Autokey – Übersicht

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von kundenverwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel auf Anfrage generiert. Dienstkonten, die die Schlüssel zum Ver- und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Übersicht über die von Autokey erstellten Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.

Mit von Autokey generierten Schlüsseln können Sie die Branchenstandards und empfohlenen Praktiken für Datensicherheit einhalten, einschließlich des Multi-Tenant Cloud HSM-Schutzniveaus, der Aufgabentrennung, der Schlüsselrotation, des Standorts und der Schlüsselspezifität. Mit Autokey werden Schlüssel erstellt, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp fürGoogle Cloud -Dienste spezifisch sind, die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, funktionieren mit Autokey angeforderte Schlüssel identisch mit anderen Cloud HSM-Schlüsseln mit denselben Einstellungen.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da keine Infrastruktur als Code mit erhöhten Berechtigungen zum Erstellen von Schlüsseln ausgeführt werden muss.

Sie können Autokey mit einem zentralisierten Schlüsselverwaltungsmodell (allgemein verfügbar) oder einem delegierten Schlüsselverwaltungsmodell (Vorschau) verwenden. Wenn Sie das Modell für die zentrale Schlüsselverwaltung verwenden möchten, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Im zentralisierten Modell ist Autokey für Projekte in einem Ordner aktiviert und von Autokey erstellte Schlüssel werden in einem dedizierten Schlüsselprojekt für diesen Ordner erstellt. Beim delegierten Schlüsselverwaltungsmodell wird die Schlüsselverwaltung an Projektadministratoren delegiert. Diese können Autokey für einen Ordner oder ein Projekt aktivieren, damit Autokey Schlüssel im selben Projekt wie die Ressourcen erstellt, die sie schützen.

Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Für mit Autokey erstellte Schlüssel gelten dieselben Preise wie für alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.

So funktioniert Autokey

In diesem Abschnitt wird die Funktionsweise von Cloud KMS Autokey erläutert. Die folgenden Nutzerrollen sind an diesem Prozess beteiligt:

Administrator

Der Administrator ist ein Nutzer, der für die Verwaltung der Sicherheit auf Ordner- oder Organisationsebene verantwortlich ist.

Autokey-Entwickler

Der Autokey-Entwickler ist ein Nutzer, der für das Erstellen von Ressourcen mit Cloud KMS Autokey verantwortlich ist.

Cloud KMS-Administrator

Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei der Verwendung von Autokey weniger Aufgaben als bei der Verwendung manuell erstellter Schlüssel.

Die folgenden Dienst-Agents sind ebenfalls an diesem Prozess beteiligt:

Cloud KMS-Dienst-Agent

Der Dienst-Agent für Cloud KMS in einem bestimmten Schlüsselprojekt. Autokey ist darauf angewiesen, dass dieser Dienst-Agent erhöhte Berechtigungen hat, um Cloud KMS-Schlüssel und -Schlüsselbunde zu erstellen und die IAM-Richtlinie für die Schlüssel festzulegen, wodurch jedem Ressourcendienst-Agent die Berechtigungen zum Verschlüsseln und Entschlüsseln erteilt werden.

Ressourcendienst-Agent

Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekt. Dieser Dienst-Agent muss die Berechtigungen zum Verschlüsseln und Entschlüsseln für jeden Cloud KMS-Schlüssel haben, bevor er diesen Schlüssel für den CMEK-Schutz einer Ressource verwenden kann. Autokey erstellt den Ressourcendienst-Agent bei Bedarf und gewährt ihm die erforderlichen Berechtigungen zur Verwendung des Cloud KMS-Schlüssels.

Administrator aktiviert Cloud KMS Autokey

Die Aktivierung von Autokey erfolgt je nach ausgewähltem Schlüsselverwaltungsmodell auf eine der folgenden Arten:

1. Modell für die zentrale Schlüsselverwaltung: Aktivieren Sie Autokey für einen Ordner. Es wird ein zentrales Schlüsselprojekt erstellt, in dem die Schlüssel gespeichert werden, mit denen Ressourcen geschützt werden, die in anderen Projekten im Ordner erstellt wurden.
2. Delegiertes Schlüsselverwaltungsmodell (Vorschau): Sie können Autokey für einzelne Projekte oder für alle Projekte in einem Ordner aktivieren, um Autokey im selben Projekt zu verwenden.

Zentrale Schlüsselverwaltung aktivieren

Bevor Sie Autokey für die zentrale Schlüsselverwaltung in einem Ordner verwenden können, muss ein Administrator die folgenden einmaligen Einrichtungsaufgaben ausführen:

1. Aktivieren Sie Cloud KMS Autokey für einen Ordner und geben Sie das Cloud KMS-Projekt an, das Autokey-Ressourcen für diesen Ordner enthalten soll.

