Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud HSM-Architektur

Der Inhalt dieses Dokuments wurde im Januar 2025 zum letzten Mal aktualisiert und stellt den Stand zum Zeitpunkt der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google können sich aber in Zukunft ändern, da wir den Schutz unserer Kundinnen und Kunden kontinuierlich verbessern.

Cloud HSM ist Teil der Cloud Key Management Service-Architektur (Cloud KMS) und bietet das Backend für die Bereitstellung und Verwaltung von hardwareschutzgesicherten Schlüsseln. Damit Sie Unternehmens- und Compliancevorschriften erfüllen können, können Sie mit Cloud HSM Ihre Verschlüsselungsschlüssel generieren und kryptografische Vorgänge auf FIPS 140-2 Level 3 zertifizierten Hardware-Sicherheitsmodulen (HSM) durchführen.

In diesem Artikel wird die Cloud HSM-Architektur beschrieben. Sie erfahren auch, wie die Hardware verwaltet und Schlüssel attestiert und erstellt werden. Weitere Informationen zu Cloud KMS finden Sie unter Cloud Key Management Service-Verschlüsselung.

Übersicht

Kryptografische Vorgänge umfassen Folgendes:

Inaktive Daten verschlüsseln
Schutz der privaten Schlüssel für den Certificate Authority Service
Schutz von Datenverschlüsselungsschlüsseln, damit sie zusammen mit den verschlüsselten Daten gespeichert werden können
Asymmetrische Schlüssel für kryptografische Vorgänge wie digitale Signaturen und Authentifizierung generieren und verwenden

Cloud HSM verwendet Marvell LiquidSecurity HSMs (Modelle CNL3560-NFBE-2.0-G und CNL3560-NFBE-3.0-G) mit den Firmwareversionen 3.4 Build 09. Weitere Informationen zu unserer Zertifizierung finden Sie unter Zertifikat Nr. 4399. Informationen zu den HSM-Geräten und hardwareschützten Schlüsseln finden Sie unter Schlüsselattestierung.

Cloud HSM ist vollständig verwaltet, sodass Sie Ihre Arbeitslasten schützen können, ohne einen HSM-Cluster verwalten zu müssen. Der Dienst bietet folgende Vorteile:

Globale Verfügbarkeit
Eine konsistente und einheitliche API
Autoscaling nach Nutzung
Zentrale Verwaltung und Einhaltung gesetzlicher Vorschriften

Cloud HSM ist in jeder Google Cloud -Region weltweit verfügbar, einschließlich multiregionaler Regionen, die sich über größere geografische Einheiten erstrecken. Sie müssen den Cloud KMS-Dienstendpunkt verwenden, um hardwareschützte Schlüssel in Cloud HSM zu erstellen und zu verwenden, um Ihre Daten zu schützen. Dies gilt auch für Daten, die Sie in anderenGoogle Cloud -Diensten wie BigQuery, Cloud Storage und Persistent Disk speichern.

Mit Cloud HSM können Sie hardwareschützte Schlüssel verwenden, ohne die HSM-Hardware selbst verwalten zu müssen. Google ist Eigentümer der HSM-Hardware und verwaltet sie, einschließlich Bereitstellung, Konfiguration, Monitoring, Patchen und Wartung. Wenn Sie Cloud HSM verwenden, werden Ihre Daten strikt von anderen Mandanten und Diensten in Google Cloudisoliert. Mit der Cloud HSM API für Datenebene, die Teil der Cloud Key Management Service API ist, können Sie hardwaregeschützte Schlüssel programmatisch verwalten.

Cloud HSM unterstützt hardwaregeschützte Cloud KMS-Autokeys und vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), wenn CMEK-Schlüssel von Google Cloud Diensten unterstützt werden. Beispielsweise können Sie Daten in Cloud Storage-Buckets oder Cloud SQL-Tabellen mit einem von Ihnen verwalteten Cloud HSM-Schlüssel verschlüsseln.

