關於 Cloud KMS
什麼是 Cloud KMS?這項產品有什麼功能?
Cloud Key Management Service (Cloud KMS) 是雲端託管型金鑰管理服務,能讓您比照內部部署方式,管理雲端服務加密作業。您可以產生、使用、輪替及銷毀加密編譯金鑰。 Cloud KMS 整合了身分與存取權管理 (IAM) 和 Cloud 稽核記錄,因此您可以管理個別金鑰的權限,並監控其使用狀況。
是否可以儲存密鑰?
Cloud KMS 會儲存金鑰和金鑰相關中繼資料,但沒有一般資料儲存 API。建議使用 Secret Manager 儲存及存取 Google Cloud中使用的機密資料。
是否有服務水準協議 (SLA)?
有,請參閱 Cloud KMS 服務水準協議。
如何提供產品意見回饋?
請透過下列電子郵件與工程團隊聯絡:cloudkms-feedback@google.com。
如何提供說明文件意見回饋?
查看 Cloud KMS 說明文件時,按一下靠近頁面右上角的 [Send feedback] (提供意見)。畫面上隨即會開啟意見回饋表單。
如果需要協助,有哪些支援選項?
我們邀請使用者在 Stack Overflow 中提問。除了活躍的 Stack Overflow 社群之外,我們的團隊還會主動監控帶有 google-cloud-kms 標記的 Stack Overflow 貼文並回答問題。
我們還根據您的需求提供了多種等級的支援。如要進一步瞭解支援選項,請參閱我們的Google Cloud 支援方案。
Cloud KMS 是否有任何配額?
可以。如要瞭解配額,包括查看或要求額外配額,請參閱 Cloud KMS 配額。
金鑰、金鑰環或金鑰版本數量沒有限制。此外,每個金鑰環的金鑰和每個金鑰的金鑰版本也沒有限制。
哪些國家/地區可以使用 Cloud KMS?
您可以在支援 Google Cloud 服務的任何國家/地區使用 Cloud KMS。
金鑰
金鑰輪替是否會重新加密資料?如果不會重新加密,原因是什麼?
金鑰輪替不會自動重新加密資料。解密資料時,Cloud KMS 知道該使用哪個金鑰版本進行解密。只要未停用或銷毀金鑰版本,Cloud KMS 就能解密以該金鑰保護的資料。
為什麼無法刪除金鑰或金鑰環?
為了防止資源名稱衝突,請不要刪除金鑰環和金鑰資源。金鑰版本也不得刪除,但金鑰版本內容可以刪除,這樣就無法再使用這些資源。詳情請參閱「物件生命週期」。計費依據為有效金鑰版本的數量;如果您銷毀所有有效金鑰版本內容,系統不會針對剩餘的金鑰環、金鑰和金鑰版本收費。
授權與驗證
如何向 Cloud KMS API 驗證?
用戶端驗證的方式可能會因執行程式碼的平台而稍有不同。詳情請參閱存取 API 一文。
我該使用哪些 IAM 角色?
如要實施最低權限原則,請確保機構中的使用者與服務帳戶只具有執行預期職務所需的權限。詳情請參閱權責劃分一文。
移除 IAM 權限時,多久可以將其移除?
移除權限會在一小時內生效。
其他
什麼是其他已驗證資料,什麼時候可以使用?
其他已驗證資料 (AAD) 是您傳送到 Cloud KMS 做為加密或解密要求一部分的任何字串。AAD 可做為完整性檢查使用,並且可協助避免資料遭受「混淆代理攻擊」。詳情請參閱其他已驗證資料一文。
預設是否啟用資料存取記錄?如何啟用資料存取記錄?
根據預設,系統不會啟用資料存取記錄,詳情請參閱「啟用資料存取記錄」。
Cloud KMS 金鑰和服務帳戶金鑰之間有什麼關係?
服務帳戶金鑰可用於在Google Cloud中進行服務對服務驗證。服務帳戶金鑰與 Cloud KMS 金鑰無關。
Cloud KMS 金鑰和 API 金鑰之間有什麼關係?
API 金鑰是一種簡易加密字串,可在呼叫某些不需要存取私人使用者資料的 API 時使用。API 金鑰會追蹤與專案配額和帳單相關聯的 API 要求。API 金鑰與 Cloud KMS 金鑰無關。
您是否能提供 Cloud HSM 所用 HSM 的其他詳細資料?
所有 HSM 裝置均由 Marvell (前身為 Cavium) 製造。裝置的 FIPS 認證位於 NIST 網站。