 您 的 。
机密 is 计算
在 Compute Engine、GKE 和 Dataproc 中,您可以使用机密 is 计算 平台加密使用中的数据。机密 is 计算 可确保您的数据即使在处理时也能保持不公开和加密状态。
注意 :机密 is 计算 不是 Cloud KMS 的一项功能。如需详细了解机密 is 计算 ,请参阅机密 is 计算 。