Über Cloud KMS
Was ist Cloud KMS? Wie funktioniert Cloud KMS?
Cloud Key Management Service (Cloud KMS) ist ein in der Cloud gehosteter Schlüsselverwaltungsdienst, mit dem Sie die Verschlüsselung Ihrer Clouddienste genauso verwalten können wie lokal bei Ihnen vor Ort. Sie können kryptografische Schlüssel generieren, verwenden, rotieren und löschen. Cloud KMS ist in Identity and Access Management (IAM) und Cloud-Audit-Logging eingebunden, sodass Sie Berechtigungen für einzelne Schlüssel verwalten und deren Verwendung im Blick behalten können.
Kann ich Secrets speichern?
Cloud KMS speichert Schlüssel und Metadaten zu Schlüsseln und hat keine allgemeine Datenspeicher-API. Secret Manager wird zum Speichern und Zugreifen auf vertrauliche Daten zur Verwendung in Google Cloudempfohlen.
Gibt es ein SLA?
Ja, siehe Cloud Key Management Service (Cloud KMS) Service Level Agreement (SLA).
Wie gebe ich Feedback zum Produkt?
Kontaktieren Sie das Entwicklerteam unter cloudkms-feedback@google.com.
Wie gebe ich Feedback zur Dokumentation?
Klicken Sie beim Anzeigen der Cloud KMS-Dokumentation oben rechts auf der Seite auf Feedback geben. Dadurch öffnet sich ein Feedbackformular.
Welche Möglichkeiten habe ich, wenn ich Hilfe brauche?
Nutzer können Fragen in Stack Overflow stellen. Zusammen mit der Stack Overflow-Community überwacht unser Team aktiv die in Stack Overflow geposteten Beiträge und beantwortet Fragen mit dem Tag google-cloud-kms.
Je nach Ihren Anforderungen bieten wir verschiedene Supportstufen an. Weitere Supportoptionen finden Sie in unseren Google Cloud Supportpaketen.
Gelten bei Cloud KMS irgendwelche Kontingente?
Ja. Informationen zu Kontingenten, einschließlich Aufrufen oder Anfordern zusätzlicher Kontingente, finden Sie unter Cloud KMS-Kontingente.
Es gibt keine Beschränkung für die Anzahl der Schlüssel, Schlüsselbunde oder Schlüsselversionen. Darüber hinaus gibt es keine Beschränkung für die Anzahl der Schlüssel pro Schlüsselbund und die Schlüsselversionen pro Schlüssel.
In welchen Ländern kann ich Cloud KMS verwenden?
Sie können Cloud KMS in jedem Land verwenden, in dem Google Cloud -Dienste unterstützt werden.
Schlüssel
Werden bei der Schlüsselrotation die Daten neu verschlüsselt? Wenn nein, warum nicht?
Die Schlüsselrotation verschlüsselt die Daten nicht automatisch neu. Beim Entschlüsseln von Daten weiß Cloud KMS, welche Schlüsselversion für die Entschlüsselung verwendet werden soll. Solange eine Schlüsselversion nicht deaktiviert oder gelöscht wird, kann Cloud KMS mit diesem Schlüssel geschützte Daten entschlüsseln.
Warum kann ich Schlüssel oder Schlüsselbunde nicht löschen?
Um Kollisionen von Ressourcennamen zu verhindern, dürfen der Schlüsselbund und die Schlüsselressourcen NICHT gelöscht werden. Obwohl Schlüsselversionen ebenfalls nicht gelöscht werden können, kann Schlüsselversionsmaterial gelöscht werden, damit die Ressourcen nicht mehr verwendet werden können. Weitere Informationen finden Sie unter Lebensdauer von Objekten. Die Abrechnung basiert auf der Zahl der aktiven Schlüsselversionen. Wenn Sie das gesamte aktive Schlüsselversionsmaterial vernichten, fallen für die verbleibenden Schlüsselbunde, Schlüssel und Schlüsselversionen keine Gebühren an.
Autorisierung und Authentifizierung
Wie authentifiziere ich mich bei der Cloud KMS API?
Wie sich Clients authentifizieren, hängt von der Plattform ab, auf der der Code ausgeführt wird. Weitere Informationen finden Sie unter Zugriff auf die API.
Welche IAM-Rollen soll ich verwenden?
Sorgen Sie dafür, dass die Nutzer- und Dienstkonten in Ihrer Organisation ausschließlich Berechtigungen haben, die für die Ausführung der vorgesehenen Funktionen erforderlich sind, um das Prinzip der geringsten Berechtigung durchzusetzen. Weitere Informationen finden Sie unter Aufgabentrennung.
Wie schnell wird eine IAM-Berechtigung entfernt?
Die Entfernung einer Berechtigung sollte in weniger als einer Stunde wirksam sein.
Sonstiges
Was sind zusätzliche authentifizierte Daten und wann sollte ich sie verwenden?
Zusätzliche authentifizierte Daten (Additional Authenticated Data, AAD) sind beliebige Strings, die Sie bei einer Verschlüsselungs- oder Entschlüsselungsanfrage an den Cloud KMS übergeben. Sie werden als Integritätsprüfung verwendet und können dabei helfen, Ihre Daten vor einer Confused Deputy Attack zu schützen. Weitere Informationen finden Sie unter Zusätzliche authentifizierte Daten.
Sind Datenzugriffslogs standardmäßig aktiviert? Wie aktiviere ich Datenzugriffslogs?
Datenzugriffslogs werden nicht standardmäßig aktiviert. Weitere Informationen finden Sie unter Datenzugriffslogs aktivieren.
Wie hängen Cloud KMS-Schlüssel mit Dienstkontoschlüsseln zusammen?
Dienstkontoschlüssel werden für die Dienst-zu-Dienst-Authentifizierung innerhalb vonGoogle Cloudverwendet. Dienstkontoschlüssel stehen nicht in Zusammenhang mit Cloud KMS-Schlüsseln.
Wie hängen Cloud KMS-Schlüssel mit API-Schlüsseln zusammen?
Ein API-Schlüssel ist ein einfach verschlüsselter String, der beim Aufrufen bestimmter APIs verwendet werden kann, die nicht auf private Nutzerdaten zugreifen müssen. API-Schlüssel verfolgen Ihrem Projekt zugeordnete API-Anfragen für Kontingente und die Abrechnung. API-Schlüssel stehen nicht in Zusammenhang mit Cloud KMS-Schlüsseln.
Haben Sie weitere Informationen zu den von Cloud HSM verwendeten HSMs?
Alle HSM-Geräte werden von Marvell (ehemals Cavium) hergestellt. Das FIPS-Zertifikat für die Geräte finden Sie auf der NIST-Website.