Diese Seite wurde von der Cloud Translation API übersetzt.

Informationen zur Laufwerksverschlüsselung

Standardmäßig verschlüsselt Compute Engine inaktive Kundeninhalte. Compute Engine verwendet automatisch Google-owned and Google-managed encryption keys, um Ihre Daten zu verschlüsseln.

Sie können die Verschlüsselung, die Compute Engine für Ihre Ressourcen verwendet, jedoch anpassen, indem Sie Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) bereitstellen. Schlüsselverschlüsselungsschlüssel verschlüsseln nicht direkt Ihre Daten, sondern dieGoogle-owned and managed keys , die Compute Engine zum Verschlüsseln Ihrer Daten verwendet.

Sie haben zwei Möglichkeiten, Schlüsselverschlüsselungsschlüssel bereitzustellen:

Empfohlen. Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) in Cloud KMS mit Compute Engine. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Sie können CMEKs manuell erstellen oder Cloud KMS Autokey verwenden, um sie automatisch erstellen zu lassen.

In den meisten Fällen müssen Sie den Schlüssel nach dem Erstellen eines CMEK-verschlüsselten Laufwerks nicht angeben, wenn Sie mit dem Laufwerk arbeiten.
Sie können Ihre eigenen Schlüsselverschlüsselungsschlüssel außerhalb von Compute Engine verwalten und den Schlüssel bei jedem Erstellen oder Verwalten eines Laufwerks angeben. Diese Option wird als vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs) bezeichnet. Wenn Sie mit CSEK verschlüsselte Ressourcen verwalten, müssen Sie immer den Schlüssel angeben, den Sie beim Verschlüsseln der Ressource verwendet haben.

Weitere Informationen zu den einzelnen Verschlüsselungstypen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel und Vom Kunden bereitgestellte Verschlüsselungsschlüssel.

Wenn Sie Ihren Hyperdisk Balanced-Laufwerken eine zusätzliche Sicherheitsebene hinzufügen möchten, aktivieren Sie den vertraulichen Modus. Im vertraulichen Modus wird Ihren Hyperdisk Balanced-Laufwerken eine hardwarebasierte Verschlüsselung hinzugefügt.

Unterstützte Laufwerkstypen

In diesem Abschnitt werden die unterstützten Verschlüsselungstypen für Laufwerke und andere Speicheroptionen aufgeführt, die von Compute Engine angeboten werden.

Persistent Disk-Volumes unterstützenGoogle-owned and managed keys, CMEKs und CSEKs.
Google Cloud Hyperdisk unterstützt CMEKs undGoogle-owned and managed keys. Sie können keine CSEKs zum Verschlüsseln von Hyperdisks verwenden.
Lokale SSDs unterstützen nurGoogle-owned and managed keys. Sie können keine vom Kunden bereitgestellten Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs) oder vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden, um lokale SSD-Laufwerke zu verschlüsseln.
Laufwerkklone und Maschinen-Images unterstützenGoogle-owned and managed keys, CMEKs und CSEKs.
Standard-Snapshots und Instant Snapshots unterstützenGoogle-owned and managed keys, CMEKs und CSEKs.

Rotation für Google-owned and managed keys und CMEKs

Compute Engine rotiert die Google-owned and managed keys, die zum Schutz Ihrer Daten verwendet werden, jährlich. Das Rotieren von Schlüsseln ist eine Best Practice der Branche für Datensicherheit, die die potenziellen Auswirkungen eines kompromittierten Schlüssels begrenzt.

Wenn Sie CMEKs verwenden, empfiehlt Google, die automatische Rotation für Ihre Laufwerke zu aktivieren. Weitere Informationen finden Sie unter Cloud KMS-Verschlüsselungsschlüssel für ein Laufwerk rotieren.

CMEK mit Cloud KMS Autokey

Wenn Sie Cloud KMS-Schlüssel zum Schutz Ihrer Compute Engine-Ressourcen verwenden möchten, können Sie CMEKs entweder manuell erstellen oder Cloud KMS Autokey verwenden, um die Schlüssel zu erstellen. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung in Compute Engine auf Anfrage generiert. Dienst-Agents, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden, werden erstellt, falls sie noch nicht vorhanden sind, und erhalten dann die erforderlichen IAM-Rollen (Identity and Access Management). Weitere Informationen finden Sie unter Übersicht: Autokey.