2. Erstellen Sie den Cloud KMS-Dienst-Agent und gewähren Sie ihm dann Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

Nach Abschluss dieser Konfiguration können Entwickler, die Autokey-kompatible Ressourcen in einem beliebigen Projekt in diesem Ordner erstellen können, die Erstellung von Multi-Tenant-Cloud HSM-Schlüsseln bei Bedarf auslösen. Eine vollständige Einrichtungsanleitung für Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Delegierte Schlüsselverwaltung aktivieren

Bevor Sie Autokey für die delegierte Schlüsselverwaltung verwenden können, muss ein Administrator die folgenden einmaligen Einrichtungsaufgaben ausführen:

1. Aktivieren Sie Cloud KMS Autokey für ein Projekt oder einen Ordner.
2. Aktivieren Sie die Cloud KMS API für dieses Projekt oder für Projekte im Ordner.

Wenn Cloud KMS Autokey für ein Projekt zur delegierten Schlüsselverwaltung aktiviert ist, wird der Cloud KMS-Dienst-Agent bei Bedarf für Sie erstellt. Sie müssen den Dienst-Agent nicht manuell erstellen. Jeder Nutzer mit Berechtigungen zum Erstellen einer Autokey-kompatiblen Ressource kann bei Bedarf einen neuen Schlüssel anfordern. Eine vollständige Einrichtungsanleitung für Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden Cloud KMS Autokey

Nachdem Autokey für ein Projekt aktiviert wurde, können Autokey-Entwickler Ressourcen erstellen, die mit Schlüsseln geschützt sind, die bei Bedarf für sie erstellt werden. Dies gilt für Projekte in einem Ordner, in dem Autokey für die zentrale Schlüsselverwaltung aktiviert ist, und für Projekte, in denen Autokey für die delegierte Schlüsselverwaltung im selben Projekt aktiviert ist. Die Details des Prozesses zum Erstellen von Ressourcen hängen davon ab, welche Ressource Sie erstellen. Der Prozess folgt jedoch diesem Ablauf:

1. Der Autokey-Entwickler beginnt mit der Erstellung einer Ressource in einem kompatiblenGoogle Cloud -Dienst. Beim Erstellen einer Ressource fordert der Entwickler einen neuen Schlüssel vom Autokey-Dienst-Agent an.

2. Der Autokey-Dienst-Agent empfängt die Anfrage des Entwicklers und führt die folgenden Schritte aus:

   1. Erstellt einen Schlüsselbund im Projekt am ausgewählten Speicherort, sofern dieser Schlüsselbund noch nicht vorhanden ist.
   2. Erstellen Sie einen Schlüssel im Schlüsselbund mit der entsprechenden Granularität für den Ressourcentyp, sofern ein solcher Schlüssel noch nicht vorhanden ist.
   3. Erstellen Sie das Dienstkonto pro Projekt und Dienst, sofern es noch nicht vorhanden ist.
   4. Gewähren Sie dem dienstkontobezogenen Dienstkonto für das jeweilige Projekt Berechtigungen zum Ver- und Entschlüsseln des Schlüssels.
   5. Geben Sie dem Entwickler die wichtigsten Details an, damit er die Ressource fertigstellen kann.

3. Nachdem der Autokey-Dienst-Agent die wichtigsten Details zurückgegeben hat, kann der Entwickler die Erstellung der geschützten Ressource sofort abschließen.

Mit Cloud KMS Autokey werden Schlüssel mit den im nächsten Abschnitt beschriebenen Attributen erstellt. Bei diesem Ablauf zum Erstellen von Schlüsseln wird die Aufgabentrennung beibehalten. Der Cloud KMS-Administrator hat weiterhin vollständigen Einblick in und die volle Kontrolle über Schlüssel, die von Autokey erstellt wurden.

Informationen zur Verwendung von Autokey nach der Aktivierung finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

Von Autokey erstellte Schlüssel

Von Cloud KMS Autokey erstellte Schlüssel haben die folgenden Attribute:

• Schutzniveau:HSM.
• Algorithmus:AES‑256 GCM.

• Rotationszeitraum:ein Jahr.

  Nachdem ein Schlüssel von Autokey erstellt wurde, kann ein Cloud KMS-Administrator den Rotationszeitraum vom Standardwert ändern.

• Aufgabentrennung:
  • Dem Dienstkonto für den Dienst werden automatisch Berechtigungen zum Verschlüsseln und Entschlüsseln für den Schlüssel erteilt.
  • Cloud KMS-Administratorberechtigungen gelten wie gewohnt für Schlüssel, die von Autokey erstellt wurden. Cloud KMS-Administratoren können von Autokey erstellte Schlüssel aufrufen, aktualisieren, aktivieren oder deaktivieren und löschen. Cloud KMS-Administratoren erhalten keine Berechtigungen zum Verschlüsseln und Entschlüsseln.
  • Autokey-Entwickler können nur die Erstellung und Zuweisung von Schlüsseln anfordern. Sie können keine Schlüssel ansehen oder verwalten.
• Schlüsselspezifität oder Granularität:Die von Autokey erstellten Schlüssel haben eine Granularität, die je nach Ressourcentyp variiert. Dienstspezifische Details zur Schlüsselgranularität finden Sie auf dieser Seite unter Kompatible Dienste.

• Standort:Autokey erstellt Schlüssel am selben Standort wie die zu schützende Ressource.

