‫Cloud KMS עם Autokey

‫Cloud KMS Autokey מפשט את התהליך של יצירה ושימוש במפתחות הצפנה בניהול הלקוח (CMEK) באמצעות אוטומציה של הקצאת משאבים והקצאת הרשאות. עם Autokey, אוספי מפתחות ומפתחות נוצרים לפי דרישה. חשבונות שירות שמשתמשים במפתחות כדי להצפין ולפענח משאבים נוצרים ומקבלים תפקידים של ניהול זהויות והרשאות גישה (IAM) לפי הצורך. לאדמינים של Cloud KMS יש שליטה מלאה במפתחות שנוצרו על ידי Autokey, והם יכולים לראות אותם בלי לתכנן מראש וליצור כל משאב. השימוש ב-Autokey פשוט יותר מאשר הקצאת מפתחות באופן עצמאי, והוא הבחירה המומלצת אם המפתחות שנוצרו על ידי Autokey עומדים בכל הדרישות שלכם.

שימוש במפתחות שנוצרו על ידי Autokey יכול לעזור לכם לעמוד באופן עקבי בתקנים המקובלים בתעשייה ובשיטות המומלצות לאבטחת נתונים, כולל רמת ההגנה של Cloud HSM מרובה הדיירים, הפרדת תפקידים, רוטציית מפתחות, מיקום ומפרט מפתח. ‫Autokey יוצר מפתחות שעומדים בהנחיות כלליות ובהנחיות ספציפיות לסוג המשאב עבור שירותיםGoogle Cloud שמשולבים עם Cloud KMS Autokey. אחרי שהמפתחות נוצרים, הם פועלים בדיוק כמו מפתחות אחרים של Cloud HSM עם אותן הגדרות.

בנוסף, Autokey יכול לפשט את השימוש ב-Terraform לניהול מפתחות, ולבטל את הצורך בהרצת תשתית כקוד עם הרשאות מוגברות ליצירת מפתחות.

אפשר להשתמש ב-Autokey עם מודל מרכזי לניהול מפתחות (זמינות כללית) או עם מודל מבוזר לניהול מפתחות (תצוגה מקדימה). כדי להשתמש במודל המרכזי לניהול מפתחות, צריך משאב מסוג 'ארגון' שמכיל משאב מסוג 'תיקייה'. במודל המרכזי, Autokey מופעל בפרויקטים בתוך תיקייה, ומפתחות שנוצרו על ידי Autokey נוצרים בפרויקט מפתח ייעודי לאותה תיקייה. במודל ניהול המפתחות עם הרשאות מוגבלות, ניהול המפתחות מוקצה לאדמינים של הפרויקט, שיכולים להפעיל את Autokey בתיקייה או בפרויקט כדי לאפשר ל-Autokey ליצור מפתחות באותו פרויקט כמו המשאבים שהם מגנים עליהם.

מידע נוסף על משאבי ארגון ותיקיות זמין במאמר היררכיית המשאבים.

התכונה 'הקצאת מפתחות אוטומטית' ב-Cloud KMS זמינה בכל Google Cloud המיקומים שבהם Cloud HSM זמין. מידע נוסף על מיקומים ב-Cloud KMS מופיע במאמר מיקומים ב-Cloud KMS. אין עלות נוספת לשימוש ב-Cloud KMS Autokey. המחיר של מפתחות שנוצרו באמצעות Autokey זהה למחיר של כל מפתח אחר ב-Cloud HSM. מידע נוסף על התמחור זמין במאמר תמחור של Cloud Key Management Service.

מידע נוסף על Autokey זמין במאמר סקירה כללית על Autokey.

בחירה בין Autokey לבין אפשרויות הצפנה אחרות

‫Cloud KMS עם Autokey הוא כמו טייס אוטומטי למפתחות הצפנה בניהול הלקוח: הוא מבצע את העבודה בשבילכם, לפי דרישה. אתם לא צריכים לתכנן מראש את המפתחות או ליצור מפתחות שאולי לא תצטרכו להשתמש בהם. המפתחות והשימוש בהם עקביים. אתם יכולים להגדיר איפה אתם רוצים להשתמש ב-Autokey ולקבוע מי יכול להשתמש בו. השליטה המלאה במפתחות שנוצרו על ידי Autokey נשארת בידיים שלכם. אפשר להשתמש במפתחות Cloud KMS שנוצרו באופן ידני לצד מפתחות שנוצרו באמצעות Autokey. אתם יכולים להשבית את Autokey ולהמשיך להשתמש במפתחות שהוא יצר באותו אופן שבו אתם משתמשים בכל מפתח אחר של Cloud KMS.

‫Cloud KMS Autokey היא בחירה טובה אם רוצים להשתמש במפתחות באופן עקבי בכל הפרויקטים, עם תקורה תפעולית נמוכה, ורוצים לפעול לפי ההמלצות של Google לגבי מפתחות.