Informationen zum Schutz Ihrer Compute Engine-Ressourcen mit von Cloud KMS Autokey erstellten CMEKs finden Sie unter Autokey mit Compute Engine-Ressourcen verwenden.

Snapshots

Wenn Sie mit Autokey Schlüssel zum Schutz Ihrer Compute Engine-Ressourcen erstellen, werden keine neuen Schlüssel für Snapshots erstellt. Sie müssen einen Snapshot mit demselben Schlüssel verschlüsseln, der auch zum Verschlüsseln des Quelllaufwerks verwendet wurde. Wenn Sie einen Snapshot über die Google Cloud Console erstellen, wird der vom Laufwerk verwendete Verschlüsselungsschlüssel automatisch auf den Snapshot angewendet. Wenn Sie einen Snapshot mit der gcloud CLI, Terraform oder der Compute Engine API erstellen, müssen Sie den Ressourcen-Identifier des Schlüssels abrufen, mit dem das Laufwerk verschlüsselt wurde, und diesen Schlüssel dann zum Verschlüsseln des Snapshots verwenden.

Laufwerke mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln

Weitere Informationen zur Verwendung von manuell erstellten vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) zum Verschlüsseln von Laufwerken und anderen Compute Engine-Ressourcen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.

Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln

Informationen zum Verschlüsseln von Laufwerken und anderen Compute Engine-Ressourcen mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (Customer-Supplied Encryption Keys, CSEK) finden Sie unter Laufwerke mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln verschlüsseln.

Verschlüsselungstyp eines Laufwerks ansehen

Wenn Sie den Verschlüsselungstyp eines Laufwerks aufrufen möchten, folgen Sie der Anleitung unter Informationen zur Verschlüsselung eines Laufwerks ansehen.

Vertraulicher Modus für Hyperdisk Balanced

Wenn Sie Confidential Computing verwenden, können Sie die hardwarebasierte Verschlüsselung auf Ihre Hyperdisk Balanced-Volumes ausweiten, indem Sie den vertraulichen Modus aktivieren.

Mit dem vertraulichen Modus für Ihre Hyperdisk Balanced-Volumes können Sie zusätzliche Sicherheit aktivieren, ohne die Anwendung umzugestalten. Der vertrauliche Modus ist eine Eigenschaft, die Sie beim Erstellen eines neuen Hyperdisk Balanced-Volumes angeben können.

Hyperdisk Balanced-Volumes im Modus „Vertraulich“ können nur mit Confidential VMs verwendet werden.

Wenn Sie ein Hyperdisk Balanced-Volume im vertraulichen Modus erstellen möchten, folgen Sie der Anleitung unter Hyperdisk Balanced-Volume im Modus „Vertraulich“ erstellen.

Unterstützte Maschinentypen für Hyperdisk Balanced-Volumes im Modus „Vertraulich“

Hyperdisk Balanced-Volumes im vertraulichen Modus können nur mit Confidential VMs verwendet werden, die den N2D-Maschinentyp verwenden.

Unterstützte Regionen für Hyperdisk Balanced-Volumes im vertraulichen Modus

Der Modus „Vertraulich“ für Hyperdisk Balanced-Volumes ist in den folgenden Regionen verfügbar:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Einschränkungen für Hyperdisk Balanced-Volumes im vertraulichen Modus

Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML und Hyperdisk Balanced High Availability unterstützen den vertraulichen Modus nicht.
Sie können eine VM, die Hyperdisk Balanced-Volumes im Modus „Vertraulich“ verwendet, nicht anhalten oder fortsetzen.
Sie können Hyperdisk Storage Pools nicht mit Hyperdisk Balanced-Volumes im Modus „Vertraulich“ verwenden.
Sie können kein Maschinen-Image oder benutzerdefiniertes Image aus einem Hyperdisk Balanced-Volume im Modus „Vertraulich“ erstellen.

Nächste Schritte

Informationen zum Automatisieren der Erstellung von CMEKs finden Sie unter Cloud KMS mit Autokey (Vorschau).
Informationen zum Erstellen von CMEKs finden Sie unter Verschlüsselungsschlüssel mit Cloud KMS erstellen.
Ein Laufwerk mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsseln.
Informationen zum Erstellen eines Hyperdisk Balanced-Volumes im Modus „Vertraulich“ finden Sie unter Hyperdisk Balanced-Volume im Modus „Vertraulich“ erstellen.
Weitere Informationen zu Format und Spezifikation für CSEKs.

Informationen zur Laufwerksverschlüsselung Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.