关于 Cloud KMS
什么是 Cloud KMS?它有何用途?
Cloud Key Management Service (Cloud KMS) 是一项云托管式密钥管理服务,让您能够使用与本地部署时相同的方式为自己的云服务管理加密。您可以生成、使用、轮替和销毁加密密钥。 Cloud KMS 已与 Identity and Access Management (IAM) 和 Cloud Audit Logs 集成,因而您可以分别管理各个密钥的权限,并监控它们的使用方式。
我可以存储密文吗?
Cloud KMS 会存储密钥和密钥的相关元数据,并且没有常规数据存储 API。建议使用 Secret Manager 存储和访问敏感数据,以便在 Google Cloud中使用。
有服务等级协议 (SLA) 吗?
有,请参阅 Cloud KMS 服务等级协议。
我如何提供产品反馈?
请通过 cloudkms-feedback@google.com 与工程团队联系。
我如何提供文档反馈?
查看 Cloud KMS 文档时,点击页面右上角附近的发送反馈。这会打开一个反馈表单。
如果我需要帮助,可以通过哪些途径?
我们鼓励用户在 Stack Overflow 上发布问题。除了活跃的 Stack Overflow 社区,我们的团队也会积极监控 Stack Overflow 帖子并使用 google-cloud-kms 标签回答问题。
我们还根据您的需求提供各种级别的支持。如需了解其他支持选项,请参阅我们的Google Cloud 支持套餐。
Cloud KMS 有配额吗?
可以。如需了解配额(包括查看或申请更多配额),请参阅 Cloud KMS 配额。
密钥、密钥环或密钥版本数量没有限制。此外,每个密钥环的密钥数量和每个密钥的密钥版本没有限制。
在哪些国家/地区可以使用 Cloud KMS?
您可以在支持 Google Cloud 服务的任何国家/地区使用 Cloud KMS。
键
密钥轮替是否会重新加密数据?如果不会,原因是什么?
密钥轮替不会自动重新加密数据。解密数据时,Cloud KMS 知道哪个密钥版本要用于解密。只要未停用或销毁密钥版本,Cloud KMS 就可以解密使用该密钥保护的数据。
为什么我不能删除密钥或密钥环?
为防止资源名称发生冲突,不能删除密钥环和密钥资源。密钥版本也不能删除,但密钥版本材料可予以销毁,以使资源无法再使用。如需了解详情,请参阅对象的生命周期。 根据活跃密钥版本的数量结算;如果销毁所有有效的密钥版本材料,则密钥环、密钥和密钥版本不会产生费用。
授权和身份验证
如何向 Cloud KMS API 进行身份验证?
客户端身份验证的方式可能会有所不同,具体取决于运行代码的平台。如需了解详情,请参阅访问 API。
我应该使用哪些 IAM 角色?
为了执行最小权限原则,请确保组织中的用户和服务账号仅具有执行其预期职能所必不可少的权限。如需了解详情,请参阅职责分离。
IAM 权限的移除在多长时间后才会生效?
权限的删除应该会在不到一小时内生效。
其他
什么是经过身份验证的额外数据,何时使用?
经过身份验证的额外数据 (AAD) 是您在加密或解密请求中传递给 Cloud KMS 的任意字符串。AAD 用作完整性检查,可以帮助保护您的数据免受“混淆代理攻击”。如需了解详情,请参阅经过身份验证的额外数据。
数据访问日志是否默认启用?如何启用数据访问日志?
默认情况下,未启用数据访问日志。如需了解详情,请参阅启用数据访问日志。
Cloud KMS 密钥与服务账号密钥的关系如何?
服务账号密钥用于Google Cloud中的服务之间的身份验证。服务账号密钥与 Cloud KMS 密钥无关。
Cloud KMS 密钥与 API 密钥的关系如何?
API 密钥是一个简单的加密字符串,用于在调用不需要访问私密用户数据的特定 API 时使用。API 密钥用于跟踪与项目关联的 API 请求以进行配额计算和结算。API 密钥与 Cloud KMS 密钥无关。
您能否提供有关 Cloud HSM 所用 HSM 的更多详细信息?
所有 HSM 设备均由 Marvell(以前称为 Cavium)生产。设备的 FIPS 证书可在 NIST 网站上查看。