Acerca do Cloud KMS
O que é o Cloud KMS? O que pode fazer?
O Cloud Key Management Service (Cloud KMS) é um serviço de gestão de chaves alojado na nuvem que lhe permite gerir a encriptação dos seus serviços na nuvem da mesma forma que o faz nas instalações. Pode gerar, usar, rodar e destruir chaves criptográficas. O Cloud KMS está integrado com a gestão de identidade e de acesso (IAM) e os registos de auditoria do Google Cloud, para que possa gerir as autorizações de acesso a chaves individuais e monitorizar a forma como são usadas.
Posso armazenar secrets?
O Cloud KMS armazena chaves e metadados sobre chaves, e não tem uma API de armazenamento de dados geral. O Secret Manager é recomendado para armazenar e aceder a dados confidenciais para utilização no Google Cloud.
Existe um SLA?
Sim, consulte o Contrato de Nível de Serviço do Cloud KMS.
Como posso enviar feedback sobre o produto?
Contacte a equipa de engenharia através do endereço de email cloudkms-feedback@google.com.
Como posso enviar feedback sobre a documentação?
Ao ver a documentação do Cloud KMS, clique em Enviar feedback junto à parte superior direita da página. Esta ação abre um formulário de feedback.
Se precisar de ajuda, quais são as minhas opções?
Convidamos os nossos utilizadores a publicarem as suas perguntas no Stack Overflow. Juntamente com a comunidade ativa do Stack Overflow, a nossa equipa monitoriza ativamente as publicações do Stack Overflow e responde a perguntas com a etiqueta google-cloud-kms.
Também oferecemos vários níveis de apoio técnico, consoante as suas necessidades. Para ver opções de apoio técnico adicionais, consulte os nossos Google Cloud Pacotes de apoio técnico.
O Cloud KMS tem quotas?
Sim. Para informações sobre quotas, incluindo a visualização ou o pedido de quotas adicionais, consulte o artigo Quotas do Cloud KMS.
Não existe limite para o número de chaves, conjuntos de chaves ou versões de chaves. Além disso, não existe limite para o número de chaves por conjunto de chaves e versões de chaves por chave.
Em que países posso usar o Cloud KMS?
Pode usar o Cloud KMS em qualquer país onde os Google Cloud serviços sejam suportados.
Chaves
A rotação de chaves reencripta os dados? Se não, porquê?
A rotação de chaves não volta a encriptar automaticamente os dados. Quando desencripta dados, o Cloud KMS sabe que versão da chave usar para a desencriptação. Desde que uma versão da chave não esteja desativada ou destruída, o Cloud KMS pode desencriptar os dados protegidos com essa chave.
Por que motivo não consigo eliminar chaves nem conjuntos de chaves?
Para evitar colisões de nomes de recursos, NÃO é possível eliminar os recursos de chaves e o conjunto de chaves. Também não é possível eliminar versões de chaves, mas é possível destruir o material das versões de chaves para que os recursos deixem de poder ser usados. Para mais informações, consulte o artigo Tempo de vida dos objetos. A faturação baseia-se no número de versões de chaves ativas. Se destruir todo o material da versão de chave ativa, não é cobrado nenhum valor pelos conjuntos de chaves, pelas chaves e pelas versões de chaves restantes.
Autorização e autenticação
Como posso autenticar-me na API Cloud KMS?
A forma como os clientes se autenticam pode variar ligeiramente consoante a plataforma em que o código está a ser executado. Para ver detalhes, consulte o artigo Aceder à API.
Que funções do IAM devo usar?
Para aplicar o princípio do menor privilégio, certifique-se de que as contas de utilizador e de serviço na sua organização têm apenas as autorizações essenciais para realizar as respetivas funções pretendidas. Para mais informações, consulte o artigo Separação de funções.
Com que rapidez é removida uma autorização de IAM?
A remoção de uma autorização deve estar em vigor em menos de uma hora.
Diversos
O que são dados autenticados adicionais e quando os devo usar?
Os dados autenticados adicionais (AAD) são qualquer string que transmite ao Cloud KMS como parte de um pedido de encriptação ou desencriptação. É usado como uma verificação de integridade e pode ajudar a proteger os seus dados de um ataque de confused deputy. Para mais informações, consulte o artigo Dados autenticados adicionais.
Os registos de acesso aos dados estão ativados por predefinição? Como posso ativar os registos de acesso aos dados?
Os registos de acesso a dados não estão ativados por predefinição. Para mais informações, consulte o artigo Ativar registos de acesso a dados.
Como é que as chaves do Cloud KMS se relacionam com as chaves de contas de serviço?
As chaves de contas de serviço são usadas para a autenticação de serviço para serviço no âmbito do Google Cloud. As chaves de contas de serviço não estão relacionadas com as chaves do Cloud KMS.
Como é que as chaves do Cloud KMS se relacionam com as chaves da API?
Uma chave da API é uma string encriptada simples que pode ser usada quando chama determinadas APIs que não precisam de acesso a dados privados do utilizador. As chaves da API monitorizam os pedidos da API associados ao seu projeto para fins de quota e faturação. As chaves da API não estão relacionadas com as chaves do Cloud KMS.
Tem detalhes adicionais sobre os HSMs usados pelo Cloud HSM?
Todos os dispositivos HSM são fabricados pela Marvell (anteriormente Cavium). O certificado FIPS para os dispositivos está no Website do NIST.