Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על Cloud Key Management Service

בעזרת Cloud Key Management Service ‏ (Cloud KMS) אפשר ליצור ולנהל מפתחות קריפטוגרפיים לשימוש בשירותים תואמים Google Cloud ובאפליקציות שלכם. באמצעות Cloud KMS, אפשר לבצע את הפעולות הבאות:

ליצור מפתחות תוכנה או חומרה, לייבא מפתחות קיימים ל-Cloud KMS או לקשר מפתחות חיצוניים במערכת חיצונית לניהול מפתחות (EKM) שתואמת ל-Cloud KMS.
ליצור מפתחות Cloud HSM מרובי-דיירים ולהשתמש בהם עם Cloud HSM ל-Google Workspace כדי להפעיל הצפנה מצד הלקוח (CSE) ב-Google Workspace.
ליצור ולתחזק מופעים של Single-tenant Cloud HSM, וליצור או לייבא ואז להשתמש במפתחות של Single-tenant Cloud HSM.
שימוש במפתחות הצפנה בניהול הלקוח (CMEK) במוצרי Google Cloud CMEK. שילובים של CMEK משתמשים במפתחות Cloud KMS כדי להצפין או "לעטוף" את המפתחות להצפנת נתונים (DEK). אריזת מפתחות DEK באמצעות מפתחות להצפנת מפתחות הצפנה (KEK) נקראת הצפנת מעטפת.
משתמשים ב-Cloud KMS Autokey כדי להפוך את ההקצאה וההקצאה לאוטומטיות. עם Autokey, לא צריך להקצות מראש מחזיקי מפתחות, מפתחות וחשבונות שירות. במקום זאת, הם נוצרים על פי דרישה כחלק מיצירת משאבים.
שימוש במפתחות Cloud KMS לפעולות הצפנה ופענוח. לדוגמה, אפשר להשתמש ב-Cloud KMS API או בספריות הלקוח כדי להשתמש במפתחות Cloud KMS להצפנה בצד הלקוח.
שימוש במפתחות Cloud KMS כדי ליצור או לאמת חתימות דיגיטליות או חתימות של קוד אימות הודעות (MAC).
שימוש במפתחות Cloud KMS כדי ליצור סודות משותפים באמצעות מנגנוני הצפנת מפתחות.

בחירת ההצפנה המתאימה לצרכים שלכם

בטבלה הבאה אפשר לראות איזה סוג של הצפנה מתאים לצרכים שלכם בכל תרחיש לדוגמה. הפתרון הכי טוב לצרכים שלכם עשוי לכלול שילוב של גישות הצפנה. לדוגמה, אפשר להשתמש במפתחות תוכנה לנתונים הכי פחות רגישים, ובמפתחות חומרה או במפתחות חיצוניים לנתונים הכי רגישים. מידע נוסף על אפשרויות ההצפנה שמתוארות בקטע הזה זמין בקטע הגנה על נתונים ב- Google Cloud בדף הזה. מידע נוסף על הסכם רמת השירות (SLA) שחל על שימוש במפתחות Cloud KMS,‏ Cloud HSM ו-Cloud EKM זמין במאמר הסכם רמת השירות.

