密钥管理系统 (KMS) 服务集中管理加密密钥,并在管理 API 服务器中运行。
本页面面向平台管理员群组中的用户,例如 IT 管理员或安全工程师,他们负责在 Google Distributed Cloud (GDC) 气隙环境中管理和使用加密密钥。如需了解详情,请参阅 GDC 气隙环境文档的受众群体。
支持的键
KMS 支持以下密钥用于其数据平面操作:
| 关键基元 | 密钥基元 (API) | 说明 | 默认算法 |
|---|---|---|---|
AEAD |
aeadkey |
使用 AES-256 执行身份验证加密的关联数据加密的身份验证 (AEAD) 密钥。密钥的组成部分表示以下内容:
|
AES_256_GCM |
Signing |
signingkey |
使用椭圆曲线支持提供非对称签名的签名密钥。 密钥的组成部分表示以下内容:
|
EC_SIGN_P384_SHA384 |
根密钥类型
KMS 在内部使用根密钥来加密密钥材料,然后再将材料写入磁盘;在从磁盘读取材料时,KMS 会解密材料。 KMS 会为每个操作检索根密钥。
KMS 支持每个组织使用单个根密钥,该密钥会在部署 KMS 时自动创建。根密钥封装所有非根密钥。使用每个密钥上的 RootKeyID 字段来标识根密钥。
如果您的根密钥遭到破解或需要定期轮替,您可以轮替根密钥。此过程会将旧根密钥替换为新根密钥,新根密钥将成为主密钥并封装所有非根密钥。
| 根密钥类型 | 根密钥类型 (API) | 说明 |
|---|---|---|
Local Root (default) |
kms.gdc.goog/local-root |
根密钥加密材料以 Kubernetes Secret 的形式存储在 Management API 服务器中。 |