Cloud HSM-Verwaltung

Innerhalb von Cloud HSM werden Cluster von HSMs von einem Team aus Site Reliability Engineers (SREs) sowie von Technikern an jedem Standort des Google Cloud-Rechenzentrums verwaltet. Google kümmert sich um die physische Sicherheit, logische Sicherheit, Infrastruktur, Kapazitätsplanung, Geoerweiterung und Notfallwiederherstellungsplanung in Rechenzentren.

Abstraktion von HSM-Hardware

In der Regel kommunizieren Anwendungen direkt mit HSMs über PKCS#11 und über eine API zur Clusterverwaltung. Diese Kommunikation erfordert, dass Sie speziellen Code für Arbeitslasten pflegen, die hardwaregeschützte Schlüssel verwenden oder verwalten.

Bei Cloud HSM wird die Kommunikation vom HSM weg abstrahiert. Dazu werden Anfragen für hardwareschutzgesicherte Schlüssel über die Cloud Key Management Service API per Proxy weitergeleitet. Durch die Abstraktion ist kein HSM-spezifischem Code nötig. Cloud HSM übernimmt die enge Integration in Cloud KMS.

Die enge Integration mit Cloud KMS bietet erhebliche Sicherheitsvorteile. Die Cloud Key Management Service API reduziert die Bandbreite der verfügbaren HSM-Schnittstelle erheblich. So verringert sich das Risiko bei einer Kundensicherheitsverletzungen. Ein Angreifer kann beispielsweise keine vollständigen HSMs löschen. Standardmäßig werden Versuche zum Löschen einzelner Schlüssel durch einen standardmäßigen 30-tägigen Sicherheitszeitraum abgeschwächt. Sie können die Organisationsrichtlinie constraints/cloudkms.minimumDestroyScheduledDuration so festlegen, dass eine Mindestlänge erzwungen wird für den Status Löschen geplant für neue Schlüssel und die constraints/cloudkms.disableBeforeDestroy Organisationsrichtlinie so festlegen, dass sie Schlüsselversionen nur löscht, wenn sie deaktiviert sind. Weitere Informationen finden Sie unter Löschen der Schlüsselversion kontrollieren

Sie können den Zugriff auf HSM-Ressourcen mithilfe von Identity and Access Management (IAM) steuern. Die IAM-Konfiguration ist weniger anfällig für Fehlkonfigurationen und Programmfehler als eine benutzerdefinierte HSM-Lösung.

Das folgende Diagramm zeigt die Cloud HSM-Architektur.

Grafik: Cloud HSM-Architektur

Strikte geografische Trennung von Grund auf

In Cloud HSM können Sie Schlüssel global verfügbar machen oder strenge geografische Einschränkungen für Schlüssel erzwingen, die sie benötigen.

HSMs sind häufig in Partitionen unterteilt, sodass ein einzelnes physisches Gerät als mehrere logische Geräte arbeiten kann. Sie können Partitionen verwenden, um die Bereitstellungskosten zu reduzieren, wenn Sie die HSM-Verwaltung und -Schlüssel trennen müssen. Das folgende Diagramm zeigt die Partitionen in drei Regionen.

Grafik: Cloud HSM-Geografie

Um die Schlüssel für jede Region und Multiregion zu isolieren, ist jede Cloud HSM-Region einem separaten regionalen HSM-Verpackungsschlüssel zugeordnet (siehe Diagramm unter Schlüssel erstellen). Zur Unterstützung der Hochverfügbarkeit wird der Verpackungsschlüssel auf Partitionen in jedem HSM geklont, das sich physisch in der Region befindet. Regionale HSM-Schlüssel verlassen das HSM an diesem Standort nicht. Durch Klonen können HSMs in derselben Region dieselben Kundenschlüssel bereitstellen. Außerdem wird sichergestellt, dass HSMs außerhalb der Region diese Schlüssel nicht bedienen können.

