Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von kundenverwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel auf Anfrage generiert. Dienstkonten, die die Schlüssel zum Ver- und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Übersicht über die von Autokey erstellten Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.
Mit von Autokey generierten Schlüsseln können Sie die Branchenstandards und empfohlenen Praktiken für Datensicherheit einhalten, einschließlich des Multi-Tenant Cloud HSM-Schutzniveaus, der Aufgabentrennung, der Schlüsselrotation, des Standorts und der Schlüsselspezifität. Mit Autokey werden Schlüssel erstellt, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp fürGoogle Cloud -Dienste spezifisch sind, die in Cloud KMS Autokey eingebunden sind. Nachdem sie erstellt wurden, funktionieren mit Autokey angeforderte Schlüssel identisch mit anderen Cloud HSM-Schlüsseln mit denselben Einstellungen.
Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da keine Infrastruktur als Code mit erhöhten Berechtigungen zum Erstellen von Schlüsseln ausgeführt werden muss.
Sie können Autokey mit einem zentralisierten Schlüsselverwaltungsmodell (allgemein verfügbar) oder einem delegierten Schlüsselverwaltungsmodell (Vorschau) verwenden. Wenn Sie das Modell für die zentrale Schlüsselverwaltung verwenden möchten, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Im zentralisierten Modell ist Autokey für Projekte in einem Ordner aktiviert und von Autokey erstellte Schlüssel werden in einem dedizierten Schlüsselprojekt für diesen Ordner erstellt. Beim delegierten Schlüsselverwaltungsmodell wird die Schlüsselverwaltung an Projektadministratoren delegiert. Diese können Autokey für einen Ordner oder ein Projekt aktivieren, damit Autokey Schlüssel im selben Projekt wie die Ressourcen erstellt, die geschützt werden.
Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.
Cloud KMS Autokey ist an allen Google Cloud Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Für mit Autokey erstellte Schlüssel gelten dieselben Preise wie für alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise.
Weitere Informationen zu Autokey finden Sie unter Übersicht: Autokey.
Zwischen Autokey und anderen Verschlüsselungsoptionen wählen
Cloud KMS mit Autokey ist wie ein Autopilot für kundenverwaltete Verschlüsselungsschlüssel: Es erledigt die Arbeit für Sie, wenn Sie es benötigen. Sie müssen Schlüssel nicht im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselnutzung sind konsistent. Sie können festlegen, wo Autokey verwendet werden soll und wer es verwenden darf. Sie behalten die volle Kontrolle über die von Autokey erstellten Schlüssel. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln verwenden, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die von Autokey erstellten Schlüssel weiterhin so verwenden wie jeden anderen Cloud KMS-Schlüssel.
Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine einheitliche Schlüsselverwendung in allen Projekten mit geringem Betriebsaufwand wünschen und die Empfehlungen von Google für Schlüssel befolgen möchten.
| Funktion oder Merkmal | Standardmäßige Google-Verschlüsselung | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Kryptografische Isolation: Schlüssel sind ausschließlich für das Konto eines Kunden verfügbar. | Nein | Ja | Ja |
| Kunde besitzt und kontrolliert Schlüssel | Nein | Ja | Ja |
| Entwickler löst die Schlüsselbereitstellung und ‑zuweisung aus | Ja | Nein | Ja |
| Spezifität: Schlüssel werden automatisch mit der empfohlenen Schlüsselgranularität erstellt. | Nein | Nein | Ja |
| Daten können kryptografisch gelöscht werden | Nein | Ja | Ja |
| Automatische Ausrichtung an empfohlenen Praktiken für die Schlüsselverwaltung | Nein | Nein | Ja |
| Verwendet HSM-gestützte Schlüssel, die FIPS 140-2 Level 3 entsprechen | Nein | Optional | Ja |
Wenn Sie eine andere Schutzstufe als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden müssen, können Sie CMEK ohne Autokey verwenden.
Zentrale oder delegierte Schlüsselverwaltung
Autokey für die zentrale Schlüsselverwaltung mit einem dedizierten Schlüsselprojekt in einem Ordner ist allgemein verfügbar. In der Vorabversion unterstützt Autokey das Speichern von Schlüsseln im selben Projekt wie die Ressourcen, die durch die Schlüssel geschützt werden. Außerdem kann Autokey für alle Projekte in einem Ordner oder für einzelne Projekte konfiguriert werden.
Kompatible Dienste
In der folgenden Tabelle sind Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:
| Dienst | Geschützte Ressourcen | Detaillierungsgrad des Schlüssels |
|---|---|---|
| Artifact Registry |
Autokey erstellt Schlüssel während der Repository-Erstellung, die für alle gespeicherten Artefakte verwendet werden. |
Ein Schlüssel pro Ressource |
| BigQuery |
Mit Autokey werden Standardschlüssel für Datasets erstellt. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden den Standardschlüssel des Datasets. Mit Autokey werden keine Schlüssel für andere BigQuery-Ressourcen als Datasets erstellt. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen. |
Ein Schlüssel pro Ressource |
| Bigtable |
Mit Autokey werden Schlüssel für Cluster erstellt. Mit Autokey werden keine Schlüssel für andere Bigtable-Ressourcen als Cluster erstellt. Bigtable ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder dem Google Cloud SDK erstellt werden. |
Ein Schlüssel pro Cluster |
| AlloyDB for PostgreSQL |
AlloyDB for PostgreSQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Ressource |
| Cloud Run |
|
Ein Schlüssel pro Standort in einem Projekt |
| Cloud SQL |
Mit Autokey werden keine Schlüssel für Cloud SQL- Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Ressource |
| Cloud Storage |
Objekte in einem Speicher-Bucket verwenden den Standardschlüssel des Buckets. Mit Autokey werden keine Schlüssel für |
Ein Schlüssel pro Bucket |
| Compute Engine |
Für Snapshots wird der Schlüssel für das Laufwerk verwendet, von dem Sie einen Snapshot erstellen.
Mit Autokey werden keine Schlüssel für |
Ein Schlüssel pro Ressource |
| Pub/Sub |
|
Ein Schlüssel pro Ressource |
| Secret Manager |
Secret Manager ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Standort in einem Projekt |
| Secure Source Manager |
|
Ein Schlüssel pro Ressource |
| Spanner |
Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden. |
Ein Schlüssel pro Ressource |
| Dataflow |
|
Ein Schlüssel pro Ressource |
| Dataproc |
|
Für Cluster-, SessionTemplate- und WorkflowTemplate-Ressourcen:Ein Schlüssel pro Ressource Für Batch- und Sitzungsressourcen:Ein Schlüssel pro Standort in einem Projekt |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Autokey – Übersicht.