Auf dieser Seite werden alle in Cloud KMS vorkommenden Ressourcentypen erläutert. Weitere Informationen finden sich unter Ressourcenhierarchie.
Schlüssel
Ein Cloud KMS-Schlüssel ist ein benanntes Objekt, das eine oder mehrere Schlüsselversionen sowie Metadaten für den Schlüssel enthält. Ein Schlüssel existiert genau an einem Schlüsselbund, der an einen bestimmten Standort gebunden ist.
Sie können den Zugriff auf Schlüssel mithilfe von Berechtigungen und Rollen von Identity and Access Management (IAM) zulassen oder verweigern. Sie können den Zugriff auf eine Schlüsselversion nicht verwalten.
Durch das Deaktivieren oder Löschen eines Schlüssels wird auch jede Schlüsselversion deaktiviert oder gelöscht.
In folgenden Abschnitten werden die Eigenschaften eines Schlüssels erläutert.
Je nach Kontext werden die Attribute eines Schlüssels in einem anderen Format angezeigt.
- Bei Verwendung der Google Cloud CLI oder der Cloud Key Management Service API wird das Attribut als String aus Großbuchstaben angezeigt, z. B.
SOFTWARE. - Bei Verwendung der Google Cloud Console wird das Attribut als String mit Anfangsgroßbuchstaben angezeigt, zum Beispiel Software.
In den folgenden Abschnitten wird jedes Format an der richtigen Stelle angezeigt.
Typ
Der Typ eines Schlüssels bestimmt, ob er für symmetrische oder asymmetrische kryptografische Vorgänge verwendet wird.
Bei der symmetrischen Verschlüsselung oder Signierung wird derselbe Schlüssel zum Ver- und Entschlüsseln von Daten oder zum Signieren und Überprüfen einer Signatur verwendet.
Bei der asymmetrischen Verschlüsselung oder Signierung besteht der Schlüssel aus einem öffentlichen und einem privaten Schlüssel. Ein privater Schlüssel mit dem entsprechenden öffentlichen Schlüssel wird als Schlüsselpaar bezeichnet.
- Der private Schlüssel wird als vertraulich betrachtet und ist je nach dem konfigurierten Zweck des Schlüssels zum Entschlüsseln von Daten oder Signieren erforderlich.
- Der öffentliche Schlüssel wird nicht als vertraulich betrachtet und ist je nach dem konfigurierten Zweck des Schlüssels zum Verschlüsseln von Daten oder zum Verifizieren einer Signatur erforderlich.
Der Typ eines Schlüssels ist eine Komponente des Zwecks des Schlüssels und kann nach der Erstellung des Schlüssels nicht mehr geändert werden.
Zweck
Der Zweck eines Schlüssels gibt an, für welche Art von kryptografischen Vorgängen der Schlüssel verwendet werden kann, z. B. Symmetrische Verschlüsselung/Entschlüsselung oder Asymmetrische Signatur. Sie wählen den Zweck beim Erstellen des Schlüssels aus und alle Versionen eines Schlüssels haben denselben Zweck. Der Zweck eines Schlüssels kann nach Erstellung des Schlüssels nicht mehr geändert werden. Weitere Informationen zu Schlüsselzwecken finden Sie unter Schlüsselzwecke.
Schutzniveau
Das Schutzniveau eines Schlüssels bestimmt die Speicherumgebung des Schlüssels im inaktiven Zustand. Das Schutzniveau ist eines der folgenden:
- Software (
SOFTWARE) - HSM für mehrere Mandanten (
HSM) - HSM für einzelnen Mandanten (
HSM_SINGLE_TENANT) - Extern (
EXTERNAL) - External_VPC (
EXTERNAL_VPC)
Das Schutzniveau eines Schlüssels kann nach der Erstellung des Schlüssels nicht mehr geändert werden.
Hauptversion
Für Schlüssel können mehrere Schlüsselversionen gleichzeitig aktiv und aktiviert sein. Symmetrische Verschlüsselungsschlüssel haben eine primäre Schlüsselversion, die standardmäßig zum Verschlüsseln von Daten verwendet wird, wenn Sie keine Schlüsselversion angeben.
Asymmetrische Schlüssel haben keine primären Versionen. Sie müssen die Version angeben, wenn Sie den Schlüssel nutzen.
Für symmetrische und auch für asymmetrische Schlüssel können Sie jede aktivierte Schlüsselversion verwenden, um Daten zu verschlüsseln und zu entschlüsseln oder Signaturen zu signieren und zu validieren.
