根據預設,Compute Engine 會加密靜態儲存的客戶內容。Compute Engine 會自動使用 Google-owned and Google-managed encryption keys 加密資料。
不過,您可以提供金鑰加密金鑰 (KEK),自訂 Compute Engine 用於資源的加密方式。金鑰加密金鑰不會直接加密您的資料,而是加密 Compute Engine 用來加密您資料的Google-owned and managed keys 。
您有兩種方式可以提供金鑰加密金鑰:
建議做法:在 Compute Engine 中使用 Cloud KMS 的客戶管理加密金鑰 (CMEK)。使用 Cloud KMS 金鑰可讓您控管防護等級、位置、輪替時間表、使用權限和存取權,以及加密範圍。使用 Cloud KMS 還能追蹤金鑰使用情形、查看稽核記錄,以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理這些金鑰,而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。
您可以手動建立 CMEK,也可以使用 Cloud KMS Autokey,讓系統代表您自動建立 CMEK。
在大多數情況下,建立以 CMEK 加密的磁碟後,使用該磁碟時不需要指定金鑰。
您可以在 Compute Engine 外部管理自己的金鑰加密金鑰,並在建立或管理磁碟時提供金鑰。這個選項稱為「客戶提供的加密金鑰」 (CSEK)。管理 CSEK 加密資源時,您一律必須指定加密資源時使用的金鑰。
如要進一步瞭解各加密類型,請參閱「客戶管理的加密金鑰」和「客戶提供的加密金鑰」。
如要為 Hyperdisk Balanced 磁碟多添一層安全防護,請啟用機密模式。機密模式會為 Hyperdisk Balanced 磁碟新增硬體式加密。
支援的磁碟類型
本節列出 Compute Engine 提供的磁碟和其他儲存空間選項支援的加密類型。
永久磁碟磁碟區支援 Google-owned and managed keys、CMEK 和 CSEK。
Google Cloud Hyperdisk 支援 CMEK 和 Google-owned and managed keys。您無法使用 CSEK 加密 Hyperdisk。
本機 SSD 磁碟僅支援Google-owned and managed keys。您無法使用 CSEK 或 CMEK 加密本機 SSD 磁碟。
輪替 Google-owned and managed keys 和 CMEK
Compute Engine 會每年輪替用於保護資料的 Google-owned and managed keys。金鑰輪替是資料安全方面的業界最佳做法,可限制遭盜用金鑰的潛在影響。
如果您使用 CMEK,Google 建議您為磁碟啟用自動輪替功能。 詳情請參閱「輪替磁碟的 Cloud KMS 加密金鑰」。
使用 Cloud KMS Autokey 的 CMEK
如要使用 Cloud KMS 金鑰保護 Compute Engine 資源,您可以手動建立 CMEK,也可以使用 Cloud KMS Autokey 建立金鑰。使用 Autokey 時,系統會在 Compute Engine 中建立資源時,視需要產生金鑰環和金鑰。如果服務代理尚未建立,系統會建立服務代理,並授予必要的 Identity and Access Management (IAM) 角色,以便使用金鑰進行加密和解密作業。詳情請參閱「Autokey 總覽」。
如要瞭解如何使用 Cloud KMS Autokey 建立的 CMEK 保護 Compute Engine 資源,請參閱「搭配 Compute Engine 資源使用 Autokey」。
快照
使用 Autokey 建立金鑰來保護 Compute Engine 資源時,Autokey 不會為快照建立新金鑰。您必須使用與來源磁碟相同的金鑰加密快照。如果您使用 Google Cloud 控制台建立快照,系統會自動將磁碟使用的加密金鑰套用至快照。如果您使用 gcloud CLI、Terraform 或 Compute Engine API 建立快照,必須取得用於加密磁碟的金鑰資源 ID,然後使用該金鑰加密快照。
使用客戶管理的加密金鑰來加密磁碟
如要進一步瞭解如何使用手動建立的客戶自行管理的加密金鑰 (CMEK) 加密磁碟和其他 Compute Engine 資源,請參閱「使用 Cloud KMS 金鑰保護資源」。
使用客戶提供的加密金鑰來為磁碟加密
如要瞭解如何使用客戶提供的加密金鑰 (CSEK) 加密磁碟和其他 Compute Engine 資源,請參閱使用客戶提供的加密金鑰來為磁碟加密。
查看磁碟的加密類型
如要查看磁碟的加密類型,請按照「查看磁碟加密資訊」一文中的步驟操作。
Hyperdisk Balanced 機密模式
如果您使用機密運算,可以啟用機密模式,將硬體式加密功能擴展至 Hyperdisk Balanced 磁碟區。
Hyperdisk Balanced 磁碟區的機密模式可讓您啟用額外安全性,不必重構應用程式。機密模式是您建立新的 Hyperdisk Balanced 磁碟區時可以指定的屬性。
機密模式的 Hyperdisk Balanced 磁碟區只能搭配機密 VM 使用。
如要在機密模式下建立 Hyperdisk Balanced 磁碟區,請按照「在機密模式下建立 Hyperdisk Balanced 磁碟區」一文中的步驟操作。
機密模式下支援 Hyperdisk Balanced 磁碟區的機器類型
機密模式的 Hyperdisk Balanced 磁碟區只能搭配使用 N2D 機型的機密 VM。
機密模式下支援 Hyperdisk Balanced 磁碟區的區域
下列區域提供 Hyperdisk Balanced 磁碟區的機密模式:
europe-west4us-central1us-east4us-east5us-south1us-west4
機密模式下 Hyperdisk Balanced 磁碟區的限制
- Hyperdisk Extreme、Hyperdisk Throughput、Hyperdisk ML 和 Hyperdisk Balanced High Availability 不支援機密模式。
- 您無法暫停或恢復機密模式下使用 Hyperdisk Balanced 磁碟區的 VM。
- 您無法在機密模式下,將 Hyperdisk 儲存空間集區與 Hyperdisk Balanced 磁碟區搭配使用。
- 您無法在機密模式下,從 Hyperdisk Balanced 磁碟區建立機器映像檔或自訂映像檔。
後續步驟
- 如要瞭解如何自動建立 CMEK,請參閱「Cloud KMS with Autokey」(預先發布版)。
- 如要瞭解如何建立 CMEK,請參閱「使用 Cloud KMS 建立加密金鑰」。
- 使用客戶自行管理的加密金鑰 (CMEK) 加密磁碟。
- 如要在機密模式下建立 Hyperdisk Balanced 磁碟區,請參閱「在機密模式下建立 Hyperdisk Balanced 磁碟區」。
- 進一步瞭解 CSEK 的格式和規格。