סוג הצפנה	עלות	שירותים תואמים	תכונות
Google-owned and Google-managed encryption keys (Google Cloud הצפנת ברירת המחדל)	כלול	כל Google Cloud השירותים שמאחסנים נתוני לקוחות	לא נדרשת הגדרה. הצפנה אוטומטית של נתוני לקוחות שנשמרים בכל Google Cloud שירות. ברוב השירותים, המפתחות עוברים רוטציה באופן אוטומטי. תומך בהצפנה באמצעות AES-256. אישור FIPS 140-2 ברמה 1.
מפתחות הצפנה בניהול הלקוח – תוכנה (מפתחות Cloud KMS)	‫$0.06 לכל גרסת מפתח	יותר מ-40 שירותים	אתם שולטים בלוח הזמנים של רוטציית המפתחות האוטומטית, בתפקידים ובהרשאות ב-IAM, בהפעלה, בהשבתה או בהשמדה של גרסאות המפתחות. תומך במפתחות סימטריים ואסימטריים להצפנה ופענוח. מבצע רוטציה אוטומטית של מפתחות סימטריים. תומך בכמה אלגוריתמים נפוצים. אישור FIPS 140-2 ברמה 1. המפתחות ייחודיים ללקוח.
מפתחות הצפנה בניהול הלקוח – חומרה (מפתחות Cloud HSM)	‫1.00$ עד 2.50 $לכל גרסת מפתח בחודש	יותר מ-40 שירותים	אפשר לנהל אותם באמצעות Cloud KMS Autokey. אתם שולטים בלוח הזמנים של רוטציית המפתחות האוטומטית, בתפקידים ובהרשאות ב-IAM, בהפעלה, בהשבתה או בהשמדה של גרסאות המפתחות. תומך במפתחות סימטריים ואסימטריים להצפנה ופענוח. מבצע רוטציה אוטומטית של מפתחות סימטריים. תומך בכמה אלגוריתמים נפוצים. אישור FIPS 140-2 ברמה 3. המפתחות ייחודיים ללקוח. אתם יכולים ליצור ולנהל מופע משלכם של Cloud HSM עם דייר יחיד כדי לקבל בידוד קריפטוגרפי רב יותר ושליטה ניהולית רבה יותר על מפתחות ה-HSM. מופעים של Cloud HSM עם דייר יחיד כרוכים בעלויות נוספות.
מפתחות הצפנה בניהול הלקוח – חיצוניים (מפתחות Cloud EKM)	‫3.00$ לכל גרסת מפתח לחודש	30+ services	אתם שולטים בתפקידים ובהרשאות ב-IAM, ויכולים להפעיל, להשבית או להשמיד גרסאות של מפתחות. המפתחות אף פעם לא נשלחים אל Google. חומר המפתח נמצא אצל ספק חיצוני תואם לניהול מפתחות (EKM). שירותים תואמים של Google Cloud מתחברים לספק ה-EKM שלכם דרך האינטרנט או דרך ענן וירטואלי פרטי (VPC). תומך במפתחות סימטריים להצפנה ופענוח. מבצעים רוטציה למפתחות באופן ידני בתיאום עם Cloud EKM וספק ה-EKM. מאומת על ידי FIPS 140-2 ברמה 2 או FIPS 140-2 ברמה 3, בהתאם ל-EKM. המפתחות ייחודיים ללקוח.
הצפנה מצד הלקוח באמצעות מפתחות Cloud KMS	העלות של גרסאות פעילות של מפתחות תלויה ברמת ההגנה של המפתח.	שימוש בספריות לקוח באפליקציות	אתם שולטים בלוח הזמנים של רוטציית המפתחות האוטומטית, בתפקידים ובהרשאות ב-IAM, בהפעלה, בהשבתה או בהשמדה של גרסאות המפתחות. תומך במפתחות סימטריים ואסימטריים להצפנה, פענוח, חתימה ואימות חתימה. הפונקציונליות משתנה בהתאם לרמת ההגנה על המפתחות.
‫Cloud HSM ל-Google Workspace	עמלה חודשית קבועה לכל מופע, בנוסף לעלות של גרסאות פעילות של מפתחות ופעולות קריפטוגרפיות.	שימוש במפתחות Cloud HSM מרובי דיירים להצפנה מצד הלקוח ב-Google Workspace	אתם שולטים בלוח הזמנים של רוטציית המפתחות האוטומטית, בתפקידים ובהרשאות ב-IAM, בהפעלה, בהשבתה או בהשמדה של גרסאות המפתחות. שימוש במפתחות סימטריים להצפנה ולפענוח.
מפתחות הצפנה באספקת הלקוח (CSEK)	עלול להגדיל את העלויות שקשורות ל-Compute Engine או ל-Cloud Storage	Compute Engine Cloud Storage	אתם מספקים חומרי מפתח כשצריך. חומר המפתח נמצא בזיכרון – Google לא מאחסנת את המפתחות שלכם באופן קבוע בשרתים שלנו.
Confidential Computing	עלות נוספת לכל מכונה וירטואלית חסויה. יכול להיות שהשימוש ביומנים יגדל והעלויות יגדלו בהתאם.	Compute Engine GKE Managed Service for Apache Spark	מספק הצפנה בשימוש למכונות וירטואליות שמטפלות במידע אישי רגיש או בעומסי עבודה. ל-Google אין גישה למפתחות.

