בדף הזה מוסבר איך ליצור מפתחות Cloud External Key Manager (Cloud EKM) בצרור מפתחות קיים ב-Cloud Key Management Service (Cloud KMS).
לפני שמתחילים
לפני שמבצעים את המשימות בדף הזה, צריך:
-
משאב פרויקט Google Cloud שיכיל את משאבי Cloud KMS. מומלץ להשתמש בפרויקט נפרד למשאבי Cloud KMS שלא מכיל משאבי Google Cloud אחרים.
רושמים את חשבון השירות של Cloud EKM בפרויקט. בדוגמה הבאה, מחליפים את
PROJECT_NUMBERב מספר הפרויקט של Google Cloud הפרויקט. המידע הזה מוצג גם בכל פעם שמשתמשים במסוף Google Cloud כדי ליצור מפתח Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com - השם והמיקום של אוסף המפתחות שבו רוצים ליצור את המפתח. בוחרים מחזיק מפתחות במיקום שקרוב למשאבים האחרים שלכם ותומך ב-Cloud EKM. כדי לראות את המיקומים הזמינים ואת רמות ההגנה שהם תומכים בהן, אפשר לעיין במאמר בנושא מיקומים של Cloud KMS. כדי ליצור אוסף מפתחות, אפשר לעיין במאמר יצירת אוסף מפתחות.
-
כדי ליצור מפתחות חיצוניים שמנוהלים באופן ידני, צריך ליצור את המפתח במערכת של השותף החיצוני לניהול מפתחות. השלבים המדויקים משתנים בהתאם לשותף החיצוני לניהול מפתחות.
- במקרה הצורך, צריך לבקש גישה מהשותף החיצוני לניהול מפתחות כדי להשתתף.
-
יוצרים מפתח סימטרי או אסימטרי במערכת של השותף החיצוני לניהול מפתחות או בוחרים מפתח קיים.
יוצרים את המפתח באזור שקרוב לאזור Google Cloud שמתכננים להשתמש בו עבור מפתחות Cloud EKM. כך אפשר להקטין את זמן האחזור ברשת בין הפרויקט לבין השותף החיצוני לניהול מפתחות. Google Cloud אחרת, יכול להיות שתיתקלו במספר גדול יותר של פעולות שנכשלו. מידע נוסף זמין במאמר Cloud EKM ואזורים.
- רושמים את ה-URI או את נתיב המפתח של המפתח החיצוני. המידע הזה נדרש כדי ליצור מפתח Cloud EKM.
- במערכת של השותף החיצוני לניהול מפתחות, מעניקים לחשבון השירות Google Cloud גישה לשימוש במפתחות החיצוניים. מתייחסים לחשבון השירות כאל כתובת אימייל. יכול להיות ששותפי EKM ישתמשו במינוח שונה מזה שמופיע במסמך הזה.
- כדי ליצור מפתחות EKM ברשת VPC, צריך ליצור חיבור EKM.
- אופציונלי: כדי להשתמש ב-CLI של gcloud, צריך להכין את הסביבה.
במסוף Google Cloud , מפעילים את Cloud Shell.
התפקידים הנדרשים
כדי לקבל את ההרשאות שנדרשות ליצירת מפתחות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של Cloud KMS (roles/cloudkms.admin) בפרויקט או במשאב אב.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות ליצירת מפתחות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי ליצור מפתחות, צריך את ההרשאות הבאות:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
כדי לאחזר מפתח ציבורי:
cloudkms.cryptoKeyVersions.viewPublicKey
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
יצירת מפתח חיצוני מתואם
המסוף
נכנסים לדף Key Management במסוף Google Cloud .
לוחצים על השם של אוסף המפתחות שעבורו רוצים ליצור מפתח.
לוחצים על Create key.
בשדה Key name, מזינים שם למפתח.
בקטע רמת הגנה, בוחרים באפשרות חיצונית.
בקטע External key manager (EKM) connection type (סוג החיבור של מנהל מפתחות חיצוני (EKM)), בוחרים באפשרות via VPC (דרך VPC).
בקטע EKM via VPC connection (EKM דרך חיבור VPC), בוחרים חיבור.
אם אין לכם הרשאה מסוג
EkmConnection.list, תצטרכו להזין ידנית את שם משאב החיבור.לוחצים על Continue.
בקטע Key material (חומר מפתח), אמורה להופיע הודעה על כך ש-Cloud KMS מבקש חומר מפתח חדש ושהוא נוצר ב-EKM. אם מופיע השדה Key path (נתיב המפתח), חיבור ה-EKM דרך ה-VPC שבחרתם לא מוגדר למפתחות חיצוניים מתואמים.
מגדירים את שאר הגדרות המפתח לפי הצורך, ואז לוחצים על יצירה.
