借助 Cloud Key Management Service (Cloud KMS),您可以创建和管理加密密钥 ,以便在兼容 Google Cloud 服务和您自己的 应用中使用。使用 Cloud KMS,您可以执行以下操作:
- 生成软件密钥或硬件密钥,将现有密钥导入 Cloud KMS,或链接 兼容的外部密钥 管理 (EKM) 系统中的外部密钥。
- 生成多租户 Cloud HSM 密钥,并将其与 Cloud HSM for Google Workspace 搭配使用,以在 Google Workspace 中启用客户端加密功能 (CSE)。
- 创建和维护 单租户 Cloud HSM 实例,并创建 或导入单租户 Cloud HSM 密钥,然后使用这些密钥。
- 在集成 CMEK 的产品中使用客户管理的加密密钥 (CMEK) Google Cloud 。CMEK 集成使用您的 Cloud KMS 密钥来加密或“封装”您的数据 加密密钥 (DEK)。使用密钥加密密钥 (KEK) 封装 DEK 称为 信封加密。
- 使用 Cloud KMS Autokey 自动执行预配和分配。借助 Autokey,您无需 提前预配密钥环、密钥和服务账号。相反, 它们会在资源创建过程中按需生成。
- 使用 Cloud KMS 密钥执行加密和解密操作。例如,您可以使用 Cloud KMS API 或客户端库来 使用您的 Cloud KMS 密钥进行 客户端加密功能。
- 使用 Cloud KMS 密钥创建或验证 数字签名或 消息身份验证代码 (MAC) 签名。
- 使用 Cloud KMS 密钥通过 密钥封装机制建立共享密钥。
根据您的需求选择合适的加密方式
您可以使用下表来确定哪种类型的加密方式可以满足每个用例的需求。满足您需求的最佳解决方案可能包含多种加密方法。 例如,您可以为最不敏感的数据使用软件密钥,为最敏感的数据使用硬件密钥或外部密钥。 如需详细了解本部分中介绍的加密选项,请参阅本页中的保护数据 Google Cloud。 如需详细了解在使用 Cloud KMS、 Cloud HSM 和 Cloud EKM 密钥时适用的 服务等级协议 (SLA),请参阅 服务等级协议。
| 加密类型 | 费用 | 兼容服务 | 特性 |
|---|---|---|---|
| Google-owned and Google-managed encryption keys (Google Cloud 默认加密) | 已包含 | 所有 Google Cloud 存储客户数据的服务 |
|
| 客户管理的
加密密钥 - 软件 (Cloud KMS 密钥) |
每个密钥版本 0.06 美元 | 40 多项服务 | |
| 客户管理的
加密密钥 - 硬件 (Cloud HSM 密钥) |
每个密钥版本每月 1.00 美元到 2.50 美元 | 40 多项服务 | |
| 客户管理的
加密密钥 - 外部 (Cloud EKM 密钥) |
每个密钥版本每月 3.00 美元 | 30 多项服务 |
|
| 使用 Cloud KMS 密钥进行客户端加密功能 | 有效密钥版本的费用取决于密钥的保护级别。 | 在应用中使用客户端库 |
|
| Cloud HSM for Google Workspace | 每个实例的固定费率月费,外加有效密钥版本和加密操作的费用。 | 在 Google Workspace 中使用多租户 Cloud HSM 密钥进行客户端加密功能 |
|
| 客户提供的加密密钥 | 可能会增加与 Compute Engine 或 Cloud Storage 相关的费用 |
|
|
| 机密计算 | 每个机密虚拟机的额外费用;可能会增加日志用量 和相关费用 |
|
保护中的数据 Google Cloud
Google-owned and Google-managed encryption keys (Google Cloud 默认加密)
默认情况下,中的静态数据受 Keystore Google Cloud(的内部密钥管理服务)中的密钥保护。 Google Cloud Keystore 中的密钥由 自动管理,无需您进行任何 配置。 Google Cloud大多数服务会自动轮替密钥。Keystore 支持主密钥版本和有限数量的旧密钥版本。主密钥版本用于加密新的数据加密密钥。旧密钥版本仍可用于解密现有数据加密密钥。 您无法查看或管理这些密钥,也无法查看密钥使用日志。多个客户的数据可能会使用相同的密钥加密密钥。
此默认加密使用经过验证符合 FIPS 140-2 1 级的加密模块。
客户管理的加密密钥 (CMEK)
