Sistema di gestione delle chiavi

Il servizio Key Management System (KMS) gestisce centralmente le chiavi di crittografia e viene eseguito nel server API Management.

Questa pagina è destinata ai gruppi di amministratori della piattaforma, come gli amministratori IT o gli ingegneri della sicurezza, responsabili della gestione e dell'utilizzo delle chiavi crittografiche all'interno di Google Distributed Cloud (GDC) air-gapped. Per ulteriori informazioni, consulta Segmenti di pubblico per la documentazione air-gapped di GDC.

Chiavi supportate

KMS supporta le seguenti chiavi per le operazioni del data plane:

Primitiva chiave Key primitive (API) Descrizione Algoritmo predefinito

Primitiva chiave	Key primitive (API)	Descrizione	Algoritmo predefinito
`AEAD`	`aeadkey`	La chiave di crittografia autenticata con dati associati (`AEAD`) che esegue la crittografia autenticata utilizzando `AES-256`. I componenti della chiave rappresentano quanto segue: `AES-256`: l'algoritmo di chiave simmetrica Advanced Encryption Standard (AES) a 256 bit. Questo algoritmo è quello predefinito.	`AES_256_GCM`
`Signing`	`signingkey`	La chiave di firma che fornisce la firma asimmetrica utilizzando il supporto della curva ellittica. I componenti della chiave rappresentano quanto segue: `EC`: la chiave basata su curva ellittica. `P384`: la dimensione della curva EC. `SHA384`: l'algoritmo digest utilizzato per la firma. Questo algoritmo è quello predefinito.	`EC_SIGN_P384_SHA384`

AEAD

aeadkey

La chiave di crittografia autenticata con dati associati (AEAD) che esegue la crittografia autenticata utilizzando AES-256.

I componenti della chiave rappresentano quanto segue:

AES-256: l'algoritmo di chiave simmetrica Advanced Encryption Standard (AES) a 256 bit. Questo algoritmo è quello predefinito.

AES_256_GCM

Signing

signingkey

La chiave di firma che fornisce la firma asimmetrica utilizzando il supporto della curva ellittica.

I componenti della chiave rappresentano quanto segue:

EC: la chiave basata su curva ellittica.

P384: la dimensione della curva EC.

SHA384: l'algoritmo digest utilizzato per la firma. Questo algoritmo è quello predefinito.

EC_SIGN_P384_SHA384

Tipi di chiavi root

KMS utilizza internamente le chiavi root per criptare il materiale delle chiavi prima di scriverlo sul disco e lo decripta quando lo legge dal disco. KMS recupera la chiave radice per ogni operazione.

Il KMS supporta una singola chiave radice per organizzazione, che viene creata automaticamente quando viene implementato un KMS. La chiave principale esegue il wrapping di tutte le chiavi non principali. Utilizza il campo RootKeyID in ogni chiave per identificare la chiave principale.

Se la chiave principale viene compromessa o per la rotazione periodica, puoi ruotare una chiave principale. Questo processo sostituisce la vecchia chiave principale con una nuova, che diventa la chiave primaria e racchiude tutte le chiavi non principali.

Tipo di chiave root	Tipo di chiave principale (API)	Descrizione
`Local Root`	`kms.gdc.goog/local-root`	Il materiale crittografico della chiave radice viene archiviato nel server dell'API Management come secret Kubernetes.

Sistema di gestione delle chiavi Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Chiavi supportate

Tipi di chiavi root

Sistema di gestione delle chiavi