Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud External Key Manager

בדף הזה תוכלו לקרוא סקירה כללית על Cloud External Key Manager ‏ (Cloud EKM).

הסברים על המונחים

מנהל מפתחות חיצוני (EKM)

מנהל המפתחות שמשמש מחוץ ל- Google Cloud לניהול המפתחות.
‫Cloud External Key Manager ‏ (Cloud EKM)

שירות Google Cloud לשימוש במפתחות חיצוניים שמנוהלים ב-EKM נתמך.
‫Cloud EKM דרך האינטרנט

גרסה של Cloud EKM שבה Google Cloud מתקשר עם מנהל המפתחות החיצוני שלכם דרך האינטרנט.
‫Cloud EKM דרך VPC

גרסה של Cloud EKM שבה Google Cloud מתקשר עם מנהל המפתחות החיצוני שלכם דרך ענן וירטואלי פרטי (VPC). מידע נוסף זמין במאמר סקירה כללית על רשת VPC.
ניהול מפתחות EKM מ-Cloud KMS

כשמשתמשים ב-Cloud EKM דרך VPC עם שותף חיצוני לניהול מפתחות שתומך במישור הבקרה של Cloud EKM, אפשר להשתמש במצב הניהול של EKM ב-Cloud KMS כדי לפשט את תהליך התחזוקה של מפתחות חיצוניים אצל השותף החיצוני לניהול מפתחות וב-Cloud EKM. מידע נוסף זמין בקטע מפתחות חיצוניים מתואמים ובקטע ניהול מפתחות EKM מ-Cloud KMS בדף הזה.
מרחב הקריפטו

קונטיינר של המשאבים שלכם אצל השותף החיצוני לניהול מפתחות. המרחב הקריפטוגרפי שלכם מזוהה על ידי נתיב ייחודי של המרחב הקריפטוגרפי. הפורמט של נתיב המרחב הקריפטוגרפי משתנה בהתאם לשותף החיצוני לניהול מפתחות – לדוגמה, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM בניהול שותף

הסדר שבו שותף מהימן מנהל עבורכם את ה-EKM. מידע נוסף זמין בקטע EKM בניהול שותף בדף הזה.
הצדקות גישה למפתחות

כשמשתמשים ב-Cloud EKM עם Key Access Justifications, כל בקשה לשותף חיצוני לניהול מפתחות כוללת שדה שמזהה את הסיבה לכל בקשה. אתם יכולים להגדיר את השותף החיצוני לניהול מפתחות כך שיאשר או ידחה בקשות על סמך הקוד שסופק בבקשת ההצדקה לגישה למפתח. מידע נוסף על הצדקות גישה למפתחות זמין במאמר סקירה כללית על הצדקות גישה למפתחות.

סקירה כללית

עם Cloud EKM, אתם יכולים להשתמש במפתחות שמנוהלים בשותף חיצוני לניהול מפתחות כדי להגן על הנתונים ב-Google Cloud. אתם יכולים להגן על נתונים במנוחה בשירותים נתמכים עם שילוב CMEK, או על ידי קריאה ישירה ל-Cloud Key Management Service API.

ל-Cloud EKM יש כמה יתרונות:

מקור המפתחות: אתם שולטים במיקום ובהפצה של המפתחות שמנוהלים על ידי גורמים חיצוניים. מפתחות שמנוהלים באופן חיצוני אף פעם לא נשמרים במטמון או מאוחסנים ב- Google Cloud. במקום זאת, Cloud EKM מתקשר ישירות עם השותף החיצוני לניהול מפתחות עבור כל בקשה.
בקרת גישה: אתם מנהלים את הגישה למפתחות שמנוהלים על ידי גורמים חיצוניים במנהל המפתחות החיצוני. אי אפשר להשתמש במפתח שמנוהל חיצונית ב-Google Cloud בלי קודם לתת לפרויקט Google Cloud גישה למפתח במנהל המפתחות החיצוני. תמיד אפשר לבטל את הרשאת הגישה הזו.
ניהול מפתחות ריכוזי: אתם יכולים לנהל את המפתחות ואת מדיניות הגישה מממשק משתמש יחיד, בין אם הנתונים שהם מגנים עליהם נמצאים בענן או במקום.