用于保护集成 CMEK 的服务中的资源的 Cloud KMS 密钥是客户管理的加密密钥 (CMEK)。 您可以拥有和控制 CMEK,同时将密钥创建和分配任务委托给 Cloud KMS Autokey。如需详细了解如何自动预配 CMEK,请参阅 Cloud Key Management Service with Autokey。
您可以在 兼容服务中使用 Cloud KMS 密钥,以帮助您实现以下目标:
拥有加密密钥。
控制和管理加密密钥,包括选择位置、保护级别、创建、访问权限控制、轮替、使用和销毁。
在离职或修复安全性事件(加密销毁)时,有选择地删除受密钥保护的数据。
创建专用单租户密钥,以在数据周围建立加密边界。
满足当前或未来的法规要求。
将 Cloud KMS 密钥与 集成 CMEK 的服务搭配使用时,您可以使用 组织政策来确保按照 政策中的规定使用 CMEK。例如,您可以设置组织政策,确保您的 兼容 Google Cloud 资源使用 Cloud KMS 密钥进行加密。组织政策还可以指定密钥资源必须位于哪个项目中。
提供的功能和保护级别取决于密钥的保护级别:
软件密钥 - 您可以在 Cloud KMS 中生成软件密钥,并 在所有 Google Cloud 位置使用这些密钥。您可以创建 自动轮替的对称密钥,也可以创建 手动轮替的非对称密钥。客户管理的软件密钥使用 FIPS 140-2 1 级验证的软件加密模块。您还可以控制轮替周期、Identity and Access Management (IAM) 角色和权限,以及管理密钥的组织政策。您可以将软件密钥 与许多 兼容 Google Cloud 资源搭配使用。
导入的软件密钥 - 您可以导入在其他位置创建的软件密钥,以便在 Cloud KMS 中使用。您可以导入新密钥版本以手动轮替导入的密钥。您可以使用 IAM 角色和权限以及组织政策来管理导入的密钥的使用。
使用多租户 Cloud HSM 的硬件密钥 - 您可以在 FIPS 140-2 3 级硬件安全模块 (HSM) 集群中生成硬件密钥。您可以控制轮替周期、IAM 角色和权限,以及管理密钥的组织政策。使用 Cloud HSM 创建 HSM 密钥时, 会管理 HSM 集群,因此您无需自行管理。 Google Cloud 您可以将 HSM 密钥 与许多 兼容 Google Cloud 资源搭配使用,这些资源与支持 软件密钥的服务相同。如需获得最高级别的安全合规性,请使用硬件密钥。
使用单租户 Cloud HSM 的硬件密钥 - 您可以在 FIPS 140-2 3 级硬件安全模块 (HSM) 中由您控制的专用分区集群中生成硬件 密钥 。您可以控制轮替周期、IAM 角色和权限,以及管理密钥的组织政策。创建单租户 Cloud HSM 实例时, Google Cloud 会托管 HSM 集群,因此您无需自行托管,但您可以控制对实例的访问权限,并由指定管理员的法定人数维护实例。实例操作需要使用您在外部拥有的安全密钥进行双重验证 。Google Cloud您可以将单租户 HSM 密钥与许多 兼容 Google Cloud 资源搭配使用,这些资源与支持 软件密钥的服务相同。如需获得最高级别的安全合规性并实现加密隔离,请使用硬件密钥。
外部密钥和 Cloud EKM - 您可以使用位于 外部密钥管理器 (EKM) 中的密钥。借助 Cloud EKM,您可以使用 受支持的密钥管理器中保存的密钥来保护 Google Cloud 资源。 您可以通过 互联网 或 虚拟私有云 (VPC) 连接到 EKM。 有些 Google Cloud 支持 Cloud KMS 密钥的服务不支持 Cloud EKM 密钥。
Cloud KMS 密钥
您可以使用 Cloud KMS 客户端库或 Cloud KMS API在自定义应用中使用 Cloud KMS 密钥。借助客户端库和 API,您可以加密和解密数据、签署数据以及验证签名。
Cloud HSM for Google Workspace 多租户
您可以在 Cloud HSM for Google Workspace 中使用多租户 Cloud HSM 密钥来管理用于 Google Workspace 中客户端加密功能 (CSE) 的密钥。您可以 加入 Cloud HSM for Google Workspace。
客户提供的加密密钥 (CSEK)
Cloud Storage 和 Compute Engine 可以使用 客户提供的加密密钥 (CSEK)。 使用客户提供的加密密钥时,您可以存储密钥材料,并在需要时将其提供给 Cloud Storage 或 Compute Engine。 Google Cloud 不会以任何方式存储您的 CSEK。机密计算
您可以使用机密计算平台来加密使用中的数据。 机密计算可确保您的数据在处理过程中保持私密性和加密状态。