Cloud HSM erstellt außerdem Multiregionen mit Verpackungsschlüsseln. Alle Kundenschlüssel für eine Multiregion werden mit einem Verpackungsschlüssel in einer Partition an allen Standorten verpackt, die die Multiregion bilden. Der Dienst nutzt dieselbe Hardware für mehrere Regionen, bietet jedoch die gleiche starke Isolation zwischen Regionen und Multiregionen, die zwischen verschiedenen Regionen vorhanden sind.

Das Regionalisierungsschema erfordert, dass Verpackungsschlüssel nur in entsprechende Partitionen repliziert werden. Jede Konfigurationsänderung muss von mehreren Mitgliedern des Cloud HSM-Teams genehmigt werden, bevor sie aktiv wird. Rechenzentrumstechniker können nicht auf eine HSM-Konfiguration, HSM-Laufzeit oder einen HSM-Speicher zugreifen.

Zentrale Verwaltung

In einem herkömmlichen Rechenzentrum, in dem HSMs gehostet werden, ist die Verwaltung der HSMs und ihrer Ressourcen vollständig von der Verwaltung anderer hardwaregeschützter Schlüssel getrennt. Cloud HSM ist eng in Google Cloudeingebunden, sodass Sie Ihre Cloud HSM-Ressourcen nahtlos verwalten können. Sie können beispielsweise Folgendes verwalten:

Sie verwalten Ihre hardwareschutzbasierten Schlüssel zusammen mit Ihren anderen Schlüsseln in Cloud KMS und extern verwalteten Schlüsseln im Cloud External Key Manager (Cloud EKM).
Sie verwalten den Zugriff auf hardwaregeschützte Schlüssel in IAM.
Kostenberichte für kryptografische Vorgänge mit hardwareschutzgeschützten Schlüsseln werden in Cloud Billing gemeldet.
Sie können hardwaregeschützte Schlüssel in allen Google Cloud-Diensten transparent verwenden, die das Verschlüsseln von Ressourcen mit CMEK unterstützen. Bei CMEK-Integrationen müssen sich der CMEK-Schlüssel und die verschlüsselten Daten an kompatiblen geografischen Standorten befinden. Aufgrund der strengen geografischen Beschränkung der Cloud HSM-Schlüssel sind auch die gesamten Ver- und Entschlüsselungen der CMEK-Daten geografisch eingeschränkt.
Verwaltungsvorgänge für hardwareschützte Schlüssel werden immer auf der API-Ebene in Cloud-Audit-Logs protokolliert. Sie können auch das Datenzugriffs-Logging aktivieren. Weitere Informationen finden Sie unter Audit-Logging-Informationen in Cloud KMS.
Google arbeitet direkt mit dem HSM-Hersteller zusammen, um die Hardware und Software auf jedem HSM zu aktualisieren und Probleme in Echtzeit zu beheben. Im Falle eines Zero-Day-Exploits auf dem HSM kann Google betroffene Pfade für die betroffenen HSM-Cluster selektiv deaktivieren, bis der Exploit behoben ist.
Sie können Ihre Schlüssel, einschließlich Ihrer hardwaregeschützten Schlüssel und der Ressourcen, die sie verschlüsseln, mit Dashboards zur Schlüsselnutzungsanalyse verfolgen.

Entwickler- und Nutzerfreundlichkeit

Da Google für die HSM-Verwaltung verantwortlich ist, bietet Cloud HSM Entwicklern und Endnutzern erhebliche Vorteile.

HSMs auf Google-Niveau

Wenn Sie sich auf Hardware verlassen, die lokal oder in Rechenzentren vorhanden ist, kann die Hardware einen Leistungsengpass verursachen oder zu einem Single Point of Failure werden. Cloud HSM ist so konzipiert, dass es äußerst unvorhersehbare Arbeitslasten und Hardwarefehler aufweist. Das Cloud HSM-Backend verwendet einen Pool von HSMs in jeder Region, um eine hohe Verfügbarkeit und Skalierbarkeit zu gewährleisten. Mit diesem HSM-Pool kann Cloud HSM auch einen hohen Durchsatz bieten. Weitere Informationen finden Sie unter Cloud KMS-Kontingente überwachen und anpassen.

