Questa pagina descrive ogni tipo di risorsa in Cloud KMS. Puoi scoprire di più sulla gerarchia delle risorse.
Chiavi
Una chiave Cloud KMS è un oggetto denominato contenente una o più versioni della chiave, insieme ai metadati della chiave. Una chiave esiste in esattamente un keyring collegato a una posizione specifica.
Puoi consentire e negare l'accesso alle chiavi utilizzando ruoli e autorizzazioni di Identity and Access Management (IAM). Non puoi gestire l'accesso a una versione della chiave.
La disabilitazione o l'eliminazione di una chiave comporta anche la disabilitazione o l'eliminazione di ogni versione della chiave.
Le sezioni seguenti descrivono le proprietà di una chiave.
A seconda del contesto, le proprietà di una chiave vengono visualizzate in un formato diverso.
- Quando utilizzi Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene visualizzata
come una stringa di lettere maiuscole, ad esempio
SOFTWARE. - Quando utilizzi la console Google Cloud , la proprietà viene visualizzata come stringa con la prima lettera maiuscola, ad esempio Software.
Nelle sezioni seguenti, ogni formato viene mostrato dove è appropriato.
Tipo
Il tipo di chiave determina se la chiave viene utilizzata per operazioni di crittografia simmetriche o asimmetriche.
Nella crittografia o firma simmetrica, la stessa chiave viene utilizzata per criptare e decriptare i dati o per firmare e verificare una firma.
Nella crittografia o firma asimmetrica, la chiave è costituita da una chiave pubblica e una chiave privata. Una chiave privata con la relativa chiave pubblica è chiamata coppia di chiavi.
- La chiave privata è un dato sensibile ed è necessaria per decriptare i dati o per la firma, a seconda dello scopo configurato della chiave.
- La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o per verificare una firma, a seconda dello scopo configurato della chiave.
Il tipo di chiave è un componente dello scopo della chiave e non può essere modificato dopo la creazione della chiave.
Finalità
Lo scopo di una chiave indica il tipo di operazioni di crittografia per cui può essere utilizzata, ad esempio Crittografia/decrittografia simmetrica o Firma asimmetrica. Scegli lo scopo quando crei la chiave e tutte le versioni di una chiave hanno lo stesso scopo. Lo scopo di una chiave non può essere modificato dopo la creazione della chiave. Per saperne di più sugli scopi delle chiavi, consulta Scopi delle chiavi.
Livello di protezione
Il livello di protezione di una chiave determina l'ambiente di archiviazione della chiave a riposo. Il livello di protezione è uno dei seguenti:
- Software (
SOFTWARE) - HSM multi-tenant (
HSM) - HSM a tenant singolo (
HSM_SINGLE_TENANT) - Esterno (
EXTERNAL) - External_VPC (
EXTERNAL_VPC)
Il livello di protezione di una chiave non può essere modificato dopo la creazione della chiave.
Versione primaria
Le chiavi possono avere più versioni della chiave attive e abilitate contemporaneamente. Le chiavi di crittografia simmetrica hanno una versione della chiave primaria, ovvero la versione della chiave utilizzata per impostazione predefinita per criptare i dati se non ne specifichi una.
Le chiavi asimmetriche non hanno versioni principali; devi specificare la versione quando utilizzi la chiave.
Per le chiavi simmetriche e asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare e decriptare i dati o per firmare e convalidare le firme.
Versioni delle chiavi
Ogni versione di una chiave contiene il materiale della chiave utilizzato per la crittografia o la firma. A ogni versione viene assegnato un numero, a partire da 1. La rotazione di una chiave crea una
nuova versione della chiave. Scopri di più sulla rotazione delle chiavi.
Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave che è stata utilizzata per criptare o firmare i dati. Per trovare l'ID risorsa di una versione della chiave, consulta Recupero dell'ID risorsa di una chiave.
Puoi disattivare o eliminare singole versioni della chiave senza influire sulle altre versioni. Puoi anche disabilitare o eliminare tutte le versioni della chiave per una determinata chiave.
Non puoi controllare l'accesso alle versioni della chiave indipendentemente dalle autorizzazioni in vigore per la chiave. La concessione dell'accesso a una chiave concede l'accesso a tutte le versioni abilitate della chiave.
Per motivi di sicurezza, nessun Google Cloud principal può visualizzare o esportare il materiale della chiave crittografica non elaborato rappresentato da una versione della chiave. Cloud KMS accede al materiale della chiave per tuo conto.
Le sezioni seguenti descrivono le proprietà di una versione della chiave.
Stato
Ogni versione della chiave ha uno stato che indica il suo stato. Di solito, lo stato di una chiave è uno dei seguenti:
- Abilitato
- Disattivata
- Pianificata per l'eliminazione
- Eliminata
Una versione della chiave può essere utilizzata solo quando è abilitata. Le versioni delle chiavi in qualsiasi stato diverso da eliminato comportano costi. Per ulteriori informazioni sugli stati delle versioni delle chiavi e su come le versioni possono passare da uno stato all'altro, consulta Stati delle versioni delle chiavi.