הגנה על נתונים ב- Google Cloud

‫Google-owned and Google-managed encryption keys (Google Cloud הצפנה כברירת מחדל)

כברירת מחדל, נתונים באחסון ב- Google Cloud מוגנים באמצעות מפתחות ב-Keystore, Google Cloudשירות ניהול המפתחות הפנימי של Google. המפתחות ב-Keystore מנוהלים אוטומטית על ידי Google Cloud, ולא נדרשת הגדרה מצדכם. ברוב השירותים, המערכת מבצעת רוטציה של המפתחות באופן אוטומטי. מאגר המפתחות תומך בגרסה ראשית של מפתח ובמספר מוגבל של גרסאות ישנות יותר של מפתחות. הגרסה הראשית של המפתח משמשת להצפנה של מפתחות חדשים להצפנת נתונים. עדיין אפשר להשתמש בגרסאות ישנות יותר של המפתח כדי לפענח מפתחות קיימים להצפנת נתונים. אין לכם אפשרות לראות או לנהל את המפתחות האלה, או לבדוק את יומני השימוש במפתחות. אותו מפתח להצפנת מפתחות הצפנה (KEK) יכול לשמש לנתונים מכמה לקוחות.

ההצפנה הזו כברירת מחדל משתמשת במודולים קריפטוגרפיים שעברו אימות בהתאם לתקן FIPS 140-3 ברמה 1.

מפתחות הצפנה בניהול הלקוח (CMEK)

מפתחות Cloud KMS שמשמשים להגנה על המשאבים בשירותים שמשולבים עם CMEK הם מפתחות הצפנה בניהול הלקוח (CMEK). אתם יכולים להיות הבעלים של CMEK ולשלוט בו, ובו בזמן להקצות ל-Cloud KMS Autokey את המשימות של יצירת מפתחות והקצאתם. השימוש ב-Autokey פשוט יותר מהקצאת מפתחות באופן עצמאי, והוא מומלץ אם המפתחות שנוצרו על ידי Autokey עומדים בכל הדרישות שלכם. מידע נוסף על אוטומציה של הקצאת הרשאות ל-CMEK זמין במאמר Cloud Key Management Service עם Autokey.

אתם יכולים להשתמש במפתחות של Cloud KMS בשירותים תואמים כדי לעמוד ביעדים הבאים:

בעלות על מפתחות ההצפנה.
שליטה וניהול של מפתחות ההצפנה, כולל בחירת מיקום, רמת הגנה, יצירה, בקרת גישה, רוטציה, שימוש והשמדה.
למחוק נתונים באופן סלקטיבי שמוגנים על ידי המפתחות שלכם במקרה של ביטול הרשאה או כדי לתקן אירועי אבטחה (מחיקה קריפטוגרפית).
יצירת מפתחות ייעודיים לדייר יחיד שמגדירים גבול קריפטוגרפי סביב הנתונים.
רישום ביומן של גישה אדמיניסטרטיבית וגישה לנתונים למפתחות הצפנה.
עמידה בתקנות קיימות או עתידיות שמחייבות את השימוש באחד מהיעדים האלה.

כשמשתמשים במפתחות Cloud KMS עם שירותים שמשולבים עם CMEK, אפשר להשתמש במדיניות הארגון כדי לוודא שמפתחות CMEK משמשים כמו שמצוין במדיניות. לדוגמה, אפשר להגדיר מדיניות ארגון שתבטיח שהמשאבים התואמים שלכם ב- Google Cloud ישתמשו במפתחות Cloud KMS להצפנה. בנוסף, מדיניות הארגון יכולה לציין באיזה פרויקט צריכים להיות משאבי המפתח.

התכונות ורמת ההגנה שמתקבלות תלויות ברמת ההגנה של המפתח:

