本文提供使用 Cloud Key Management Service (Cloud KMS) 管理客戶自行管理的加密金鑰 (CMEK) 的總覽。使用 Cloud KMS CMEK,您就能擁有及控管用來保護Google Cloud靜態資料的金鑰。
比較 CMEK 和 Google-owned and Google-managed encryption keys
您建立的 Cloud KMS 金鑰是客戶管理金鑰。使用您金鑰的Google Cloud 服務稱為具有 CMEK 整合。 您可以直接管理這些 CMEK,也可以透過 Cloud KMS Autokey 管理。 下列因素可區分 Google Cloud的預設待機加密與客戶管理金鑰:
| 驗證碼類型 | Cloud KMS Autokey | Cloud KMS 客戶管理 (手動) | Google-owned and Google-managed encryption key (Google 預設加密機制) |
|---|---|---|---|
可查看重要中繼資料 |
是 |
是 |
否 |
金鑰擁有權1 |
客戶 |
客戶 |
|
系統會自動建立及指派金鑰。完全支援客戶手動控制。 |
客戶,僅限手動控制 |
||
支援客戶管理金鑰的法規要求 |
是 |
是 |
否 |
車鑰共用 |
客戶專屬 |
客戶專屬 |
多位客戶的資料通常會受到共用金鑰加密金鑰 (KEK) 保護。 |
金鑰輪替控制項 |
是 |
是 |
|
是 |
是 |
否 | |
是 |
是 |
否 |
|
透過加密進行邏輯資料分離 |
是 |
是 |
|
定價 |
多樣性 | 免費 |
1 金鑰擁有者:表示誰擁有金鑰的權利。您擁有的金鑰會受到嚴格的存取限制,或完全無法存取 Google 服務。
2 金鑰管理包括下列工作:
- 建立金鑰。
- 選擇金鑰的防護等級。
- 指派金鑰管理權限。
- 控管金鑰存取權。
- 控管金鑰的使用權限。
- 設定及修改金鑰的輪替週期,或觸發金鑰輪替。
- 變更金鑰狀態。
- 刪除金鑰版本。
3 控管按鍵是指設定按鍵類型和使用方式的控管機制、偵測差異,以及視需要規劃修正行動。您可以控管金鑰,但將金鑰管理權委派給第三方。
預設加密機制 Google-owned and Google-managed encryption keys
所有儲存在 Google Cloud 的靜態資料,都會透過強化版金鑰管理系統進行加密。這個系統與 Google Cloud 加密自家資料時使用的系統相同,這些金鑰管理系統具備嚴格的金鑰存取控管和稽核機制,並使用 AES-256 加密標準加密靜態使用者資料。 Google Cloud 擁有並控管用於加密資料的金鑰。您無法查看或管理這些金鑰,也無法查看金鑰使用記錄。多位客戶的資料可能會使用相同的金鑰加密金鑰 (KEK)。不需要設定、配置或管理。
如要進一步瞭解 Google Cloud的預設加密機制,請參閱「預設靜態資料加密」。由客戶管理的加密金鑰 (CMEK)
客戶管理的加密金鑰是您擁有的加密金鑰。這項功能可讓您進一步控管用於加密支援服務中靜態資料的金鑰,並為資料提供加密範圍。 Google Cloud 您可以直接在 Cloud KMS 中管理 CMEK,也可以使用 Cloud KMS Autokey 自動佈建及指派。
支援 CMEK 的服務會整合 CMEK。CMEK 整合是伺服器端加密技術,可取代Google Cloud的預設加密功能。設定 CMEK 後,資源服務代理程式會處理資源的加密和解密作業。由於整合 CMEK 的服務會處理加密資源的存取權,因此加密和解密作業可以透明進行,不需要使用者費心。存取資源的體驗與使用 Google Cloud的預設加密方式類似。如要進一步瞭解如何整合 CMEK,請參閱「CMEK 整合服務提供的功能」。
每個金鑰的金鑰版本數量不限。
如要瞭解服務是否支援 CMEK,請參閱支援的服務清單。
