Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi normali e quelle automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità delle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa. L'utilizzo di Autokey è più semplice rispetto al provisioning manuale delle chiavi ed è la scelta consigliata se le chiavi create da Autokey soddisfano tutti i tuoi requisiti.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione Multi-tenant Cloud HSM, la separazione dei compiti, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per Google Cloud i servizi che si integrano con Cloud KMS Autokey. Una volta create, le chiavi richieste tramite Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire l'infrastruttura come codice con privilegi elevati di creazione delle chiavi.
Puoi utilizzare Autokey con un modello di gestione delle chiavi centralizzato (disponibilità generale) o un modello di gestione delle chiavi delegato (anteprima). Per utilizzare il modello di gestione delle chiavi centralizzato, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Nel modello centralizzato, Autokey è abilitato per i progetti all'interno di una cartella e le chiavi create da Autokey vengono create in un progetto chiave dedicato per quella cartella. Con il modello di gestione delle chiavi delegato, la gestione delle chiavi viene delegata agli amministratori del progetto, che possono abilitare Autokey su una cartella o un progetto per consentire ad Autokey di creare chiavi nello stesso progetto delle risorse che proteggono.
Per ulteriori informazioni sulle risorse organizzazione e cartella, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le Google Cloud località in cui Cloud HSM è disponibile. Per ulteriori informazioni sulle località Cloud KMS, consulta Località Cloud KMS. Non sono previsti costi aggiuntivi per l'utilizzo di Cloud KMS Autokey. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Per ulteriori informazioni su Autokey, consulta Panoramica di Autokey.
Scegliere tra Autokey e altre opzioni di crittografia
Cloud KMS con Autokey è come un pilota automatico per le chiavi di crittografia gestite dal cliente: esegue il lavoro per tuo conto, on demand. Non devi pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessarie. Le chiavi e il loro utilizzo sono coerenti. Puoi definire dove vuoi che Autokey venga utilizzato e controllare chi può utilizzarlo. Mantieni il pieno controllo delle chiavi create da Autokey. Puoi utilizzare le chiavi Cloud KMS create manualmente insieme alle chiavi create utilizzando Autokey. Puoi disattivare Autokey e continuare a utilizzare le chiavi create nello stesso modo in cui utilizzeresti qualsiasi altra chiave Cloud KMS.
Cloud KMS Autokey è una buona scelta se vuoi un utilizzo coerente delle chiavi tra i progetti, con un basso overhead operativo, e vuoi seguire i consigli di Google per le chiavi.
| Funzionalità | Crittografia predefinita di Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive per l'account di un cliente | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente con la granularità delle chiavi consigliata | No | No | Sì |
| Consente di distruggere crittograficamente i dati | No | Sì | Sì |
| Si allinea automaticamente alle pratiche di gestione delle chiavi consigliate | No | No | Sì |
| Utilizza chiavi basate su HSM conformi allo standard FIPS 140-2 livello 3 | No | Facoltativo | Sì |
Se devi utilizzare un livello di protezione diverso da HSM o un periodo di rotazione
personalizzato, puoi utilizzare CMEK senza Autokey.
Gestione delle chiavi centralizzata o delegata
Autokey per la gestione delle chiavi centralizzata utilizzando un progetto chiave dedicato all'interno di una cartella è disponibile a livello di disponibilità generale. In Anteprima, Autokey supporta l'archiviazione delle chiavi nello stesso progetto delle risorse che le chiavi proteggono e può essere configurato per tutti i progetti in una cartella o per singoli progetti.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità della chiave |
|---|---|---|
| Artifact Registry |
Autokey crea le chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati. |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Le tabelle, i modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o organizzazione. |
Una chiave per risorsa |
| Bigtable |
Autokey crea chiavi per i cluster. Autokey non crea chiavi per le risorse Bigtable diverse dai cluster. Bigtable è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o Google Cloud SDK. |
Una chiave per cluster |
| AlloyDB per PostgreSQL |
AlloyDB per PostgreSQL è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Run |
|
Una chiave per località all'interno di un progetto |
| Cloud SQL |
Autokey non crea chiavi per le risorse
Cloud SQL è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Storage |
Gli oggetti all'interno di un
bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per le risorse |
Una chiave per risorsa |
| Memorystore for Redis |
Memorystore for Redis è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Pub/Sub |
|
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Secure Source Manager |
|
Una chiave per risorsa |
| Spanner |
Spanner è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Dataflow |
|
Una chiave per risorsa |
| Managed Service for Apache Spark |
|
Per le risorse Cluster, SessionTemplate e WorkflowTemplate risorse: una chiave per risorsa Per le risorse Batch e Session: una chiave per località all'interno di un progetto |
Passaggi successivi
- Per scoprire di più su come funziona Cloud KMS Autokey, consulta Panoramica di Autokey.