O serviço Key Management System (KMS) gerencia centralmente as chaves criptográficas e é executado no servidor da API Management.
Esta página é destinada a públicos-alvo do grupo de administradores da plataforma, como administradores de TI ou engenheiros de segurança, que são responsáveis por gerenciar e usar chaves criptográficas no Google Distributed Cloud (GDC) isolado por air-gap. Para mais informações, consulte Públicos-alvo da documentação isolada do GDC.
Chaves compatíveis
O KMS é compatível com as seguintes chaves para operações do plano de dados:
| Primitivo de chave | Primitivo de chave (API) | Descrição | Algoritmo padrão |
|---|---|---|---|
AEAD |
aeadkey |
A chave de criptografia autenticada com dados associados (AEAD)
que realiza a criptografia autenticada usando AES-256.Os componentes da chave representam o seguinte:
|
AES_256_GCM |
Signing |
signingkey |
A chave de assinatura que fornece assinatura assimétrica usando suporte a curva elíptica. Os componentes da chave representam o seguinte:
|
EC_SIGN_P384_SHA384 |
Tipos de chaves raiz
O KMS usa chaves raiz internamente para criptografar o material da chave antes de gravar o material no disco e descriptografa o material ao ler do disco. O KMS recupera a chave raiz para cada operação.
O KMS é compatível com uma única chave raiz por organização, que é criada automaticamente quando um KMS é implantado. A chave raiz encapsula todas as chaves não raiz. Use o campo
RootKeyID em cada chave para identificar a chave raiz.
Se a chave raiz for comprometida ou para rotação periódica, faça a rotação dela. Esse processo substitui a chave raiz antiga por uma nova, que se torna a chave primária e encapsula todas as chaves não raiz.
| Tipo de chave raiz | Tipo de chave raiz (API) | Descrição |
|---|---|---|
Local Root (default) |
kms.gdc.goog/local-root |
O material criptográfico da chave raiz é armazenado no servidor da API Management como um secret do Kubernetes. |