Algoritmo
L'algoritmo di una versione della chiave determina la modalità di creazione del materiale della chiave e i parametri richiesti per le operazioni crittografiche. Le chiavi simmetriche e asimmetriche utilizzano algoritmi diversi. La crittografia e la firma utilizzano algoritmi diversi.
Se non specifichi un algoritmo quando crei una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.
Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che lo stesso testo non crittografato crittografato due volte con la stessa versione della chiave non restituisca lo stesso testo crittografato.
Chiavi automatizzate
Un keyring organizza le chiavi in una posizione specifica Google Cloud e ti consente di gestire controllo dell'accesso su gruppi di chiavi. Il nome di un portachiavi non deve essere univoco in un progetto Google Cloud , ma deve essere univoco all'interno di una determinata località. Una volta creato, un portachiavi non può essere eliminato. I keyring non comportano costi. Per un elenco delle località disponibili, consulta Località di Cloud KMS.
Maniglie delle chiavi
Un handle della chiave è una risorsa Cloud KMS che ti aiuta a estendere in modo sicuro la separazione dei compiti per creare nuove chiavi Cloud KMS per CMEK utilizzando Autokey. La creazione di un handle della chiave in un progetto risorsa attiva la creazione di una chiave Cloud KMS nel progetto chiave per la configurazione della CMEK on demand.
Un handle della chiave contiene un riferimento alla chiave Cloud KMS creata. Puoi recuperare l'ID risorsa Cloud KMS di una chiave creata da Autokey dall'handle della chiave. Strumenti di infrastruttura come codice come Terraform possono funzionare con gli handle delle chiavi per gestire le risorse protette da CMEK senza privilegi elevati.
Gli handle delle chiavi non sono visibili nella console Google Cloud , ma per utilizzare Autokey con l'API REST o Terraform, devi lavorare con gli handle delle chiavi. Per saperne di più sull'utilizzo degli handle delle chiavi, consulta Creare risorse protette utilizzando Cloud KMS Autokey.
Configurazioni di Autokey
Una configurazione Autokey è una risorsa a livello di cartella che definisce se Autokey è abilitata per la cartella. La configurazione di Autokey definisce anche il progetto chiave utilizzato per le chiavi create da Cloud KMS Autokey per proteggere le risorse in quella cartella. Quando abiliti Autokey, crei o aggiorni una configurazione Autokey nella cartella delle risorse. Per saperne di più sull'utilizzo delle configurazioni di Autokey, consulta Attiva Cloud KMS Autokey.
Connessioni EKM
Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC ai tuoi EKM on-premise in una posizioneGoogle Cloud specifica. Una connessione EKM ti consente di connetterti a un gestore di chiavi esterno e di utilizzarne le chiavi tramite una rete VPC. Dopo la creazione, una connessione EKM non può essere eliminata. Le connessioni EKM non comportano costi.
Recuperare l'ID di una risorsa
Alcune chiamate API e gcloud CLI potrebbero richiedere di fare riferimento a un portachiavi, una chiave o una versione della chiave in base al relativo ID risorsa, ovvero una stringa che rappresenta il nome CryptoKeyVersion completo. Gli ID risorsa sono gerarchici, simili a un percorso del file system. L'ID risorsa di una chiave contiene anche informazioni sul portachiavi e sulla posizione.
| Oggetto | Formato ID risorsa |
|---|---|
| Chiavi automatizzate | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Chiave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versione chiave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Handle chiave | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Connessione EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Configurazione di Autokey | folders/FOLDER_NUMBER/autopilotConfig |
Per saperne di più, consulta Recupero di un ID risorsa di Cloud KMS.
Organizzare le risorse
Quando pianifichi come organizzare le risorse nel tuo progetto Google Cloud, considera le regole aziendali e come prevedi di gestire l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi di un portachiavi o a tutte le chiavi di un progetto. I seguenti pattern di organizzazione sono comuni:
- Per ambiente, ad esempio
prod,testedevelop. - Per area di lavoro, ad esempio
payrolloinsurance_claims. - In base alla sensibilità o alle caratteristiche dei dati, ad esempio
unrestricted,restricted,confidential,top-secret.
Cicli di vita delle risorse
I keyring, le chiavi e le versioni delle chiavi non possono essere eliminati. Ciò garantisce che l'identificatore di risorsa di una versione della chiave sia univoco e rimandi sempre al materiale della chiave originale per quella versione, a meno che non sia stato eliminato. Puoi archiviare un numero illimitato di keyring, chiavi attivate o disattivate e versioni della chiave attivate, disattivate o eliminate. Per saperne di più, consulta Prezzi e Quote.
Per scoprire come eliminare o ripristinare una versione della chiave, consulta Eliminazione e ripristino delle versioni delle chiavi.
Dopo aver pianificato l'arresto di un progetto, non puoi accedere alle risorse del progetto, incluse le risorse Cloud KMS, a meno che tu non recuperi il progetto seguendo i passaggi per ripristinare un progetto. Google Cloud
Passaggi successivi
- Crea una chiave.
- Scopri di più su autorizzazioni e ruoli in Cloud KMS.