使用 Cloud KMS 會產生費用,費用與金鑰版本數量,以及使用這些金鑰版本執行的加密編譯作業有關。 如要進一步瞭解定價,請參閱 Cloud Key Management Service 定價。無須達到最低購買量或承諾使用金額。
使用 Cloud KMS Autokey 的客戶管理加密金鑰 (CMEK)
Cloud KMS Autokey 會自動佈建及指派 CMEK,簡化建立及管理作業。使用 Autokey 時,系統會在建立資源時視需要產生金鑰環和金鑰,並自動授予使用金鑰進行加密和解密作業的服務代理程式必要的 Identity and Access Management (IAM) 角色。
使用 Autokey 產生的金鑰,有助於您持續遵循資料安全性的業界標準和建議做法,包括金鑰資料位置對齊、金鑰專用原則、多租戶硬體 (HSM) 防護等級、金鑰輪替時間表和權責劃分。Autokey 會建立遵循一般指南和資源類型專屬指南的金鑰,適用於與 Autokey 整合的 Google Cloud 服務。使用 Autokey 函式建立的金鑰,與其他具有相同設定的 Cloud HSM 金鑰完全相同,包括支援客戶管理金鑰的法規要求。如要進一步瞭解 Autokey,請參閱「Autokey 總覽」。
何時該使用客戶自行管理的加密金鑰
您可以在相容服務中使用手動建立的 CMEK 或 Autokey 建立的金鑰,達成下列目標:擁有加密金鑰。
控管及管理加密金鑰,包括選擇位置、保護等級、建立、存取權控管、輪換、使用和銷毀。
在 Cloud KMS 中產生金鑰內容,或匯入在 Google Cloud外部維護的金鑰內容。
設定金鑰使用地點的相關政策。
在停用服務或補救安全性事件 (加密清除) 時,選擇性刪除受金鑰保護的資料。
建立及使用專屬顧客的金鑰,在資料周圍建立加密界線。
記錄管理員和資料存取權,以加密金鑰。
符合現行或未來法規對這些目標的要求。
CMEK 整合服務提供的功能
與 Google Cloud's 預設加密機制相同,CMEK 也是伺服器端、對稱式、信封式加密,可保護客戶資料。與 Google Cloud's 預設加密方式不同,CMEK 保護措施會使用客戶控管的金鑰。 手動或使用 Autokey 自動建立的 CMEK,在服務整合期間的運作方式相同。
具有 CMEK 整合的雲端服務會使用您在 Cloud KMS 中建立的金鑰來保護資源。
與 Cloud KMS 整合的服務會使用對稱式加密。
您可以選擇金鑰的保護等級。
所有金鑰都是 256 位元的 AES-GCM。
金鑰內容絕不會離開 Cloud KMS 系統邊界。
在信封加密模型中,對稱金鑰用於加密和解密。
整合 CMEK 的服務會追蹤金鑰和資源
受 CMEK 保護的資源具有中繼資料欄位,其中包含加密金鑰的名稱。一般來說,這項資訊會顯示在資源中繼資料中,供顧客查看。
金鑰追蹤功能會顯示金鑰保護的資源 (適用於支援金鑰追蹤的服務)。
您可以依專案列出金鑰。
整合 CMEK 的服務會處理資源存取權
在整合 CMEK 的服務中建立或查看資源的主體,不需要用於保護資源的 CMEK Cloud KMS CryptoKey 加密者/解密者 (roles/cloudkms.cryptoKeyEncrypterDecrypter)。
每個專案資源都有一個稱為「服務代理程式」的特殊服務帳戶,可使用客戶自行管理的金鑰執行加密和解密作業。將 CMEK 存取權授予服務代理後,該服務代理就會使用該金鑰保護您選擇的資源。
如果要求者想存取使用客戶自行管理金鑰加密的資源,服務代理會自動嘗試解密要求的資源。如果服務代理人有權使用金鑰解密,且您尚未停用或銷毀金鑰,服務代理人就會提供金鑰的加密和解密功能。否則要求會失敗。
不需要額外的要求者存取權,且服務代理程式會在背景處理加密和解密作業,因此存取資源的使用者體驗與使用 Google Cloud的預設加密方式類似。