Alle Kundenschlüssel werden mit einem regionalen Verpackungsschlüssel in der Cloud KMS-Datenbank gespeichert und können nur von einem HSM in der Region entpackt werden als Teil eines kryptografischen Vorgangs. Dieses Verpacken hat die folgenden Vorteile:

Die Langlebigkeit eines Schlüssels ist nicht an ein bestimmtes HSM oder eine Teilmenge von HSMs in einer Region gebunden.
Jeder Cloud HSM-Kunde nutzt die vollständige Skalierbarkeit und Verfügbarkeit der Cloud HSM-Cluster, die ihre Schlüssel bereitstellen.
Cloud HSM kann einen viel größeren Satz von Schlüsseln verarbeiten, die auf einem HSM gespeichert werden können.
Das Hinzufügen oder Ersetzen eines HSM ist schnell und sicher.

Einheitliches API-Design

Cloud HSM und Cloud KMS haben eine gemeinsame API für Verwaltung und Datenebene. Die internen Details der Kommunikation mit einem HSM werden vom Aufrufer abstrahiert.

Daher sind keine Codeänderungen erforderlich, um eine vorhandene Anwendung zu aktualisieren, die Softwareschlüssel in Cloud KMS verwendet, um hardwaregeschützte Schlüssel zu unterstützen. Stattdessen aktualisieren Sie den Ressourcennamen des zu verwendenden Schlüssels.

PKCS#11-Support

Mit der Cloud Key Management Service API können Sie Ihre vorhandenen Anwendungen mit Cloud HSM verbinden, um kryptografische Schlüssel zu verwalten. Mit der PKCS#11-Bibliothek können Sie hardwaregeschützte Schlüssel verwenden, um Ihre Binärdateien zu signieren und TLS-Websitzungen bereitzustellen.

Sicherheit und gesetzliche Vorschriften

Cloud HSM hält zahlreicher Vorschriften ein, einschließlich FedRAMP High, C5:2020 und OSPAR. Darüber hinaus können Sie mit Cloud HSM die Compliance mit Vorschriften für Ihre Arbeitslasten in der Cloud erzwingen.

Attestierung von kryptografischem Schlüssel

Jedes Mal, wenn Sie einen Cloud HSM-Schlüssel generieren oder importieren, generiert das HSM eine Attestierungserklärung, die mit einem Signierschlüssel signiert ist, der der Partition zugeordnet ist. Die Anweisung enthält Informationen zu den Attributen Ihres Schlüssels. Der Signierschlüssel wird durch Zertifikatsketten gesichert, die sowohl in Google als auch im HSM-Hersteller gerootet sind. Sie können die Attestierungserklärung und die Zertifikate herunterladen, um die Authentizität der Anweisung zu prüfen und die Attribute des Schlüssels und des HSM zu validieren, das ihn erzeugt oder importiert hat.

Mit der Zertifikatskette können Sie Folgendes prüfen:

Die HSM-Hardware und -Firmware sind echt.
Die HSM-Partition und HSM werden von Google verwaltet.
Das HSM befindet sich im FIPS-Modus.

Mit dem Inhalt der Attestierungserklärung können Sie Folgendes prüfen:

Der Schlüssel kann nicht extrahiert werden.
Der Schlüssel wurde für Ihre CryptoKeyVersion generiert.
Der öffentliche Schlüssel in einem asymmetrischen Schlüsselpaar entspricht einem hardwaregeschützten privaten Schlüssel.
Das Schlüsselmaterial eines importierten symmetrischen Schlüssels entspricht dem verpackten Wert.