Schlüsselversionen
Jede Version eines Schlüssels enthält Schlüsselmaterial, das zur Verschlüsselung oder Signierung dient. Jeder Version wird eine Versionsnummer zugewiesen, beginnend mit 1. Das Rotieren eines Schlüssels erstellt eine neue Version. Weitere Informationen zum Rotieren von Schlüsseln
Um Daten zu entschlüsseln oder eine Signatur zu bestätigen, müssen Sie die Schlüsselversion verwenden, die auch zum Verschlüsseln oder Signieren der Daten verwendet wurde. Informationen zum Suchen der Ressourcen-ID einer Schlüsselversion finden Sie unter Ressourcen-ID eines Schlüssels abrufen.
Sie können einzelne Schlüsselversionen deaktivieren oder löschen, ohne dass sich dies auf andere Versionen auswirkt. Sie können auch alle Schlüsselversionen für einen bestimmten Schlüssel deaktivieren oder löschen.
Sie können den Zugriff auf Schlüsselversionen nicht unabhängig von den für den Schlüssel geltenden Berechtigungen steuern. Das Gewähren des Zugriffs auf einen Schlüssel gewährt auch Zugriff auf alle aktivierten Versionen des Schlüssels.
Aus Sicherheitsgründen können die durch eine Schlüsselversion repräsentierten Rohdaten des kryptografischen Schlüsselmaterials von keinem Google Cloud Hauptkonto angezeigt oder exportiert werden. Stattdessen greift Cloud KMS für Sie auf das Schlüsselmaterial zu.
In folgenden Abschnitten werden die Eigenschaften einer Schlüsselversion erläutert.
Bundesland
Jede Schlüsselversion hat einen Status, der angibt, welchen Status sie hat. Normalerweise ist der Status eines Schlüssels einer der folgenden:
- Aktiviert
- Deaktiviert
- Löschen geplant
- Gelöscht
Eine Schlüsselversion kann nur verwendet werden, wenn sie aktiviert ist. Für Schlüsselversionen in einem anderen Status als „gelöscht“ werden Kosten berechnet. Weitere Informationen zu Schlüsselversionsstatus und dazu, wie Versionen zwischen ihnen wechseln können, finden Sie unter Schlüsselversionsstatus.
Algorithmus
Der Algorithmus einer Schlüsselversion bestimmt, wie das Schlüsselmaterial erstellt wird und welche Parameter für kryptografische Vorgänge erforderlich sind. Symmetrische und asymmetrische Schlüssel verwenden unterschiedliche Algorithmen. Für die Verschlüsselung und die Signierung werden unterschiedliche Algorithmen verwendet.
Wenn Sie beim Erstellen einer neuen Schlüsselversion keinen Algorithmus angeben, wird der Algorithmus der vorherigen Version verwendet.
Unabhängig vom Algorithmus verwendet Cloud KMS die probabilistische Verschlüsselung. Dies bedeutet, dass derselbe Klartext, der zweimal mit derselben Schlüsselversion verschlüsselt wurde, nicht in denselben Geheimtext verschlüsselt wird.
Schlüsselbunde
Ein Schlüsselbund organisiert Schlüssel an einem bestimmten Google CloudStandort und ermöglicht Ihnen, die Zugriffssteuerung für Gruppen von Schlüsseln zu verwalten. Der Name eines Schlüsselbunds muss innerhalb eines Google Cloud Projekts nicht eindeutig sein, muss aber innerhalb eines bestimmten Standorts eindeutig sein. Nach dem Erstellen kann kein Schlüsselbund gelöscht werden. Für Schlüsselbunde fallen keine Kosten an. Eine Liste der verfügbaren Standorte finden Sie unter Cloud KMS-Standorte.
Schlüssel-Handles
Ein Schlüssel-Handle ist eine Cloud KMS-Ressource, mit der Sie die Aufgabentrennung sicher überbrücken können, um mit Autokey neue Cloud KMS-Schlüssel für CMEK zu erstellen. Wenn in einem Ressourcenprojekt ein Schlüssel-Handle erstellt wird, wird im Schlüsselprojekt ein Cloud KMS-Schlüssel für die On-Demand-CMEK-Einrichtung erstellt.
Ein Schlüssel-Handle enthält einen Verweis auf den erstellten Cloud KMS-Schlüssel. Sie können die Cloud KMS-Ressourcen-ID eines von Autokey erstellten Schlüssels über den Schlüssel-Handle abrufen. Infrastruktur-als-Code-Tools wie Terraform können mit Schlüssel-Handles verwendet werden, um CMEK-geschützte Ressourcen ohne erhöhte Berechtigungen zu verwalten.