使用 Autokey 進行 CMEK
如要在每個資料夾中使用 Autokey,都必須完成一次性設定程序。您可以選擇要使用支援 Autokey 的資料夾,以及 Autokey 儲存該資料夾金鑰的相關金鑰專案。如要進一步瞭解如何啟用 Autokey,請參閱「啟用 Cloud KMS Autokey」。
與手動建立 CMEK 相比,Autokey 不需要下列設定步驟:
金鑰管理員不必手動建立金鑰環或金鑰,也不必將權限指派給加密及解密資料的服務代理。Cloud KMS 服務代理程式會代表您執行這些動作。
開發人員不必事先規劃,在建立資源前要求金鑰。他們可以視需要向 Autokey 索取金鑰,同時維持職責分離。
使用 Autokey 時,只有一個步驟:開發人員在建立資源時要求金鑰。傳回的鍵與預期資源類型一致。
使用 Autokey 建立的 CMEK 與下列功能的手動建立金鑰行為相同:
整合 CMEK 的服務運作方式相同。
金鑰管理員可以透過 Cloud KMS 資訊主頁和金鑰使用情形追蹤功能,持續監控所有建立及使用的金鑰。
組織政策搭配 Autokey 的運作方式,與搭配手動建立的 CMEK 相同。
如要瞭解 Autokey 總覽,請參閱這篇文章。如要進一步瞭解如何使用 Autokey 建立受 CMEK 保護的資源,請參閱「使用 Cloud KMS Autokey 建立受保護的資源」。
手動建立 CMEK
手動建立 CMEK 時,您必須先規劃及建立金鑰環、金鑰和資源位置,才能建立受保護的資源。 接著,您可以使用這些金鑰保護資源。
如要瞭解啟用 CMEK 的確切步驟,請參閱相關Google Cloud 服務的說明文件。部分服務 (例如 GKE) 具有多個 CMEK 整合功能,可保護與服務相關的不同類型資料。您可能需要按照下列類似步驟操作:
建立 Cloud KMS 金鑰環,或選擇現有的金鑰環。建立金鑰環時,請選擇與您要保護的資源地理位置相近的位置。金鑰環可以與您要保護的資源位於相同專案,也可以位於不同專案。使用不同專案可讓您進一步控管 IAM 角色,並協助支援授權區隔。
在所選金鑰環中建立或匯入 Cloud KMS 金鑰。這個金鑰就是 CMEK。
您要將 CMEK 的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予服務的服務帳戶。建立資源時,請將資源設為使用 CMEK。舉例來說,您可以設定 BigQuery 資料表,保護資料表中處於閒置狀態的資料。
要求者不需要直接存取 CMEK,即可存取資料。
只要服務代理人具備 CryptoKey Encrypter/Decrypter 角色,服務就能加密及解密資料。如果撤銷這個角色,或是停用/刪除 CMEK,就無法存取該資料。
CMEK 法規遵循
部分服務已整合 CMEK,可讓您自行管理金鑰。部分服務則提供 CMEK 合規性,也就是說,系統絕不會將暫時性資料和暫時性金鑰寫入磁碟。如需整合式和相容服務的完整清單,請參閱「與 CMEK 相容的服務」。
追蹤金鑰使用情形
金鑰使用情形追蹤功能會顯示貴機構中受 CMEK 保護的 Google Cloud 資源。透過金鑰使用情形追蹤功能,您可以查看使用特定金鑰的受保護資源、專案和不重複 Google Cloud 產品,以及金鑰是否正在使用中。如要進一步瞭解金鑰使用情形追蹤功能,請參閱「查看金鑰使用情形」一文。
CMEK 組織政策
Google Cloud 提供機構政策限制,確保機構資源使用一致的 CMEK。這些限制可讓機構管理員要求使用 CMEK,並指定用於 CMEK 保護措施的 Cloud KMS 金鑰限制和控管措施,包括:
後續步驟
- 請參閱整合 CMEK 的服務清單。
- 查看符合 CMEK 規範的服務清單。
- 請參閱資源類型清單,瞭解哪些資源類型可追蹤金鑰使用情形。
- 請參閱 Autokey 支援的服務清單。