O Autokey do Cloud KMS simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs) automatizando o provisionamento e a atribuição. Com o Autokey, keyrings e chaves são gerados sob demanda. As contas de serviço que usam as chaves para criptografar e descriptografar recursos são criadas e recebem papéis do Identity and Access Management (IAM) quando necessário. Os administradores do Cloud KMS mantêm o controle e a visibilidade total das chaves criadas pelo Autokey, sem a necessidade de planejar e criar cada recurso. Usar o Autokey é mais simples do que provisionar chaves por conta própria e é a opção recomendada se as chaves criadas pelo Autokey atenderem a todos os seus requisitos.
O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do Cloud HSM multitenant, a separação de tarefas, a rotação de chaves, a localização e a especificidade da chave. O Autokey cria chaves que seguem diretrizes gerais e específicas do tipo de recurso paraGoogle Cloud serviços que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitadas usando o Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, eliminando a necessidade de executar a infraestrutura como código com privilégios elevados de criação de chaves.
É possível usar o Autokey com um modelo de gerenciamento de chaves centralizado (disponibilidade geral) ou um modelo de gerenciamento de chaves delegado (pré-lançamento). Para usar o modelo de gerenciamento de chaves centralizado, é necessário ter um recurso da organização que contenha um recurso de pasta. No modelo centralizado, o Autokey é ativado para projetos em uma pasta, e as chaves criadas pelo Autokey são criadas em um projeto de chave dedicado para essa pasta. Com o modelo de gerenciamento de chaves delegado, o gerenciamento de chaves é delegado aos administradores do projeto, que podem ativar o Autokey em uma pasta ou projeto para permitir que o Autokey crie chaves no mesmo projeto que os recursos que elas protegem.
Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.
O Autokey do Cloud KMS está disponível em todos os Google Cloud locais em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo adicional para usar o Autokey do Cloud KMS. As chaves criadas usando o Autokey têm o mesmo preço que qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Para mais informações sobre o Autokey, consulte Visão geral do Autokey.
Escolher entre o Autokey e outras opções de criptografia
O Cloud KMS com Autokey é como um piloto automático para chaves de criptografia gerenciadas pelo cliente: ele faz o trabalho em seu nome, sob demanda. Não é necessário planejar chaves com antecedência ou criar chaves que talvez nunca sejam necessárias. As chaves e o uso delas são consistentes. É possível definir onde o Autokey será usado e controlar quem pode usá-lo. Você mantém o controle total das chaves criadas pelo Autokey. É possível usar chaves do Cloud KMS criadas manualmente junto com chaves criadas usando o Autokey. É possível desativar o Autokey e continuar usando as chaves criadas da mesma forma que você usaria qualquer outra chave do Cloud KMS.
O Autokey do Cloud KMS é uma boa opção se você quiser um uso consistente de chaves em todos os projetos, com uma baixa sobrecarga operacional, e seguir as recomendações do Google para chaves.
| Recurso ou capacidade | Criptografia padrão do Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolamento criptográfico: as chaves são exclusivas da conta de um cliente | Não | Sim | Sim |
| O cliente é proprietário e controla as chaves | Não | Sim | Sim |
| O desenvolvedor aciona o provisionamento e a atribuição de chaves | Sim | Não | Sim |
| Especificidade: as chaves são criadas automaticamente na granularidade recomendada | Não | Não | Sim |
| Permite que você destrua criptograficamente seus dados | Não | Sim | Sim |
| Alinha-se automaticamente às práticas recomendadas de gerenciamento de chaves | Não | Não | Sim |
| Usa chaves com suporte de HSM que estão em conformidade com o FIPS 140-2 Nível 3 | Não | Opcional | Sim |
Se você precisar usar um nível de proteção diferente de HSM ou um período de rotação
personalizado, use a CMEK sem o Autokey.
Gerenciamento de chaves centralizado ou delegado
O Autokey para gerenciamento de chaves centralizado usando um projeto de chave dedicado em uma pasta está disponível para todos. No pré-lançamento, o Autokey oferece suporte ao armazenamento de chaves no mesmo projeto que os recursos que as chaves protegem e pode ser configurado para todos os projetos em uma pasta ou para projetos individuais.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com o Autokey do Cloud KMS:
| Serviço | Recursos protegidos | Granularidade da chave |
|---|---|---|
| Artifact Registry |
O Autokey cria chaves durante a criação do repositório, usadas para todos os artefatos armazenados. |
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias em um conjunto de dados usam a chave padrão do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, é necessário criar suas próprias chaves padrão no nível do projeto ou da organização. |
Uma chave por recurso |
| Bigtable |
O Autokey cria chaves para clusters. O Autokey não cria chaves para recursos do Bigtable que não sejam clusters. O Bigtable só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou o SDK Google Cloud. |
Uma chave por cluster |
| AlloyDB para PostgreSQL |
O AlloyDB para PostgreSQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Cloud Run |
|
Uma chave por local em um projeto |
| Cloud SQL |
O Autokey não cria chaves para recursos
O Cloud SQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Cloud Storage |
Os objetos em um
bucket de armazenamento usam a chave padrão do bucket. O Autokey não cria
chaves para |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco de que você está criando um snapshot.
O Autokey não cria chaves para |
Uma chave por recurso |
| Pub/Sub |
|
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
| Secure Source Manager |
|
Uma chave por recurso |
| Spanner |
O Spanner só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por recurso |
| Dataflow |
|
Uma chave por recurso |
| Serviço Gerenciado para Apache Spark |
|
Para recursos de cluster, SessionTemplate e WorkflowTemplate: uma chave por recurso Para recursos de lote e sessão: uma chave por local em um projeto |
A seguir
- Para saber mais sobre como o Autokey do Cloud KMS funciona, consulte Visão geral do Autokey.