מפתחות תוכנה – אתם יכולים ליצור מפתחות תוכנה ב-Cloud KMS ולהשתמש בהם בכל המיקומים Google Cloud . אפשר ליצור מפתחות סימטריים עם רוטציה אוטומטית או מפתחות אסימטריים עם רוטציה ידנית. מפתחות תוכנה בניהול הלקוח משתמשים במודולים קריפטוגרפיים של תוכנה שעברו אימות FIPS 140-3 ברמה 1. יש לכם גם שליטה על תקופת הרוטציה, על התפקידים וההרשאות בניהול הזהויות והרשאות הגישה (IAM) ועל מדיניות הארגון שקובעת את הגישה למפתחות. אפשר להשתמש במקשי התוכנה עם הרבה משאבים תואמים Google Cloud.
מפתחות תוכנה מיובאים – אתם יכולים לייבא מפתחות תוכנה שיצרתם במקום אחר לשימוש ב-Cloud KMS. אתם יכולים לייבא גרסאות מפתח חדשות כדי לבצע רוטציה ידנית של מפתחות מיובאים. אתם יכולים להשתמש בתפקידים ובהרשאות ב-IAM ובכללי מדיניות ארגוניים כדי לשלוט בשימוש במפתחות שיובאו.
מפתחות חומרה עם Cloud HSM מרובה דיירים – אתם יכולים ליצור מפתחות חומרה באשכול של מודולים של אבטחת חומרה (HSMs) התואמים ל-FIPS 140-2 ברמה 3. אתם שולטים בתקופת הרוטציה, בתפקידים ובהרשאות ב-IAM ובמדיניות הארגון שקובעים את המדיניות לגבי המפתחות. כשיוצרים מפתחות HSM באמצעות Cloud HSM,‏ Google Cloudמנהל את אשכולות ה-HSM, כך שאתם לא צריכים לעשות זאת. אתם יכולים להשתמש במפתחות HSM עם הרבה משאבים תואמים Google Cloud – אותם שירותים שתומכים במפתחות תוכנה. כדי להשיג את רמת התאימות הגבוהה ביותר לאבטחה, צריך להשתמש במפתחות חומרה.
מפתחות חומרה עם Cloud HSM בדיירות יחידה – אתם יכולים ליצור מפתחות חומרה באשכול של מחיצות ייעודיות במודולים של אבטחת חומרה (HSM) עם הסמכת FIPS 140-2 ברמה 3 שאתם שולטים בהם. אתם יכולים לשלוט בתקופת הרוטציה, בתפקידים ובהרשאות ב-IAM ובמדיניות הארגונית שחלה על המפתחות. כשיוצרים מופע של Cloud HSM עם דייר יחיד, Google Cloud מארח את אשכולות ה-HSM כדי שלא תצטרכו לעשות זאת, אבל אתם שולטים בגישה למופע ומתחזקים אותו באמצעות קוורום של אדמינים ייעודיים. פעולות במופע דורשות אימות דו-שלבי באמצעות מפתחות אבטחה שבבעלותכם מחוץ ל-Google Cloud. אתם יכולים להשתמש במפתחות HSM של דייר יחיד עם הרבה משאבים תואמים Google Cloud – אותם שירותים שתומכים במפתחות תוכנה. כדי להשיג את רמת התאימות הגבוהה ביותר לאבטחה עם בידוד קריפטוגרפי, צריך להשתמש במפתחות חומרה.
מפתחות חיצוניים ו-Cloud EKM – אתם יכולים להשתמש במפתחות שנמצאים במנהל מפתחות חיצוני (EKM). שירות Cloud EKM מאפשר להשתמש במפתחות שמאוחסנים במנהל מפתחות נתמך כדי לאבטח אתGoogle Cloud המשאבים. אפשר להתחבר ל-EKM דרך האינטרנט או דרך ענן וירטואלי פרטי (VPC). חלק Google Cloud מהשירותים שתומכים במפתחות Cloud KMS לא תומכים במפתחות Cloud EKM.

מידע נוסף על המיקומים ב-Cloud KMS שתומכים ברמות ההגנה השונות זמין במאמר מיקומים ב-Cloud KMS.

מפתחות Cloud KMS

אתם יכולים להשתמש במפתחות Cloud KMS באפליקציות בהתאמה אישית באמצעות ספריות הלקוח של Cloud KMS או Cloud KMS API. ספריות הלקוח וממשק ה-API מאפשרים להצפין ולפענח נתונים, לחתום על נתונים ולאמת חתימות.

‫Cloud HSM עם ריבוי דיירים ל-Google Workspace

אתם יכולים להשתמש במפתחות Cloud HSM מרובי-דיירים ב-Cloud HSM ל-Google Workspace כדי לנהל את המפתחות שמשמשים להצפנה מצד הלקוח (CSE) ב-Google Workspace. אפשר להצטרף ל-Cloud HSM for Google Workspace.

מפתחות הצפנה באספקת הלקוח (CSEK)

‫Cloud Storage ו-Compute Engine יכולים להשתמש במפתחות הצפנה באספקת הלקוח (CSEK). כשמשתמשים במפתחות הצפנה באספקת הלקוח (CSEK), מאחסנים את חומר המפתח ומספקים אותו ל-Cloud Storage או ל-Compute Engine כשצריך. ‫ Google Cloud לא שומר את מפתחות ה-CSEK שלכם בשום צורה.

Confidential Computing

אתם יכולים להשתמש בפלטפורמת Confidential Computing כדי להצפין את הנתונים בשימוש. Confidential Computing מבטיח שהנתונים שלכם יישארו פרטיים ומוצפנים גם בזמן העיבוד.