תכונה או יכולת ברירת המחדל של Google להצפנה Cloud KMS Cloud KMS Autokey
בידוד קריפטוגרפי: המפתחות הם בלעדיים לחשבון של לקוח אחד לא כן כן
הלקוח הוא הבעלים של המפתחות ויש לו שליטה עליהם לא כן כן
המפתח מפעיל הקצאה והקצאה של מפתחות כן לא כן
ספציפיות: המפתחות נוצרים אוטומטית ברמת הגרנולריות המומלצת של המפתח לא לא כן
מאפשרת לכם להצפין את הנתונים לא כן כן
התאמה אוטומטית לשיטות מומלצות לניהול מפתחות לא לא כן
שימוש במפתחות שמגובים על ידי HSM ותואמים ל-FIPS 140-2 ברמה 3 לא אופציונלי כן

אם אתם צריכים להשתמש ברמת הגנה אחרת מלבד HSM או בתקופת רוטציה מותאמת אישית, אתם יכולים להשתמש ב-CMEK בלי Autokey.

ניהול מפתחות מרכזי או מוקצה

התכונה Autokey לניהול מפתחות מרכזי באמצעות פרויקט מפתחות ייעודי בתוך תיקייה זמינה לכולם. ב-Preview, ‏ Autokey תומך באחסון מפתחות באותו פרויקט כמו המשאבים שהמפתחות מגנים עליהם, ואפשר להגדיר אותו לכל הפרויקטים בתיקייה או לפרויקטים בודדים.

שירותים תואמים

בטבלה הבאה מפורטים שירותים שתואמים ל-Cloud KMS Autokey:

שירות משאבים מוגנים רמת הפירוט של המפתחות
Artifact Registry
  • artifactregistry.googleapis.com/Repository

‫Autokey יוצר מפתחות במהלך יצירת המאגר, שמשמשים לכל הארטיפקטים המאוחסנים.

מפתח אחד לכל משאב
BigQuery
  • bigquery.googleapis.com/Dataset

‫Autokey יוצר מפתחות ברירת מחדל למערכי נתונים. טבלאות, מודלים, שאילתות וטבלאות זמניות בתוך מערך נתונים משתמשים במפתח ברירת המחדל של מערך הנתונים.

‫Autokey לא יוצר מפתחות למשאבי BigQuery מלבד מערכי נתונים. כדי להגן על משאבים שלא נכללים במערך נתונים, צריך ליצור מפתחות ברירת מחדל משלכם ברמת הפרויקט או ברמת הארגון.

מפתח אחד לכל משאב
Bigtable
  • bigtableadmin.googleapis.com/Cluster

‫Autokey יוצר מפתחות לאשכולות.

‫Autokey לא יוצר מפתחות למשאבי Bigtable שאינם אשכולות.

‫Bigtable תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או Google Cloud SDK.

מפתח אחד לכל אשכול
‫AlloyDB ל-PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

‫AlloyDB ל-PostgreSQL תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או ה-API בארכיטקטורת REST.

מפתח אחד לכל משאב
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
מפתח אחד לכל מיקום בפרויקט
Cloud SQL
  • sqladmin.googleapis.com/Instance

‫Autokey לא יוצר מפתחות למשאבי Cloud SQL BackupRun. כשיוצרים גיבוי של מכונת Cloud SQL, הגיבוי מוצפן באמצעות מפתח בניהול הלקוח של המכונה הראשית.

‫Cloud SQL תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST.

מפתח אחד לכל משאב
Cloud Storage
  • storage.googleapis.com/Bucket

אובייקטים בקטגוריית אחסון משתמשים במפתח ברירת המחדל של הקטגוריה. ‫Autokey לא יוצר מפתחות למשאבי storage.object.

מפתח אחד לכל קטגוריה
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

קובצי Snapshot משתמשים במפתח של הדיסק שיוצרים לו קובץ Snapshot. ‫Autokey לא יוצר מפתחות למשאבי compute.snapshot.

מפתח אחד לכל משאב
Memorystore for Redis
  • redis.googleapis.com/Instance

‫Memorystore for Redis תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST.

מפתח אחד לכל משאב
Pub/Sub
  • pubsub.googleapis.com/Topic
מפתח אחד לכל משאב
Secret Manager
  • secretmanager.googleapis.com/Secret

‫Secret Manager תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST.

מפתח אחד לכל מיקום בפרויקט
Secure Source Manager
  • securesourcemanager.googleapis.com/Instance
מפתח אחד לכל משאב
Spanner
  • spanner.googleapis.com/Database

‫Spanner תואם רק ל-Cloud KMS Autokey כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST.

מפתח אחד לכל משאב
Dataflow
  • dataflow.googleapis.com/Job
מפתח אחד לכל משאב
Managed Service for Apache Spark
  • dataproc.googleapis.com/Cluster
  • dataproc.googleapis.com/SessionTemplate
  • dataproc.googleapis.com/WorkflowTemplate
  • dataproc.googleapis.com/Batch
  • dataproc.googleapis.com/Session

למשאבים מסוג Cluster,‏ SessionTemplate ו-WorkflowTemplate: מפתח אחד לכל משאב

למשאבי Batch ו-Session: מפתח אחד לכל מיקום בפרויקט

המאמרים הבאים