בכל המקרים, המפתח נמצא במערכת החיצונית ואף פעם לא נשלח אל Google.

אתם יכולים לתקשר עם מנהל המפתחות החיצוני דרך האינטרנט או דרך ענן וירטואלי פרטי (VPC).

איך Cloud EKM עובד

גרסאות של מפתחות Cloud EKM מורכבות מהחלקים הבאים:

חומר מפתח חיצוני: חומר המפתח החיצוני של מפתח Cloud EKM הוא חומר קריפטוגרפי שנוצר ומאוחסן ב-EKM שלכם. החומר הזה לא יוצא מ-EKM ולא משותף עם Google.
הפניה למפתח: כל גרסת מפתח של Cloud EKM מכילה URI של מפתח או נתיב מפתח. זהו מזהה ייחודי של חומר המפתח החיצוני שבו Cloud EKM משתמש כשמבקשים פעולות קריפטוגרפיות באמצעות המפתח.
חומר מפתח פנימי: כשיוצרים מפתח סימטרי של Cloud EKM, ‏ Cloud KMS יוצר חומר מפתח נוסף ב-Cloud KMS, שלא יוצא אף פעם מ-Cloud KMS. חומר המפתח הזה משמש כשכבת הצפנה נוספת בתקשורת עם ה-EKM. חומר המפתח הפנימי הזה לא רלוונטי למפתחות חתימה אסימטריים.

כדי להשתמש במפתחות Cloud EKM, שירות Cloud EKM שולח בקשות לפעולות קריפטוגרפיות ל-EKM. לדוגמה, כדי להצפין נתונים באמצעות מפתח הצפנה סימטרי, שירות Cloud EKM מצפין קודם את הנתונים באמצעות חומרי המפתח הפנימיים. הנתונים המוצפנים נכללים בבקשה ל-EKM. שירות ה-EKM עוטף את הנתונים המוצפנים בשכבת הצפנה נוספת באמצעות חומרי המפתח החיצוניים, ואז מחזיר את הטקסט המוצפן שמתקבל. אי אפשר לפענח נתונים שהוצפנו באמצעות מפתח Cloud EKM בלי חומר המפתח החיצוני וחומר המפתח הפנימי.

אם הארגון שלכם הפעיל את התכונה 'הצדקות לגישה למפתחות', השותף החיצוני לניהול מפתחות מתעד את ההצדקה לגישה שסופקה ומשלים את הבקשה רק עבור קודי סיבה להצדקה שמותרים על ידי מדיניות ההצדקות לגישה למפתחות אצל השותף החיצוני לניהול מפתחות.

כדי ליצור ולנהל מפתחות Cloud EKM, צריך לבצע שינויים תואמים גם ב-Cloud KMS וגם ב-EKM. השינויים התואמים האלה מטופלים באופן שונה במפתחות חיצוניים שמנוהלים באופן ידני ובמפתחות חיצוניים מתואמים. כל המפתחות החיצוניים שאליהם יש גישה דרך האינטרנט מנוהלים באופן ידני. אפשר לנהל או לתאם מפתחות חיצוניים שאליהם ניגשים דרך רשת VPC באופן ידני, בהתאם למצב הניהול של ה-EKM בחיבור ה-EKM. מצב הניהול ידני של EKM משמש לניהול ידני של מפתחות. מצב הניהול EKM של Cloud KMS משמש למפתחות חיצוניים מתואמים. מידע נוסף על מצבי ניהול של EKM זמין במאמרים מפתחות חיצוניים בניהול ידני ומפתחות חיצוניים מתואמים בדף הזה.

בתרשים הבא מוצג המיקום של Cloud KMS במודל ניהול המפתחות. בתרשים הזה מוצגים שני שירותים לדוגמה: Compute Engine ו-BigQuery. אפשר גם לעיין ברשימה המלאה של השירותים שתומכים במפתחות Cloud EKM.

דיאגרמה שממחישה הצפנה ופענוח באמצעות Cloud EKM

במאמרים הבאים מוסבר על שיקולים והגבלות שצריך לקחת בחשבון כשמשתמשים ב-Cloud EKM.