Sicherer Schlüsselimport direkt in HSMs

Sie können vorhandene Schlüssel sicher in Cloud HSM importieren, um eine Sicherung Ihres Schlüsselmaterials außerhalb von Google Cloudzu verwalten oder bestimmte Arbeitslasten zu Google Cloudzu migrieren. Der Schlüsselimportprozess erlaubt Google keinen direkten Zugriff auf das entpackte Schlüsselmaterial. Cloud HSM stellt Ihnen eine Attestierungserklärung für den von HSM generierten Verpackungsschlüssel zur Verfügung, um zu prüfen, ob ein Zugriff aufgetreten ist.

Der Schlüsselimport erhöht das Sicherheits- und Compliance-Risiko, da Nutzer Schlüssel aus unbekannten Quellen importieren können. Mithilfe separater IAM-Rollen können Sie jedoch genau steuern, wer Schlüssel in ein Projekt importieren kann. Importierte Schlüssel können durch die Attestierungserklärung unterschieden werden, die das HSM beim Import generiert.

Weitere Informationen finden Sie unter Schlüssel in den Cloud Key Management Service importieren.

Strikte Sicherheitsverfahren schützen die HSM-Hardware

Gemäß FIPS 140-2 Level 3 haben HSM-Geräte integrierte Mechanismen, um die physische Manipulation zu schützen und Beweise zu liefern.

Zusätzlich zu den Zusicherungen, die von der HSM-Hardware selbst bereitgestellt werden, wird die Infrastruktur für Cloud HSM gemäß dem Sicherheitsdesign der Infrastruktur von Google verwaltet.

Die folgenden dokumentierten und überprüfbaren Verfahren schützen die Integrität jedes HSM während der Nutzerverwaltung, Bereitstellung und in der Produktion:

Alle HSM-Konfigurationen müssen von mehreren Cloud HSM-SREs geprüft werden, bevor das HSM in einem Rechenzentrum bereitgestellt werden kann.
Nach der Inbetriebnahme eines HSM kann die Konfigurationsänderung nur von mehreren Cloud HSM-SREs initiiert und geprüft werden.
Ein HSM kann nur Firmware empfangen, die vom HSM-Hersteller signiert ist.
HSM-Hardware ist nicht direkt mit einem Netzwerk verbunden.
Server, auf denen HSM-Hardware gehostet wird, können keine nicht autorisierten Prozesse ausführen.

Die Aufgaben für Systemoperatoren sind in Standardbetriebsverfahren definiert. Es wird verhindert, dass Systemoperatoren bei der Ausführung von Aufgaben auf Kundenschlüsselmaterial zugreifen, es verwenden oder extrahieren.

Dienst- und Mandantenisolation

Die Cloud HSM-Architektur stellt sicher, dass HSMs vor böswilligen oder versehentlichen Störungen durch andere Dienste oder Mandanten geschützt sind.

Ein HSM, das Teil dieser Architektur ist, akzeptiert nur Anfragen von Cloud HSM. Der Cloud HSM-Dienst akzeptiert nur Anfragen vom Cloud KMS-Dienst. Der Cloud KMS-Dienst erzwingt, dass Aufrufer die entsprechenden IAM-Berechtigungen für die Schlüssel haben, die sie verwenden möchten. Nicht autorisierte Anfragen erreichen keine HSMs.

Hardwaregeschützte Schlüssel unterliegen auch Kontingenten für kryptografische Vorgänge. Diese Kontingente schützen Ihre Fähigkeit, Ihre Arbeitslasten auszuführen, da unbeabsichtigte oder böswillige Versuche einer Überlastung des Dienstes verhindert werden. Die Standardkontingente basieren auf beobachteten Nutzungsmustern. Die Kontingente liegen deutlich unter der Dienstkapazität und können auf Anfrage erhöht werden.

Anfrageabläufe

In diesem Abschnitt wird gezeigt, wie die Cloud HSM-Architektur in der Praxis durch die Schritte für verschiedene Anfragetypen umgesetzt wird. Diese Abläufe hervorheben die Cloud HSM-spezifischen Teile. Weitere Informationen zu den allgemeinen Schritten für alle Schlüssel finden Sie im Cloud Key Management Service im Detail.