שירות Cloud EKM שולח בקשה ל-EKM כדי ליצור מפתח חדש. המפתח מוצג כבהמתנה ליצירה עד שמסלול המפתח מוחזר על ידי ה-EKM והמפתח של Cloud EKM זמין.
gcloud
כדי להשתמש ב-Cloud KMS בשורת הפקודה, קודם צריך להתקין את הגרסה האחרונה של Google Cloud CLI או לשדרג אליה.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
מחליפים את מה שכתוב בשדות הבאים:
-
KEY_NAME: השם של המפתח. -
KEY_RING: השם של אוסף המפתחות שמכיל את המפתח. -
LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות. -
PURPOSE: המטרה של המפתח. -
ALGORITHM: האלגוריתם שבו יש להשתמש עבור המפתח, לדוגמהgoogle-symmetric-encryption. רשימת האלגוריתמים הנתמכים מופיעה במאמר אלגוריתמים. -
VPC_CONNECTION_RESOURCE_ID: מזהה המשאב של חיבור ה-EKM.
כדי לקבל מידע על כל הדגלים והערכים האפשריים, מריצים את הפקודה עם הדגל --help.
יצירה של Cloud EKM בניהול ידני באמצעות מפתח VPC
המסוף
נכנסים לדף Key Management במסוף Google Cloud .
לוחצים על השם של אוסף המפתחות שעבורו רוצים ליצור מפתח.
לוחצים על Create key.
בשדה Key name, מזינים שם למפתח.
בקטע רמת הגנה, בוחרים באפשרות חיצונית.
בקטע External key manager (EKM) connection type (סוג החיבור של מנהל מפתחות חיצוני (EKM)), בוחרים באפשרות via VPC (דרך VPC).
בקטע EKM via VPC connection (EKM דרך חיבור VPC), בוחרים חיבור.
הערה: אם אין לכם הרשאה של
EkmConnection.list, אתם צריכים להזין ידנית את שם משאב החיבור.לוחצים על Continue.
בשדה Key path (נתיב המפתח), מזינים את הנתיב למפתח החיצוני.
מגדירים את שאר הגדרות המפתח לפי הצורך, ואז לוחצים על יצירה.
gcloud
כדי להשתמש ב-Cloud KMS בשורת הפקודה, קודם צריך להתקין את הגרסה האחרונה של Google Cloud CLI או לשדרג אליה.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
מחליפים את מה שכתוב בשדות הבאים:
-
KEY_NAME: השם של המפתח. - KEY_RING
-
LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות. -
PURPOSE: המטרה של המפתח. -
ALGORITHM: האלגוריתם שבו יש להשתמש עבור המפתח, לדוגמהgoogle-symmetric-encryption. רשימת האלגוריתמים הנתמכים מופיעה במאמר אלגוריתמים. -
VPC_CONNECTION_RESOURCE_ID: מזהה המשאב של חיבור ה-EKM.
כדי לקבל מידע על כל הדגלים והערכים האפשריים, מריצים את הפקודה עם הדגל --help.
יצירה של Cloud EKM בניהול ידני באמצעות מפתח אינטרנט
המסוף
נכנסים לדף Key Management במסוף Google Cloud .
לוחצים על השם של אוסף המפתחות שעבורו רוצים ליצור מפתח.
לוחצים על Create key.
בשדה Key name, מזינים שם למפתח.
בקטע רמת הגנה, בוחרים באפשרות חיצונית.
בקטע External key manager (EKM) connection type (סוג החיבור של מנהל מפתחות חיצוני (EKM)), בוחרים באפשרות via internet (דרך האינטרנט).
לוחצים על Continue.
בשדה Key URI (כתובת URI של מפתח), מזינים את הנתיב למפתח החיצוני.
מגדירים את שאר הגדרות המפתח לפי הצורך, ואז לוחצים על יצירה.
gcloud
כדי להשתמש ב-Cloud KMS בשורת הפקודה, קודם צריך להתקין את הגרסה האחרונה של Google Cloud CLI או לשדרג אליה.
יוצרים מפתח חיצוני ריק:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
מחליפים את מה שכתוב בשדות הבאים:
-
KEY_NAME: השם של המפתח. -
KEY_RING: השם של אוסף המפתחות שמכיל את המפתח. -
LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות. -
PURPOSE: המטרה של המפתח. -
ALGORITHM: האלגוריתם שבו יש להשתמש עבור המפתח, לדוגמהgoogle-symmetric-encryption. רשימת האלגוריתמים הנתמכים מופיעה במאמר אלגוריתמים.
כדי לקבל מידע על כל הדגלים והערכים האפשריים, מריצים את הפקודה עם הדגל
--help.-
יוצרים גרסה חדשה של המפתח שיצרתם:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
מחליפים את
EXTERNAL_KEY_URIבמזהה המשאבים האחיד (URI) של המפתח החיצוני.לגרסאות של מפתחות סימטריים, מוסיפים את הדגל
--primaryכדי להגדיר את גרסת המפתח החדשה כגרסה הראשית.