מפתחות חיצוניים שמנוהלים באופן ידני

בקטע הזה מוסבר באופן כללי איך Cloud EKM עובד עם מפתח חיצוני שמנוהל באופן ידני.

אתם יוצרים מפתח או משתמשים במפתח קיים במערכת של שותף חיצוני נתמך לניהול מפתחות. למפתח הזה יש URI ייחודי או נתיב מפתח ייחודי.
אתם מעניקים לפרויקט Google Cloud גישה לשימוש במפתח במערכת של השותף החיצוני לניהול מפתחות.
ב Google Cloud פרויקט, יוצרים גרסת מפתח Cloud EKM באמצעות ה-URI או נתיב המפתח של המפתח שמנוהל באופן חיצוני.
צריך לנהל באופן ידני פעולות תחזוקה כמו רוטציית מפתחות בין ה-EKM לבין Cloud EKM. לדוגמה, פעולות של רוטציה של גרסת מפתח או השמדה של גרסת מפתח צריכות להתבצע ישירות ב-EKM וב-Cloud KMS.

ב- Google Cloud, המפתח מופיע לצד מפתחות אחרים של Cloud KMS ו-Cloud HSM, עם רמת ההגנה EXTERNAL או EXTERNAL_VPC. מפתח Cloud EKM ומפתח של שותף חיצוני לניהול מפתחות פועלים יחד כדי להגן על הנתונים שלכם. חומר המפתח החיצוני אף פעם לא נחשף ל-Google.

מפתחות חיצוניים מתואמים

בסעיף הזה מוסבר איך Cloud EKM פועל עם מפתחות חיצוניים מתואמים.

מגדירים חיבור EKM, ומגדירים את מצב הניהול של EKM ל-Cloud KMS. במהלך ההגדרה, אתם צריכים לתת ל-EKM הרשאה לגשת לרשת ה-VPC שלכם, ולתת לחשבון השירות של פרויקטGoogle Cloud הרשאה לגשת למרחב ההצפנה ב-EKM. חיבור ה-EKM שלכם משתמש בשם המארח של ה-EKM ובנתיב של מרחב קריפטוגרפי שמזהה את המשאבים שלכם ב-EKM.
יוצרים מפתח חיצוני ב-Cloud KMS. כשיוצרים מפתח Cloud EKM באמצעות חיבור EKM over VPC עם מצב ניהול EKM של Cloud KMS מופעל, השלבים הבאים מתבצעים באופן אוטומטי:
1. שירות Cloud EKM שולח בקשה ליצירת מפתח ל-EKM.
2. מערכת ה-EKM יוצרת את חומר המפתח המבוקש. חומרי המפתחות החיצוניים האלה נשארים ב-EKM ואף פעם לא נשלחים אל Google.
3. שירות ה-EKM מחזיר נתיב מפתח ל-Cloud EKM.
4. שירות Cloud EKM יוצר את גרסת המפתח של Cloud EKM באמצעות נתיב המפתח שסופק על ידי ה-EKM.
אפשר להפעיל מ-Cloud KMS פעולות תחזוקה על מפתחות חיצוניים מתואמים. לדוגמה, אפשר להגדיר רוטציה אוטומטית של מפתחות חיצוניים מתואמים שמשמשים להצפנה סימטרית לפי לוח זמנים מוגדר. יצירת גרסאות חדשות של מפתחות מתואמת ב-EKM על ידי Cloud EKM. אפשר גם להפעיל את היצירה או ההרס של גרסאות מפתח ב-EKM מ-Cloud KMS באמצעות מסוףGoogle Cloud ,‏ ה-CLI של gcloud,‏ Cloud KMS API או ספריות לקוח של Cloud KMS.

ב- Google Cloud, המפתח מופיע לצד מפתחות אחרים של Cloud KMS ו-Cloud HSM, עם רמת ההגנה EXTERNAL_VPC. מפתח Cloud EKM ומפתח של שותף חיצוני לניהול מפתחות פועלים יחד כדי להגן על הנתונים שלכם. חומר המפתח החיצוני אף פעם לא נחשף ל-Google.

