Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud HSM für Google Workspace einrichten

Auf dieser Seite wird beschrieben, wie Sie Cloud HSM für Google Workspace (CHGWS) einrichten, den Verschlüsselungsschlüsseldienst für Google Workspace, der vom Cloud Key Management Service (Cloud KMS) angeboten wird. Cloud HSM für Google Workspace bietet erweiterte Datenschutzkontrollen für Google Workspace, mit denen Sie behördliche Standards wie DISA IL5 erfüllen und die Datensicherheit erhöhen können. Cloud HSM ist ein standardkonformer, hochverfügbarer und vollständig verwalteter Key Management Service, der in der Cloud mit hardwaregestützten Schlüsseln betrieben wird, die in FIPS 140-2 Level 3-konformen HSMs (Hardware Security Modules) gespeichert sind.

CHGWS ist mit Cloud HSM-Schlüsseln für mehrere Mandanten und Cloud HSM-Schlüsseln für einzelne Mandanten kompatibel.

Weitere Informationen finden Sie unter Cloud HSM für Google Workspace.

Hinweis

Bevor Sie Cloud HSM für Google Workspace einbinden, müssen die folgenden Voraussetzungen erfüllt sein:

Google Workspace einrichten
Clientseitige Verschlüsselung von Google Workspace in Ihrem Google Workspace aktivieren
Identitätsanbieter (IdP) in der clientseitigen Verschlüsselung von Google Workspace konfigurieren Notieren Sie sich die Client-ID für Ihren IdP. Wenn Sie die Google Identity Platform verwenden, finden Sie die Client-ID in Ihrem Google Cloud Projekt.
Optional: Wenn Sie den Zugriff auf clientseitig verschlüsselte Inhalte in anderen Plattformanwendungen als im Web (z. B. auf Mobilgeräten oder Computern) zulassen, fügen Sie die Client-IDs für diese Plattformen in den IdP-Einstellungen in der Admin-Konsole von Google Workspace hinzu. Notieren Sie sich alle Client-IDs für diesen IdP. Wenn Sie die Google Identity Platform verwenden, finden Sie diese Client-IDs in Ihrem Google Cloud Projekt. Für andere Identitätsanbieter müssen Sie diese Client-IDs separat erstellen.

Kompatible Standorte

Sie können Ihre Cloud KMS-Schlüssel an jedem regionalen oder multiregionalen Standort in den geografischen Gebieten USA oder Europa speichern. Cloud HSM für Google Workspace unterstützt sowohl Cloud HSM-Schlüssel für mehrere Mandanten als auch Cloud HSM-Schlüssel für einzelne Mandanten. Wenn Sie einen bestimmten Standort suchen möchten, rufen Sie Cloud KMS-Standorte auf und filtern Sie nach Ihrem HSM-Typ.

Cloud HSM für Google Workspace stellt den Endpunkt automatisch in einer der folgenden Multiregionen bereit, die sich am nächsten an Ihrem Schlüsselstandort befindet:

us
eur3

Projekt für Cloud KMS einrichten Google Cloud

Cloud HSM für Google Workspace-Endpunkte verwenden Cloud KMS-Schlüssel für kryptografische Vorgänge. Richten Sie ein neues Google Cloud Projekt ein, um die Cloud KMS-Schlüssel zu hosten.

Erstellen Sie ein Google Cloud Projekt. Dies ist Ihr Schlüsselprojekt. Notieren Sie sich die Projekt-ID und die Projektnummer. Sie benötigen sie, um die Einrichtung abzuschließen.

Wichtig: Wir empfehlen dringend, ein dediziertes Google Cloud Projekt zu verwenden, das nur CHGWS-Schlüssel enthält. So haben Sie mehr Kontrolle über die Abrechnung. Weitere Informationen finden Sie unter Abrechnung verwalten.
Aktivieren Sie die Abrechnung für das erstellte Projekt.
Aktivieren Sie die Cloud KMS API in Ihrem Google Cloud Schlüsselprojekt.

API aktivieren
Klicken Sie in der Google Cloud Console auf das Terminal Cloud Shell aktivieren.
Prüfen Sie, ob Sie sich im richtigen Projekt befinden, indem Sie Ihre Projekt-ID mit der Projekt-ID in der Cloud Shell-Eingabeaufforderung vergleichen.
Erstellen Sie mit Cloud Shell das Cloud HSM für Google Workspace-Dienstkonto:
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
Notieren Sie sich die Dienstidentität, die mit diesem Befehl erstellt wurde. Sie benötigen den Namen der Dienstidentität im nächsten Schritt.

Weisen Sie dem erstellten Dienstkonto die Rolle CHGWS Key Service Agent zu:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

Ersetzen Sie Folgendes:

PROJECT_ID: Die Projekt-ID Ihres Schlüsselprojekts.
PROJECT_NUMBER: Die Projektnummer Ihres Schlüsselprojekts.

CHGWS-Dienstendpunkt verwalten

In den folgenden Abschnitten wird beschrieben, wie Sie Ihre CHGWS-Endpunkte einrichten und verwalten.

Cloud KMS-Schlüssel einrichten

Richten Sie die Cloud KMS-Ressourcen für Ihren CHGWS-Schlüsseldienstendpunkt ein.

