O Autokey do Cloud KMS simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs) ao automatizar o provisionamento e a atribuição. Com o Autokey, keyrings e chaves são gerados sob demanda. As contas de serviço que usam as chaves para criptografar e descriptografar recursos são criadas e recebem papéis do Identity and Access Management (IAM) quando necessário. Os administradores do Cloud KMS mantêm controle e visibilidade total das chaves criadas pelo Autokey, sem precisar planejar e criar cada recurso.
O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do Cloud HSM multitenant, a separação de tarefas, a rotação de chaves, a localização e a especificidade da chave. O Autokey cria chaves que seguem diretrizes gerais e específicas do tipo de recurso para serviçosGoogle Cloud que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitadas usando a função Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, removendo a necessidade de executar infraestrutura como código com privilégios elevados de criação de chaves.
É possível usar a chave automática com um modelo de gerenciamento de chaves centralizado (disponibilidade geral) ou delegado (prévia). Para usar o modelo de gerenciamento de chaves centralizado, você precisa ter um recurso de organização que contenha um recurso de pasta. No modelo centralizado, o Autokey é ativado para projetos em uma pasta, e as chaves criadas pelo Autokey são criadas em um projeto de chave dedicado para essa pasta. Com o modelo de gerenciamento de chaves delegado, o gerenciamento de chaves é delegado aos administradores de projetos, que podem ativar o Autokey em uma pasta ou projeto para permitir que ele crie chaves no mesmo projeto dos recursos que protegem.
Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.
O KMS Autokey está disponível em todos os locais Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo adicional para usar a Autokey do Cloud KMS. As chaves criadas com a chave automática têm o mesmo preço que qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Para mais informações sobre a chave automática, consulte Visão geral da chave automática.
Escolher entre Autokey e outras opções de criptografia
O Cloud KMS com Autokey é como um piloto automático para chaves de criptografia gerenciadas pelo cliente: ele faz o trabalho para você, sob demanda. Não é preciso planejar chaves com antecedência nem criar chaves que talvez nunca sejam necessárias. As chaves e o uso delas são consistentes. Você pode definir onde quer que o Autokey seja usado e controlar quem pode usá-lo. Você mantém o controle total das chaves criadas pelo Autokey. É possível usar chaves do Cloud KMS criadas manualmente com chaves criadas usando a chave automática. É possível desativar o Autokey e continuar usando as chaves criadas da mesma forma que você usaria qualquer outra chave do Cloud KMS.
O Autokey do Cloud KMS é uma boa opção se você quiser um uso consistente de chaves em vários projetos, com uma baixa sobrecarga operacional, e seguir as recomendações do Google para chaves.
| Recurso ou funcionalidade | Criptografia padrão do Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas para a conta de um cliente. | Não | Sim | Sim |
| O cliente é proprietário e controla as chaves | Não | Sim | Sim |
| O desenvolvedor aciona o provisionamento e a atribuição de chaves | Sim | Não | Sim |
| Especificidade: as chaves são criadas automaticamente na granularidade recomendada. | Não | Não | Sim |
| Permite a destruição criptografada dos seus dados | Não | Sim | Sim |
| Alinhamento automático com as práticas recomendadas de gerenciamento de chaves | Não | Não | Sim |
| Usa chaves com suporte de HSM que estão em conformidade com o FIPS 140-2 Nível 3 | Não | Opcional | Sim |
Se você precisar usar um nível de proteção diferente de HSM ou um período de rotação personalizado, use a CMEK sem o Autokey.
Gerenciamento de chaves centralizado ou delegado
O Autokey para gerenciamento de chaves centralizado usando um projeto de chave dedicado em uma pasta está disponível de forma geral. Na prévia, o Autokey permite armazenar chaves no mesmo projeto que os recursos protegidos por elas e pode ser configurado para todos os projetos em uma pasta ou para projetos individuais.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com a chave automática do Cloud KMS:
| Serviço | Recursos protegidos | Granularidade da chave |
|---|---|---|
| Artifact Registry |
O Autokey cria chaves durante a criação do repositório, que são usadas para todos os artefatos armazenados. |
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias em um conjunto de dados usam a chave padrão do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, crie suas próprias chaves padrão no nível do projeto ou da organização. |
Uma chave por recurso |
| Bigtable |
O Autokey cria chaves para clusters. O Autokey não cria chaves para recursos do Bigtable que não sejam clusters. O Bigtable é compatível apenas com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou o SDK Google Cloud. |
Uma chave por cluster |
| AlloyDB para PostgreSQL |
O AlloyDB para PostgreSQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Cloud Run |
|
Uma chave por local em um projeto |
| Cloud SQL |
O Autokey não cria chaves para recursos do Cloud SQL
O Cloud SQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Cloud Storage |
Os objetos em um bucket de armazenamento usam a chave padrão do bucket. O Autokey não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco de que você está criando um snapshot.
O Autokey não cria chaves para recursos do |
Uma chave por recurso |
| Pub/Sub |
|
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
| Secure Source Manager |
|
Uma chave por recurso |
| Spanner |
O Spanner só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Dataflow |
|
Uma chave por recurso |
| Dataproc |
|
Para recursos Cluster, SessionTemplate e WorkflowTemplate:uma chave por recurso Para recursos de lote e sessão:uma chave por local em um projeto |
A seguir
- Para saber mais sobre como o Cloud KMS Autokey funciona, consulte a visão geral do Autokey.