ניהול מפתחות EKM מ-Cloud KMS

מפתחות חיצוניים מתואמים מתאפשרים על ידי חיבורי EKM שמשתמשים בניהול מפתחות EKM מ-Cloud KMS. אם ה-EKM שלכם תומך במישור הבקרה של Cloud EKM, תוכלו להפעיל את ניהול מפתחות ה-EKM מ-Cloud KMS כדי ליצור מפתחות חיצוניים מתואמים לחיבורי ה-EKM. כשניהול מפתחות EKM מופעל מ-Cloud KMS,‏ Cloud EKM יכול לבקש את השינויים הבאים ב-EKM:

יצירת מפתח: כשיוצרים מפתח בניהול חיצוני ב-Cloud KMS באמצעות חיבור EKM תואם, שירות Cloud EKM שולח את בקשת יצירת המפתח אל ה-EKM. אם הפעולה מצליחה, מערכת ה-EKM יוצרת את המפתח החדש ואת חומר המפתח ומחזירה את נתיב המפתח לשימוש ב-Cloud EKM כדי לגשת למפתח.
החלפת מפתח: כשמחליפים מפתח שמנוהל חיצונית ב-Cloud KMS באמצעות חיבור EKM תואם,‏ Cloud EKM שולח את בקשת ההחלפה אל ה-EKM. אם הפעולה בוצעה ללא שגיאות, מערכת ה-EKM יוצרת חומר מפתח חדש ומחזירה את נתיב המפתח ל-Cloud EKM, כדי שיוכל לגשת לגרסת המפתח החדשה.
השמדת מפתח: כשמשמידים גרסת מפתח של מפתח בניהול חיצוני ב-Cloud KMS באמצעות חיבור EKM תואם, Cloud KMS מתזמן את השמדת גרסת המפתח ב-Cloud KMS. אם גרסת המפתח לא תשוחזר לפני שתקופת ההשמדה המתוזמנת תסתיים, Cloud EKM ישמיד את החלק שלו בחומר הקריפטוגרפי של המפתח וישלח בקשת השמדה ל-EKM.

אי אפשר לפענח נתונים שהוצפנו באמצעות גרסת המפתח הזו אחרי שהיא מושמדת ב-Cloud KMS, גם אם היא עדיין לא הושמדה ב-EKM. כדי לראות אם מפתח ה-EKM השמיד בהצלחה את גרסת המפתח, אפשר לעיין בפרטי המפתח ב-Cloud KMS.

כשמנהלים מפתחות ב-EKM מ-Cloud KMS, חומר המפתח עדיין נמצא ב-EKM. ‫Google לא יכולה לשלוח בקשות לניהול מפתחות ל-EKM בלי הרשאה מפורשת. ‫Google לא יכולה לשנות הרשאות או מדיניות של הצדקות לגישה למפתחות במערכת של שותף חיצוני לניהול מפתחות. אם מבטלים את ההרשאות של Google ב-EKM, פעולות ניהול המפתחות שמנסים לבצע ב-Cloud KMS נכשלות.

תאימות

מנהלי מפתחות נתמכים

אפשר לאחסן מפתחות חיצוניים במערכות הבאות של שותפים חיצוניים לניהול מפתחות:

השפות שנתמכות היום:
- Fortanix
- Futurex
- Thales

שירותים שתומכים ב-CMEK עם Cloud EKM

השירותים הבאים תומכים בשילוב עם Cloud KMS עבור מפתחות חיצוניים (Cloud EKM):