Schlüssel-Handles sind in der Google Cloud Console nicht sichtbar. Wenn Sie Autokey jedoch mit der REST API oder Terraform verwenden möchten, müssen Sie mit Schlüssel-Handles arbeiten. Weitere Informationen zur Verwendung von Schlüssel-Handles finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.
Autokey-Konfigurationen
Eine Autokey-Konfiguration ist eine Ressource auf Ordnerebene, die definiert, ob Autokey für den Ordner aktiviert ist. In der Autokey-Konfiguration wird auch festgelegt, welches Schlüsselprojekt für Schlüssel verwendet wird, die von Cloud KMS Autokey erstellt werden, um Ressourcen in diesem Ordner zu schützen. Wenn Sie Autokey aktivieren, erstellen oder aktualisieren Sie eine Autokey-Konfiguration für den Ressourcenordner. Weitere Informationen zur Verwendung von Autokey-Konfigurationen finden Sie unter Cloud KMS Autokey aktivieren.
EKM-Verbindungen
Eine EKM-Verbindung ist eine Cloud KMS-Ressource, mit der VPC-Verbindungen zu Ihren lokalen EKMs an einem bestimmtenGoogle Cloud -Standort organisiert werden. Mit einer EKM-Verbindung können Sie über ein VPC-Netzwerk eine Verbindung zu Schlüsseln aus einem External Key Manager herstellen und diese Schlüssel verwenden. Nach dem Erstellen kann keine EKM-Verbindung gelöscht werden. Für EKM-Verbindungen fallen keine Kosten an.
Ressourcen-ID abrufen
Für einige API-Aufrufe und die gcloud CLI ist es möglicherweise erforderlich, dass Sie auf einen Schlüsselbund, Schlüssel oder eine Schlüsselversion anhand seiner Ressourcen-ID verweisen, die eine Zeichenfolge ist, die den vollqualifizierten CryptoKeyVersion-Namen darstellt. Ressourcen-IDs sind hierarchisch, ähnlich einem Dateisystempfad. Die Ressourcen-ID eines Schlüssels enthält auch Informationen zum Schlüsselbund und Speicherort.
| Objekt | Format der Ressourcen-ID |
|---|---|
| Schlüsselbund | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Schlüssel | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Schlüsselversion | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Schlüssel-Handle | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| EKM-Verbindung | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Autokey-Konfiguration | folders/FOLDER_NUMBER/autopilotConfig |
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen
Ressourcen organisieren
Wenn Sie die Ressourcen in Ihrem Google Cloud-Projekt organisieren möchten, müssen Sie Ihre Geschäftsregeln und die Planung des Zugriffs berücksichtigen. Sie können Zugriff auf einen einzelnen Schlüssel, alle Schlüssel für einen Schlüsselbund oder alle Schlüssel in einem Projekt gewähren. Folgende Organisationsmuster sind üblich:
- Nach Umgebung, z. B.
prod,testunddevelop. - Nach Arbeitsbereich, z. B.
payrolloderinsurance_claims. - Nach Vertraulichkeit oder Eigenschaften der Daten, z. B.
unrestricted,restricted,confidential,top-secret.
Ressourcenlebenszyklen
Schlüsselbunde, Schlüssel und Schlüsselversionen können nicht gelöscht werden. Dadurch wird gewährleistet, dass die Ressourcen-ID einer Schlüsselversion eindeutig ist und immer auf das ursprüngliche Schlüsselmaterial für diese Schlüsselversion verweist, sofern sie nicht gelöscht wurde. Sie können eine unbegrenzte Anzahl von Schlüsselbunden, aktivierten oder deaktivierten Schlüsseln und aktivierten, deaktivierten oder gelöschten Schlüsselversionen speichern. Weitere Informationen finden Sie unter Preise und Kontingente.
Informationen zum Löschen oder Wiederherstellen einer Schlüsselversion finden Sie unter Schlüsselversionen löschen und wiederherstellen.
Nachdem Sie das Herunterfahren eines Google Cloud Projekts geplant haben, können Sie nicht mehr auf die Projektressourcen zugreifen, einschließlich Cloud KMS-Ressourcen. Dies ist nur durch eine Wiederherstellung des Projekts gemäß der Anleitung unter Projekt wiederherstellen möglich.