Cloud KMS Autokey 通过自动执行预配和分配来简化 客户管理的加密 密钥 (CMEK) 的创建和使用。借助 Autokey,系统会按需生成密钥环和密钥。系统会创建使用密钥加密和解密资源的服务账号,并在需要时向其授予 Identity and Access Management (IAM) 角色。Cloud KMS 管理员可以完全控制和查看 Autokey 创建的密钥,而无需预先规划和创建每个资源。与自行预配密钥相比,使用 Autokey 更简单,如果 Autokey 创建的密钥满足您的所有要求,建议您选择使用 Autokey。
使用 Autokey 生成的密钥有助于您始终遵循数据安全方面的业界标准和推荐做法,包括多租户 Cloud HSM 保护级别、职责分离、密钥轮替、位置和密钥专属性。Autokey 会为与 Cloud KMS Autokey 集成的服务创建遵循 一般准则和特定于资源类型的准则的密钥。Google Cloud 创建后,使用 Autokey 请求的密钥与具有相同设置的其他 Cloud HSM 密钥的运作方式相同。
Autokey 还可以简化 Terraform 在密钥管理方面的使用,无需使用受提升的密钥创建权限运行基础架构即代码。
您可以使用 Autokey 搭配集中式密钥管理模型(正式版 )或委托式密钥模型(预览版)。如需使用集中式密钥管理模型,您必须拥有包含文件夹资源的组织资源。在集中式模型中,系统会为文件夹中的项目启用 Autokey,并且 Autokey 创建的密钥会在该文件夹的专用密钥项目中创建。借助委托式密钥管理模型,密钥管理会委托给项目管理员,他们可以在文件夹或项目上启用 Autokey,让 Autokey 在与受保护资源相同的项目中创建密钥。
如需详细了解组织和文件夹资源, 请参阅 资源层次结构。
Cloud KMS Autokey 可在所有 Google Cloud 可使用 Cloud HSM 的位置使用。如需详细了解 Cloud KMS 位置,请参阅 Cloud KMS 位置。使用 Cloud KMS Autokey 不会产生额外费用。使用 Autokey 创建的密钥与其他任何 Cloud HSM 密钥的价格相同。如需详细了解价格,请参阅 Cloud Key Management Service 价格。
如需详细了解 Autokey,请参阅 Autokey 概览。
在 Autokey 和其他加密选项之间进行选择
Cloud KMS with Autokey 就像客户管理的加密密钥的自动驾驶模式:它会按需代表您完成工作。 您无需提前规划密钥,也不需要创建可能永远不需要的密钥。密钥和密钥使用方式保持一致。您可以定义要使用 Autokey 的位置,并控制谁可以使用它。您可以完全控制 Autokey 创建的密钥。您可以将手动创建的 Cloud KMS 密钥与使用 Autokey 创建的密钥一起使用。您可以停用 Autokey,并继续以与其他任何 Cloud KMS 密钥相同的方式使用 Autokey 创建的密钥。
如果您希望在各个项目中保持一致的密钥使用方式,并希望遵循 Google 的密钥建议,那么 Cloud KMS Autokey 是一个不错的选择,因为它的运营开销较低。
| 功能或特性 | Google 默认加密方式 | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| 加密隔离:密钥专供一个客户的 账号使用 | 否 | 是 | 是 |
| 客户拥有和控制密钥 | 否 | 是 | 是 |
| 开发者触发密钥预配和分配 | 是 | 否 | 是 |
| 专属性:系统会自动以建议的密钥 粒度创建密钥 | 否 | 否 | 是 |
| 允许您对数据进行加密销毁 | 否 | 是 | 是 |
| 自动遵循推荐的密钥管理实践 | 否 | 否 | 是 |
| 使用符合 FIPS 140-2 3 级的 HSM 支持的密钥 | 否 | 可选 | 是 |
如果您需要使用 HSM 以外的保护级别或自定义轮替
周期,则可以使用 CMEK,而无需使用 Autokey。
集中式或委托式密钥管理
Autokey for centralized key management using a dedicated key project within a folder is Generally Available. 在 预览版中,Autokey 支持将密钥存储在与密钥保护的资源相同的项目中,并且可以为文件夹中的所有项目或单个项目进行配置。
兼容的服务
下表列出了与 Cloud KMS Autokey 兼容的服务:
| 服务 | 受保护资源 | 密钥粒度 |
|---|---|---|
| Artifact Registry |
Autokey 在创建 Repository 期间创建密钥,用于所有 存储的工件。 |
每个资源一个密钥 |
| BigQuery |
Autokey 会为数据集创建默认密钥。数据集中的表、模型、 查询和临时表使用数据集默认 密钥。 Autokey 不会为数据集以外的 BigQuery 资源 创建密钥。如需保护不属于数据集的资源,您必须在项目或组织级层创建自己的默认密钥。 |
每个资源一个密钥 |
| Bigtable |
Autokey 会为集群创建密钥。 Autokey 不会为集群以外的 Bigtable 资源创建密钥 。 只有在使用 Terraform 或 Google Cloud SDK 创建资源时,Bigtable 才与 Cloud KMS Autokey 兼容。 |
每个集群一个密钥 |
| AlloyDB for PostgreSQL |
只有在使用 Terraform 或 REST API 创建资源时,AlloyDB for PostgreSQL 才与 Cloud KMS Autokey 兼容。 |
每个资源一个密钥 |
| Cloud Run |
|
每个项目中的每个位置一个密钥 |
| Cloud SQL |
Autokey 不会为 Cloud SQL
只有在使用 Terraform 或 REST API 创建资源时,Cloud SQL 才与 Cloud KMS Autokey 兼容。 |
每个资源一个密钥 |
| Cloud Storage |
存储桶中的对象使用存储桶默认密钥。Autokey 不会为
密钥创建 |
每个存储桶一个密钥 |
| Compute Engine |
快照使用您要创建快照的磁盘的密钥。
Autokey 不会为 |
每个资源一个密钥 |
| Memorystore for Redis |
只有在使用 Terraform 或 REST API 创建资源时,Memorystore for Redis 才与 Cloud KMS Autokey 兼容。 |
每个资源一个密钥 |
| Pub/Sub |
|
每个资源一个密钥 |
| Secret Manager |
只有在使用 Terraform 或 REST API 创建资源时,Secret Manager 才与 Cloud KMS Autokey 兼容。 |
每个项目中的每个位置一个密钥 |
| Secure Source Manager |
|
每个资源一个密钥 |
| Spanner |
只有在使用 Terraform 或 REST API 创建资源时,Spanner 才与 Cloud KMS Autokey 兼容。 |
每个资源一个密钥 |
| Dataflow |
|
每个资源一个密钥 |
| Managed Service for Apache Spark |
|
对于 Cluster、SessionTemplate 和 WorkflowTemplate 资源: 每个资源一个密钥 对于 Batch 和 Session 资源: 每个项目中的每个位置一个密钥 |
后续步骤
- 如需详细了解 Cloud KMS Autokey 的运作方式,请参阅 Autokey 概览。