Schlüssel erstellen

Wenn Sie einen hardwareschlüsselgeschützten Schlüssel erstellen, erstellt die Cloud Key Management Service API das Schlüsselmaterial nicht, sondern fordert das HSM zum Erstellen des Schlüssels an.

Ein HSM kann Schlüssel nur an Standorten erstellen, die es unterstützt. Jede Partition auf einem HSM enthält einen Verpackungsschlüssel, der dem Speicherort eines Cloud Key Management Service entspricht. Der Verpackungsschlüssel wird von allen Partitionen gemeinsam genutzt, die den Standort des Cloud Key Management Service unterstützen.

Das folgende Diagramm zeigt, wie hardwareschützende Schlüssel in Cloud KMS umschlossen werden.

Diagramm: HSM-Schlüsselerstellung

Der Schlüsselerstellungsprozess sieht so aus:

Der Google Front End Service (GFE) leitet die Anfrage zur Schlüsselerstellung an einen Cloud Key Management Service-Server an dem Standort weiter, der der Anfrage entspricht.
Die Cloud Key Management Service API prüft die Identität des Aufrufers und die Berechtigung des Anrufers, Schlüssel im Projekt zu erstellen. Außerdem muss der Aufrufer ein ausreichendes Kontingent für Schreibanfragen haben.
Die Cloud Key Management Service API leitet die Anfrage an Cloud HSM weiter.
Cloud HSM verbindet sich direkt mit dem HSM. Das HSM:
1. Erstellt den Schlüssel und verpackt ihn mit dem standortspezifischen Verpackungsschlüssel.
2. Erstellt die Attestierungserklärung für den Schlüssel und signiert sie mit dem Partitionssignaturschlüssel.
Nachdem Cloud HSM den verpackten Schlüssel und die Attestierung an Cloud KMS zurückgibt, verpackt die Cloud Key Management Service API den mit HSM verpackten Schlüssel gemäß der Cloud KMS-Schlüsselhierarchie und schreibt ihn in das Projekt.

Dieses Design stellt sicher, dass der Schlüssel nicht außerhalb eines HSM entpackt oder verwendet werden kann, nicht aus dem HSM extrahiert werden kann und nur im entpackten Zustand an den von Ihnen angegebenen Speicherorten vorhanden ist.

Kryptografische Vorgänge

Wenn Sie einen kryptografischen Vorgang in Cloud KMS ausführen, müssen Sie nicht wissen, ob Sie einen hardware- oder softwaregeschützten Schlüssel verwenden. Wenn die Cloud Key Management Service API feststellt, dass ein Vorgang einen hardwareschützten Schlüssel umfasst, leitet er die Anfrage an ein HSM am selben Standort weiter. Die folgenden Schritte sind die für einen kryptografischen Vorgang:

Das GFE leitet die Anfrage an den entsprechenden Standort an einen Cloud KMS-Server weiter. Die Cloud Key Management Service API verifiziert die Identität des Aufrufers, die Berechtigung des Aufrufers für den Zugriff auf den Schlüssel und die Ausführung des Vorgangs und das Kontingent des Projekts für kryptografische Vorgänge.
Die Cloud Key Management Service API ruft den verpackten Schlüssel aus dem Datenspeicher ab und entschlüsselt eine Ebene der Verschlüsselung mithilfe des Cloud KMS-Masterschlüssels. Der Schlüssel ist weiterhin mit dem HSM-Verpackungsschlüssel für den KMS-Standort verpackt.
Die Cloud Key Management Service API erkennt, dass das Schutzlevel HSM ist, und sendet den teilweise entpackten Schlüssel zusammen mit den Eingaben an den kryptografischen Vorgang an Cloud HSM.
Cloud HSM verbindet sich direkt mit dem HSM. Das HSM führt die folgenden Vorgänge aus:
1. Prüft, ob der verpackte Schlüssel und seine Attribute nicht geändert wurden.
2. Entpackt den Schlüssel und lädt ihn in den HSM-Speicher.
3. Führt den kryptografischen Vorgang aus und gibt das Ergebnis zurück.
Die Cloud Key Management Service API übergibt das Ergebnis an den Aufrufer.

