Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

CMEK-Schlüsselrotation

Mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) können Sie Daten in unterstütztenGoogle Cloud -Diensten mit einem kryptografischen Schlüssel schützen, den Sie in Cloud KMS verwalten. Sie können die automatische Schlüsselrotation nach einem festgelegten Zeitplan konfigurieren oder Ihre Schlüssel manuell rotieren. In diesem Dokument wird erläutert, was in einem CMEK-integrierten Dienst passiert, wenn der zugrunde liegende Cloud KMS-Schlüssel rotiert wird.

Funktionsweise der Schlüsselrotation mit CMEK

Wenn Sie einen Schlüssel in Cloud KMS rotieren, wird in Cloud KMS eine neue Version dieses Schlüssels erstellt. Die neue Schlüsselversion wird zur primären Version und kann zum Verschlüsseln der Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) verwendet werden, die Ihre Daten schützen. Frühere Schlüsselversionen bleiben aktiv und können zum Entschlüsseln von DEKs verwendet werden, die mit ihnen verschlüsselt wurden. So können Sie immer auf Ihre älteren Daten zugreifen.

Die Schlüsselrotation wird von verschiedenen CMEK-integrierten Diensten unterschiedlich gehandhabt. Es gibt jedoch drei Hauptmuster:

Neue Schlüsselversion schützt alle Daten: Wenn der Dienst erkennt, dass eine neue Schlüsselversion zum Primärschlüssel geworden ist, werden DEKs, die mit der vorherigen Schlüsselversion verschlüsselt wurden, automatisch neu verschlüsselt. DEKs, die sowohl neue als auch vorhandene Daten schützen, werden mit der aktuellen Primärschlüsselversion verschlüsselt. Das erneute Verschlüsseln vorhandener DEKs kann einige Zeit in Anspruch nehmen. Danach wird die vorherige Schlüsselversion nicht mehr verwendet.
Neue Schlüsselversion wird ab sofort verwendet: Wenn der Dienst erkennt, dass eine neue Schlüsselversion primär geworden ist, werden nachfolgende Verschlüsselungsanfragen mit der neuen Schlüsselversion ausgeführt. Für DEKs, mit denen Daten für diese Ressource geschützt werden, wird eine Mischung aus aktuellen und vorherigen Schlüsselversionen verwendet.
Neue Schlüsselversion wird nicht verwendet: Der Dienst verschlüsselt DEKs weiterhin mit der ursprünglichen Schlüsselversion, die beim Erstellen der Ressource konfiguriert wurde, unabhängig davon, ob neue primäre Schlüsselversionen vorhanden sind.

Dienstspezifisches Verhalten nach der Schlüsselrotation

In der folgenden Tabelle wird das dienstspezifische Rotationsverhalten für Ressourcen beschrieben, die mit CMEKs geschützt werden können. In der folgenden Tabelle werden die Rotationsdetails für jeden Ressourcentyp oder jede Gruppe von Ressourcentypen beschrieben:

Schlüssel kann übernommen werden: Gibt an, ob die Ressource einen Schlüssel von einer übergeordneten Ressource übernehmen kann.
Kann eindeutigen Schlüssel verwenden: Gibt an, ob die Ressource einen eigenen eindeutigen Schlüssel verwenden kann, der nicht von einer übergeordneten Ressource übernommen wird.
Schlüssel ändern: Gibt an, ob Sie einen neuen CMEK zum Schutz der Ressource auswählen können, während Sie die Ressource aktualisieren.
Neue Daten: Gibt an, ob neue DEKs mit der primären Schlüsselversion oder der ursprünglichen Schlüsselversion verschlüsselt werden, die primär war, als CMEK für die Ressource konfiguriert wurde.
Vorhandene Daten: Gibt an, ob vorhandene DEKs mit der Primärschlüsselversion neu verschlüsselt werden oder mit der ursprünglichen Schlüsselversion verschlüsselt bleiben, die primär war, als CMEK für die Ressource konfiguriert wurde.

Dienste und Ressourcen	Schlüssel kann übernommen werden	Kann eindeutigen Schlüssel verwenden	Kann den Schlüssel ändern	Neue Daten	Vorhandene Daten
Application Integration `integrations.googleapis.com/IntegrationVersion` `integrations.googleapis.com/AuthConfig` `integrations.googleapis.com/Execution` `integrations.googleapis.com/Suspension` `integrations.googleapis.com/TestCase` `integrations.googleapis.com/Template`	Nein	Ja	Ja	Verwendet die neue primäre Schlüsselversion	Originalschlüsselversionwird verwendet
Cloud Storage `storage.googleapis.com/Bucket` Hinweis:Wenn der Schlüssel des Buckets rotiert wird, werden vorhandene Objekte im Bucket nicht automatisch neu verschlüsselt.	Nein	Ja	Ja	Verwendet die neue primäre Schlüsselversion	Verwendet die neue primäre Schlüsselversion
Cloud Storage `storage.googleapis.com/Object`	Ja	Ja	Nein	Nicht zutreffend: Diese Ressource ist unveränderlich.	Originalschlüsselversionwird verwendet
Customer Experience Insights `contactcenterinsights.googleapis.com/` Hinweis*:Customer Experience Insights verwendet einen Schlüssel pro Projekt und Region. Dieser Schlüssel wird von allen Ressourcen in dieser Region übernommen.	Ja	Nein	Nein	Unbekannt	Unbekannt
Filestore `file.googleapis.com/instance` `file.googleapis.com/backup`	Nein	Ja	Nein	Verwendet die neue primäre Schlüsselversion	Originalschlüsselversionwird verwendet
Firestore `firestore.googleapis.com/Database` `datastore.googleapis.com/Database`	Nein	Ja	Nein	Verwendet die neue primäre Schlüsselversion	Verwendet die neue primäre Schlüsselversion
Gemini Code Assist `cloudaicompanion.googleapis.com/CodeRepositoryIndex`	Nein	Ja	Nein	Originalschlüsselversion wird verwendet	Originalschlüsselversionwird verwendet
Pub/Sub `pubsub.googleapis.com/Topic`	Nein	Ja	Ja	Verwendet die neue primäre Schlüsselversion	Originalschlüsselversionwird verwendet
Speech-to-Text `speech.googleapis.com/Config`	Nein	Ja	Ja	Verwendet die neue primäre Schlüsselversion	Originalschlüsselversionwird verwendet
Speech-to-Text `speech.googleapis.com/CustomClass` `speech.googleapis.com/Endpoint` `speech.googleapis.com/Model` `speech.googleapis.com/PhraseSet` `speech.googleapis.com/Recognizer`	Ja	Nein	Ja	Verwendet die neue primäre Schlüsselversion	Originalschlüsselversionwird verwendet

Nächste Schritte

Schlüssel rotieren
Lesen Sie den Überblick über vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).