Sobre o Cloud KMS
O que é o Cloud KMS? O que ele faz?
O Cloud Key Management Service (Cloud KMS) é um serviço de gerenciamento de chaves hospedado na nuvem que permite que você gerencie a criptografia dos serviços na nuvem da mesma forma que faz no local. Você pode gerar, usar, rotar e destruir chaves criptográficas. O Cloud KMS é integrado ao gerenciamento de identidade e acesso (IAM) e aos registros de auditoria do Cloud, o que permite gerenciar permissões em chaves individuais e monitorar como elas são usadas.
Posso armazenar chaves secretas?
O Cloud KMS armazena chaves e metadados sobre chaves e não tem uma API geral de armazenamento de dados. O Secret Manager é recomendado para armazenar e acessar dados sensíveis para uso no Google Cloud.
Há algum SLA?
Sim, consulte Contrato de nível de serviço do Cloud KMS.
Como faço para enviar feedback do produto?
Entre em contato com a equipe de engenharia em cloudkms-feedback@google.com.
Como faço para enviar feedback da documentação?
Ao visualizar a documentação do Cloud KMS, clique em Enviar feedback perto do canto superior direito da página. Será aberto um formulário de feedback.
Se eu precisar de ajuda, quais serão as minhas opções?
Convidamos nossos usuários a postar suas perguntas no Stack Overflow. Em parceria com a comunidade ativa do Stack Overflow, nossa equipe monitora ativamente as postagens e responde a perguntas que constam lá com a tag google-cloud-kms.
Nós também oferecemos vários níveis de suporte, dependendo de suas necessidades. Para mais opções de suporte, consulte nossos Google Cloud Pacotes de suporte.
O Cloud KMS trabalha com cotas?
Sim. Para informações sobre cotas, incluindo como visualizar ou solicitar cotas adicionais, consulte Cotas do Cloud KMS.
Não há limite para o número de chaves, keyrings ou versões de chave. Além disso, não há limite para o número de chaves por keyring e versões de chave por chave.
Em que países posso usar o Cloud KMS?
Você pode usar o Cloud KMS em qualquer país em que os serviços do Google Cloud sejam compatíveis.
Chaves
A rotação de chave recriptografa dados? Em caso negativo, por quê?
A rotação de chave não recriptografa dados automaticamente. Quando você descriptografa dados, o Cloud KMS sabe qual versão de chave usar para a descriptografia. Enquanto uma versão de chave não estiver desativada ou destruída, o Cloud KMS poderá descriptografar dados protegidos com essa chave.
Por que não consigo excluir chaves ou keyrings?
Para evitar conflitos com os nomes dos recursos, NÃO É POSSÍVEL excluir keyrings e recursos de chave. Isso também se aplica a versões de chave, mas é possível destruir o material delas para impedir o uso dos respectivos recursos. Para mais informações, consulte Duração dos objetos. O faturamento é baseado no número de versões ativas da chave. se você destruir todo o material da versão da chave ativa, nenhuma cobrança será feita pelos keyrings, chaves e versões de chaves restantes.
Autorização e autenticação
Como faço para me autenticar na API Cloud KMS?
O modo como os clientes se autenticam pode variar um pouco, dependendo da plataforma de execução do código. Para detalhes, consulte Como acessar a API.
Quais papéis do IAM preciso usar?
Para impor o princípio do menor privilégio, assegure-se de que usuários e contas de serviço da organização só tenham as permissões essenciais para a execução dos papéis pretendidos. Para mais informações, consulte Separação de deveres.
Com que rapidez uma permissão do IAM é removida?
A remoção de uma permissão é efetivada em menos de uma hora.
Diversos
O que são dados autenticados adicionais e quando usá-los?
Os dados autenticados adicionais (AAD, na sigla em inglês) são todas as strings que você passa para o Cloud KMS como parte de uma solicitação de criptografia ou descriptografia. Eles são usados como uma verificação de integridade e podem ajudar a proteger seus dados contra ataques de uso equivocado do nível de acesso (confused deputy). Para mais informações, consulte Dados autenticados adicionais.
Os registros de acesso a dados estão ativados por padrão? Como faço para ativá-los?
Os registros de acesso a dados não estão ativados por padrão. Para mais informações, consulte Como ativar registros de acesso a dados.
Qual a relação entre as chaves do Cloud KMS e as chaves de conta de serviço?
As chaves da conta de serviço são usadas na autenticação de serviço a serviço noGoogle Cloud. As chaves de conta de serviço não estão relacionadas às chaves do Cloud KMS.
Qual a relação entre as chaves do Cloud KMS e as chaves de API?
Uma chave de API é uma string criptografada simples que pode ser usada ao chamar determinadas APIs que não precisam de acesso a dados particulares do usuário. As chaves de API rastreiam solicitações de API associadas ao seu projeto para cota e faturamento. As chaves de API não têm qualquer relação com as chaves do Cloud KMS.
Você tem mais detalhes sobre os HSMs usados pelo Cloud HSM?
Todos os dispositivos HSM são fabricados pela Marvell (antiga Cavium). O certificado FIPS dos dispositivos está no site do NIST.