Kryptografische Vorgänge mit hardwareschutzgeschützten Schlüsseln werden vollständig innerhalb eines HSM am konfigurierten Standort ausgeführt und nur das Ergebnis ist für den Aufrufer sichtbar.

Dieses Diagramm zeigt den Unterschied zwischen dem Erstellen von hardwareschützten und softwareschützten Schlüsseln in Cloud KMS.

CMEK-Integrationen

Alle hardwareschutzbasierten Schlüssel sind CMEKs. Wenn Sie einen CMEK-fähigen Dienst für die Verwendung von Cloud HSM-Schlüsseln konfigurieren möchten, müssen Sie nur einen Schlüssel mit einem HSM-Schutzlevel auswählen, wenn Sie der dienstspezifischen Anleitung folgen.

Wenn ein Aufrufer Daten in einen CMEK-fähigen Dienst liest oder schreibt, benötigt er weder eine direkte Berechtigung zur Verwendung des Schlüssels noch muss er wissen, ob der Schlüssel in einem HSM gespeichert ist.

Für hardwaregeschützte und softwaregeschützte Schlüssel wird derselbe CMEK-Vorgangsablauf verwendet. Bei der Verwendung von hardwaregeschützten Schlüsseln gelten jedoch die folgenden Ausnahmen:

Die Anfrage vom CMEK-fähigen Dienst wird im Google-Netzwerk initiiert und muss das GFE nicht durchlaufen.
Die Cloud Key Management Service API prüft, ob das Dienstkonto für den CMEK-fähigen Dienst die erforderlichen Berechtigungen zur Verwendung des Schlüssels hat. Die Cloud Key Management Service API kann Berechtigungen für den Endnutzer des CMEK-fähigen Dienstes validieren.

Cloud HSM ist erforderlich, wenn Sie Cloud KMS-Schlüssel mit Autokey bereitstellen möchten. Mit Autokey kann der Cloud KMS-Dienst-Agent auf Anfrage automatisch hardwareschutzbasierte Schlüssel bereitstellen. Weitere Informationen finden Sie unter Automatische Bereitstellung für CMEK.

Eigene HSMs verwenden

Die von Cloud HSM verwendeten HSMs werden von Google verwaltet. Unter bestimmten Umständen möchte Ihre Organisation jedoch möglicherweise eigene HSMs verwenden, um die hardwaregeschützten Schlüssel für Ihre Arbeitslasten zu speichern. Wenn Sie beispielsweise Ihre eigenen HSMs verwenden, kann das bei der Migration Ihrer Arbeitslasten zu Google Cloudhelfen.

An bestimmten Standorten bietet Google ein Infrastruktur-HSM-as-a-Service an, das kryptografische Schlüsselvorgänge für sichere kryptografische Transaktionen inGoogle Cloudbereitstellt. Die Produkte sind als Bare Metal Rack HSM und Bare Metal HSM bekannt. Bei Bare Metal Rack HSM oder Bare Metal HSM kaufen und konfigurieren Sie Ihre eigenen HSMs und senden sie dann an Google-Rechenzentren, damit sie von Google gehostet werden können. Sie haben vollen logischen Zugriff auf Ihre HSMs und müssen sich direkt an Ihren HSM-Anbieter wenden, um Ihre Geräte zu verwalten und Fehler zu beheben. Google bietet physischen Schutz, Netzwerksicherheit, Rack-Speicherplatz, Stromversorgung und Netzwerkintegration gegen Gebühr. Weitere Informationen finden Sie unter Bare Metal Rack HSM und Bare Metal HSM.

Nächste Schritte

Weitere Informationen finden Sie in den folgenden Ressourcen:

Cloud HSM-Architektur Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.