Agent Assist
‫AlloyDB ל-PostgreSQL
Apigee API hub
Application Integration
Artifact Registry
שירות Backup and DR: Backup Vault Container וגיבויים במנוחה
גיבוי ל-GKE
BigQuery
Bigtable
Cloud Data Fusion
Cloud Healthcare API
‫Cloud Logging: נתונים ב-Log Router ונתונים באחסון של Logging
Cloud Run
פונקציות Cloud Run
‫Cloud SQL: נתונים שנכתבו למסדי נתונים וגיבויים רגילים ומשופרים
Cloud Storage
Cloud Tasks
Cloud Workstations
‫Compute Engine: דיסקים לאחסון מתמיד, קובצי snapshot, תמונות בהתאמה אישית, ותמונות של מכונות
Customer Experience Insights
Database Migration Service: העברות של MySQL – נתונים שנכתבו במסדי נתונים, העברות של PostgreSQL – נתונים שנכתבו במסדי נתונים, העברות מ-PostgreSQL ל-AlloyDB – נתונים שנכתבו במסדי נתונים, העברות של SQL Server – נתונים שנכתבו במסדי נתונים, ונתונים במצב מנוחה מ-Oracle ל-PostgreSQL
Dataflow
Dataform
Dataproc Metastore
Datastream
Dialogflow CX
‫Document AI
‫Eventarc Advanced (תצוגה מקדימה)
‫Eventarc Standard
Filestore
Firestore
Google Cloud Managed Lustre
שירות מנוהל של Google Cloud ל-Apache Kafka
‫Google Cloud NetApp Volumes
‫Google Cloud Observability (גרסת Preview)
‫Google Distributed Cloud
‫Google Kubernetes Engine: Data on VM disks and Application-layer secrets
Integration Connectors
Knowledge Catalog
‫Looker (Google Cloud core)
Managed Service for Apache Airflow
‫Managed Service for Apache Spark: נתוני אשכולות בדיסקים של מכונות וירטואליות ונתונים בלי שרת בדיסקים של מכונות וירטואליות
‫Memorystore for Redis
‫Memorystore for Redis Cluster
Memorystore for Valkey
העברה למכונות וירטואליות: נתונים שהועברו ממקורות של מכונות וירטואליות ב-VMware, ב-AWS וב-Azure ונתונים שהועברו ממקורות של דיסקים ותמונות מכונה
Parameter Manager
Pub/Sub
Secret Manager
Secure Source Manager
‫Security Command Center
Spanner
המרת דיבור לטקסט (STT)
Vertex AI
מכונות של Vertex AI Workbench
תהליכי עבודה
Workload Manager

לתשומת ליבכם

כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה בזמינות של המפתח שמנוהל באופן חיצוני במערכת של השותף החיצוני לניהול מפתחות. אם תאבדו מפתחות שאתם מנהלים מחוץ ל- Google Cloud, ‏ Google לא תוכל לשחזר את הנתונים שלכם.
כשבוחרים את המיקומים של מפתחות Cloud EKM, חשוב לעיין בהנחיות בנושא אזורים ושותפים לניהול מפתחות חיצוני.
הסכם רמת השירות (SLA) של Cloud EKM.
תקשורת עם שירות חיצוני דרך האינטרנט עלולה לגרום לבעיות באמינות, בזמינות ובזמן האחזור. אם אתם מפתחים אפליקציות שרגישות לסוגי הסיכונים האלה, כדאי לשקול שימוש ב-Cloud HSM או ב-Cloud KMS כדי לאחסן את חומרי המפתחות.
- אם מפתח חיצוני לא זמין, Cloud KMS מחזיר שגיאה FAILED_PRECONDITION ומספק פרטים בפרטי השגיאה PreconditionFailure.
  
  הפעלת יומני ביקורת של נתונים כדי לשמור תיעוד של כל השגיאות שקשורות ל-Cloud EKM. הודעות השגיאה מכילות מידע מפורט שיעזור לכם לאתר את מקור השגיאה. דוגמה לשגיאה נפוצה היא כששותף חיצוני לניהול מפתחות לא מגיב לבקשה בתוך פרק זמן סביר.
- צריך חוזה תמיכה עם השותף החיצוני לניהול מפתחות. Google Cloud התמיכה יכולה לעזור רק בבעיות בשירותים Google Cloud ולא יכולה לעזור ישירות בבעיות במערכות חיצוניות. לפעמים צריך לעבוד עם התמיכה משני הצדדים כדי לפתור בעיות שקשורות לפעולה הדדית.
אפשר להשתמש ב-Cloud EKM עם Bare Metal Rack HSM כדי ליצור פתרון HSM עצמאי שמשולב עם Cloud KMS. כדי לקבל מידע נוסף, בוחרים שותף של Cloud EKM שתומך ב-HSM עם דייר יחיד, ומעיינים בדרישות ל-HSM של Bare Metal Rack. זה שונה מ-Single-tenant Cloud HSM, וכדאי לשקול היטב איזה פתרון מתאים יותר לדרישות שלכם.
כדי לתעד את הגישה למפתחות EKM ואת השימוש בהם, צריך להפעיל רישום ביומן ביקורת במנהל המפתחות החיצוני.