  Wenn Sie CMEK-geschützte Ressourcen an Standorten erstellen müssen, an denen Cloud HSM nicht verfügbar ist, müssen Sie Ihren CMEK manuell erstellen.

• Status der Schlüsselversion:Neu erstellte Schlüssel, die mit Autokey angefordert werden, werden als Primärschlüsselversion im Status „Aktiviert“ erstellt.
• Benennung von Schlüsselbunden:Alle von Autokey erstellten Schlüssel werden in einem Schlüsselbund namens autokey im Autokey-Projekt am ausgewählten Standort erstellt. Schlüsselbunde in Ihrem Autokey-Projekt werden erstellt, wenn ein Autokey-Entwickler den ersten Schlüssel an einem bestimmten Standort anfordert.
• Schlüsselbenennung:Für Schlüssel, die von Autokey erstellt werden, gilt die folgende Namenskonvention: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Schlüsselexport:Wie alle Cloud KMS-Schlüssel können auch Schlüssel, die von Autokey erstellt wurden, nicht exportiert werden.
• Schlüssel-Tracking:Wie alle Cloud KMS-Schlüssel, die in CMEK-integrierten Diensten verwendet werden, die mit Schlüssel-Tracking kompatibel sind, werden von Autokey erstellte Schlüssel im Cloud KMS-Dashboard verfolgt.

Autokey erzwingen

Wenn Sie die Verwendung von Autokey in einem Ordner oder Projekt erzwingen möchten, können Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden die Berechtigungen zum Erstellen von Schlüsseln für andere Principals als den Autokey-Dienst-Agent entfernt. Außerdem wird festgelegt, dass alle Ressourcen mit CMEK über das Autokey-Schlüsselprojekt geschützt werden müssen. Eine detaillierte Anleitung zum Erzwingen der Verwendung von Autokey finden Sie unter Verwendung von Autokey erzwingen.

Kompatible Dienste

In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst	Geschützte Ressourcen	Detaillierungsgrad des Schlüssels
Artifact Registry	artifactregistry.googleapis.com/Repository Autokey erstellt Schlüssel während der Repository-Erstellung, die für alle gespeicherten Artefakte verwendet werden.	Ein Schlüssel pro Ressource
BigQuery	bigquery.googleapis.com/Dataset Mit Autokey werden Standardschlüssel für Datasets erstellt. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden den Standardschlüssel des Datasets. Mit Autokey werden keine Schlüssel für andere BigQuery-Ressourcen als Datasets erstellt. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.	Ein Schlüssel pro Ressource
Bigtable	bigtableadmin.googleapis.com/Cluster Mit Autokey werden Schlüssel für Cluster erstellt. Mit Autokey werden keine Schlüssel für andere Bigtable-Ressourcen als Cluster erstellt. Bigtable ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder dem Google Cloud SDK erstellt werden.	Ein Schlüssel pro Cluster
AlloyDB for PostgreSQL	alloydb.googleapis.com/Cluster alloydb.googleapis.com/Backup AlloyDB for PostgreSQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Cloud Run	run.googleapis.com/Service run.googleapis.com/Job	Ein Schlüssel pro Standort in einem Projekt
Cloud SQL	sqladmin.googleapis.com/Instance Mit Autokey werden keine Schlüssel für Cloud SQL-BackupRun-Ressourcen erstellt. Wenn Sie eine Sicherung einer Cloud SQL-Instanz erstellen, wird die Sicherung mit dem kundenverwalteten Schlüssel der primären Instanz verschlüsselt. Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Cloud Storage	storage.googleapis.com/Bucket Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Mit Autokey werden keine Schlüssel für storage.object-Ressourcen erstellt.	Ein Schlüssel pro Bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen. Mit Autokey werden keine Schlüssel für compute.snapshot-Ressourcen erstellt.	Ein Schlüssel pro Ressource
Pub/Sub	pubsub.googleapis.com/Topic	Ein Schlüssel pro Ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Standort in einem Projekt
Secure Source Manager	securesourcemanager.googleapis.com/Instance	Ein Schlüssel pro Ressource
Spanner	spanner.googleapis.com/Database Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Dataflow	dataflow.googleapis.com/Job	Ein Schlüssel pro Ressource
Dataproc	dataproc.googleapis.com/Cluster dataproc.googleapis.com/SessionTemplate dataproc.googleapis.com/WorkflowTemplate dataproc.googleapis.com/Batch dataproc.googleapis.com/Session	Für Cluster-, SessionTemplate- und WorkflowTemplate-Ressourcen:Ein Schlüssel pro Ressource Für Batch- und Sitzungsressourcen:Ein Schlüssel pro Standort in einem Projekt

Beschränkungen

• Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
• Schlüssel-Handles sind nicht in Cloud Asset Inventory enthalten.

Nächste Schritte

• Um Cloud KMS Autokey zu verwenden, muss ein Administrator Cloud KMS Autokey aktivieren.
• Wenn Cloud KMS Autokey aktiviert wurde, kann ein Entwickler CMEK-geschützte Ressourcen mit Autokey erstellen.
• Best Practices für CMEK