שימו לב: כשמשתמשים במפתחות Cloud EKM, יש סיכון שהמפתח לא יהיה זמין. בהתאם לשירותים שבהם אתם משתמשים, זה עלול לגרום לשגיאות חמורות או לנתונים שלא ניתן לגשת אליהם. לדוגמה, אם אתם משתמשים במפתח CMEK חיצוני כדי להצפין סודות בשכבת האפליקציה של Google Kubernetes Engine, יכול להיות שהצמתים לא יהיו זמינים אם הם לא יוכלו לפענח את הסודות. חוסר גישה למפתח החיצוני עלול לגרום לאובדן נתונים קבוע. לדוגמה, אם מפתח ה-CMEK שמשמש להצפנה של מסד נתונים ב-Spanner לא זמין במשך יותר מ-30 ימים רצופים, Spanner מוחק את מסד הנתונים באופן אוטומטי. אם גרסת המפתח הנוכחית לא זמינה, אי אפשר לשחזר את הנתונים על ידי מעבר לגרסת מפתח חדשה. כדי לשפר את הזמינות, מומלץ להשתמש במפתחות Cloud EKM במקום במפתחות VPC או Cloud HSM.

הגבלות

כשיוצרים מפתח Cloud EKM באמצעות ה-API או Google Cloud CLI, אסור שתהיה לו גרסת מפתח ראשונית. ההגדרה הזו לא חלה על מפתחות Cloud EKM שנוצרו באמצעותGoogle Cloud המסוף.
אין תמיכה ברוטציה אוטומטית של מפתחות חיצוניים שמנוהלים באופן ידני.
פעולות Cloud EKM כפופות למכסות ספציפיות בנוסף למכסות על פעולות Cloud KMS.

מפתחות להצפנה סימטרית

מפתחות הצפנה סימטריים נתמכים רק במקרים הבאים:
- מפתחות הצפנה בניהול הלקוח (CMEK) בשירותי שילוב נתמכים.
- הצפנה ופענוח סימטריים באמצעות Cloud KMS ישירות.
אי אפשר לפענח נתונים שמוצפנים על ידי Cloud EKM באמצעות מפתח שמנוהל חיצונית בלי להשתמש ב-Cloud EKM.

מפתחות חתימה אסימטריים

מפתחות חתימה אסימטריים מוגבלים לקבוצת משנה של אלגוריתמים של Cloud KMS.
מפתחות אסימטריים לחתימה נתמכים רק בתרחישי השימוש הבאים:
- חתימה אסימטרית באמצעות Cloud KMS ישירות.
- מפתח חתימה מותאם אישית עם Access Approval.
אחרי שמגדירים אלגוריתם חתימה אסימטרי במפתח Cloud EKM, אי אפשר לשנות אותו.
החתימה צריכה להתבצע בשדה data.

מנהלי מפתחות חיצוניים ואזורים

שירות Cloud EKM צריך להיות מסוגל להגיע למפתחות במהירות כדי למנוע שגיאה. כשיוצרים מפתח Cloud EKM, בוחריםGoogle Cloud מיקום שקרוב גיאוגרפית למיקום של מפתח השותף החיצוני לניהול מפתחות. כדי לדעת אילו מיקומים נתמכים, אפשר לעיין במסמכי התיעוד של השותף החיצוני לניהול מפתחות.

‫Cloud EKM באינטרנט: זמין ברוב Google Cloudהמיקומים שבהם Cloud KMS זמין, כולל מיקומים אזוריים ומיקומים שכוללים מספר אזורים.
‫Cloud EKM דרך VPC: זמין ברוב המיקומים האזוריים שבהם Cloud KMS זמין. אי אפשר להשתמש ב-Cloud EKM דרך VPC במיקומים מרובי-אזורים.

חלק מהמיקומים, כולל global ו-nam-eur-asia1, לא זמינים ל-Cloud EKM. כדי לדעת אילו מיקומים תומכים ב-Cloud EKM, אפשר לעיין במאמר בנושא מיקומים ב-Cloud KMS.

שימוש במספר אזורים

כשמשתמשים במפתח שמנוהל חיצונית עם מספר אזורים, המטא-נתונים של המפתח זמינים בכמה מרכזי נתונים בתוך מספר האזורים. הנתונים האלה כוללים את המידע שנדרש כדי לתקשר עם השותף החיצוני לניהול מפתחות. אם האפליקציה עוברת ממרכז נתונים אחד למרכז נתונים אחר באזור הרב-אזורי, מרכז הנתונים החדש יוזם בקשות למפתחות. יכול להיות שלמרכז הנתונים החדש יהיו מאפייני רשת שונים מאלה של מרכז הנתונים הקודם, כולל המרחק משותף חיצוני לניהול מפתחות והסיכוי לפסק זמן. מומלץ להשתמש ב-Cloud EKM עם אזורים מרובים רק אם מנהל המפתחות החיצוני שבחרתם מספק זמן אחזור נמוך לכל האזורים האלה.

EKM בניהול שותף

שירות EKM בניהול שותף מאפשר לכם להשתמש ב-Cloud EKM דרך שותף מהימן וריבוני שמנהל עבורכם את מערכת ה-EKM. ב-EKM בניהול השותף, השותף יוצר ומנהל את המפתחות שבהם אתם משתמשים ב-Cloud EKM. השותף מוודא שמערכת ה-EKM שלכם עומדת בדרישות הריבונות.

כשמצטרפים לשותף ריבוני, השותף מספק משאבים ב- Google Cloud וב-EKM. המשאבים האלה כוללים פרויקט Cloud KMS לניהול מפתחות Cloud EKM וחיבור EKM שמוגדר לניהול מפתחות EKM מ-Cloud KMS. השותף יוצר משאבים במיקומים Google Cloud בהתאם לדרישות שלכם לגבי מיקום הנתונים.

כל מפתח Cloud EKM כולל מטא-נתונים של Cloud KMS, שמאפשרים ל-Cloud EKM לשלוח בקשות ל-EKM שלכם כדי לבצע פעולות קריפטוגרפיות באמצעות חומרי המפתח החיצוניים, שלא יוצאים אף פעם מה-EKM שלכם. מפתחות סימטריים של Cloud EKM כוללים גם חומרי מפתח פנימיים של Cloud KMS, שאף פעם לא יוצאים מ- Google Cloud. מידע נוסף על הצדדים הפנימי והחיצוני של מפתחות Cloud EKM זמין במאמר הסבר על Cloud EKM בדף הזה.

מידע נוסף על EKM בניהול שותפים זמין במאמר הגדרת Cloud KMS בניהול שותפים.

מעקב אחרי השימוש ב-Cloud EKM

אפשר להשתמש ב-Cloud Monitoring כדי לעקוב אחרי החיבור ל-EKM. המדדים הבאים יכולים לעזור לכם להבין את השימוש שלכם ב-EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

מידע נוסף על המדדים האלה זמין במאמר בנושא מדדים של Cloud KMS. אתם יכולים ליצור מרכז בקרה כדי לעקוב אחרי המדדים האלה. במאמר מעקב אחרי השימוש ב-EKM מוסבר איך להגדיר מרכז בקרה למעקב אחרי החיבור ל-EKM.

קבלת תמיכה

אם נתקלתם בבעיה ב-Cloud EKM, פנו אל התמיכה.

המאמרים הבאים

מתחילים להשתמש ב-API.
הגדרה של Cloud EKM דרך האינטרנט.
יוצרים חיבור EKM כדי להשתמש ב-EKM דרך VPC.
קוראים את הפניית Cloud KMS API.
מידע נוסף על רישום ביומן ב-Cloud KMS הרישום ביומן מבוסס על פעולות, והוא חל על מפתחות עם רמות הגנה של HSM ושל תוכנה.
במאמר תרשימי עזר לארכיטקטורות לפריסה מהימנה של שירותי Cloud EKM מפורטות המלצות להגדרת פריסה של שירות External Key Manager ‏ (EKM) שמשולב עם Cloud EKM.