Erstellen Sie einen Schlüsselbund in einer der unterstützten Regionen:
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- Ersetzen Sie KEY_RING durch den Namen, den Sie für Ihren CHGWS-Schlüsselbund verwenden möchten, z. B. CHGWS_KEY_RING.
- Ersetzen Sie LOCATION durch den Standort, an dem Sie den Schlüsselbund erstellen möchten, z. B. us.
Erstellen Sie einen Cloud HSM-Schlüssel.
Cloud HSM für mehrere Mandanten
So erstellen Sie einen Schlüssel mit dem Schutzniveau hsm:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Ersetzen Sie Folgendes:
- KEY_NAME: Der Name, den Sie für Ihren Schlüssel verwenden möchten, z. B. CHGWS_KEY.
- KEY_RING: Der Name Ihres Schlüssel bunds, z. B. CHGWS_KEY_RING.
- LOCATION: Der Standort, an dem Sie den Schlüsselbund erstellt haben, z. B. us.
- ROTATION_PERIOD: Die Häufigkeit, mit der Sie Ihre Schlüssel rotieren möchten, z. B. 7d.
- NEXT_ROTATION_TIME: Das Datum und die Uhrzeit, zu der die nächste Schlüsselrotation stattfindet, z. B. 2024-03-20T01:00:00.
Cloud HSM für einzelne Mandanten
Wenn Sie einen Schlüssel mit dem Schutzniveau hsm_single_tenant erstellen möchten, muss zuerst eine Cloud HSM-Instanz für einzelne Mandanten am selben Standort bereitgestellt werden.
1. Cloud HSM-Instanz für einzelne Mandanten erstellen und bereitstellen Folgen Sie der Anleitung unter Cloud HSM-Instanz für einzelne Mandanten erstellen und verwalten. Notieren Sie sich die bereitgestellte Instanz-ID. Sie verwenden sie im nächsten Schritt.
2. Schlüssel erstellen :
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  Ersetzen Sie Folgendes:
  
  KEY_NAME: Der Name, den Sie für Ihren Schlüssel verwenden möchten, z. B. CHGWS_KEY.
  
  KEY_RING: Der Name Ihres Schlüssel bunds, z. B. CHGWS_KEY_RING.
  
  LOCATION: Der Standort, an dem Sie den Schlüsselbund erstellt haben, z. B. us.
  
  PROJECT_ID: Die Projekt-ID Ihres Schlüsselprojekts.
  
  INSTANCE_NAME: Der Name der Cloud HSM-Instanz für einzelne Mandanten, in der Sie den Schlüssel erstellen möchten.
  
  ROTATION_PERIOD: Die Häufigkeit, mit der Sie Ihre Schlüssel rotieren möchten, z. B. 7d.
  
  NEXT_ROTATION_TIME: Das Datum und die Uhrzeit, zu der die nächste Schlüsselrotation stattfindet, z. B. 2024-03-20T01:00:00.
Weitere Informationen zu den Optionen für die Schlüsselerstellung finden Sie unter Schlüssel erstellen.

Einbindung und Endpunkterstellung anfordern

Wenn Sie die Einbindung und Endpunkterstellung anfordern möchten, wenden Sie sich an Ihren Kundenbetreuer, um Unterstützung beim Senden einer Anfrage zur Endpunkteinbindung zu erhalten. Geben Sie in der Anfrage die folgenden Informationen an:

Google Workspace-Details
- Google Workspace-ID: Ihre Google Workspace-ID. Eine Anleitung zum Ermitteln Ihrer Google Workspace-ID finden Sie unter Kunden-ID finden.
- E-Mail-Adressen von Google Workspace-Administratoren: Geben Sie eine durch Kommas getrennte Liste der E-Mail-Adressen von Administratoren an.
Details zum Identitätsanbieter (IdP)
- Details zum primären Identitätsanbieter (IdP):
  - IdP JSON Web Key Set (JWKS) URL: Verwenden Sie für die Google Identity Platform https://www.googleapis.com/oauth2/v3/certs.
  - Aussteller des JSON Web Token (JWT): Verwenden Sie für die Google Identity Platform https://accounts.google.com.
  - JWT-Zielgruppe: Die Client-ID Ihres IdP für Webanwendungen.
  - Zusätzliche JWT-Zielgruppen: Optional. Geben Sie Client-IDs für Nicht-Web-Plattformanwendungen an, falls konfiguriert. Verwenden Sie für die Google Identity Platform die Client-IDs, die unter Wenn Sie die Google-Identität für die clientseitige Verschlüsselung verwendenangegeben sind.
- Details zum Gast-IdP: Optional. Füllen Sie diesen Abschnitt aus, wenn Sie einen Gast-IdP verwenden.
  - JWKS-URL des Gast-IdP: Die JWKS-URL Ihres Gast-IdP.
  - JWT-Aussteller des Gast-IdP: Der JWT-Aussteller Ihres Gast-IdP.
  - JWT-Zielgruppe des Gast-IdP: Die Client-ID Ihres Gast-IdP für Web anwendungen, mit Ausnahme von Google Meet.
  - Zusätzliche JWT-Zielgruppen des Gast-IdP: Optional. Wenn Sie eine Google Meet-Webclient-ID oder andere Client-IDs für Nicht-Web-Plattformanwendungen konfigurieren, geben Sie für jede eine Client-ID an. Verwenden Sie für die Google Identity Platform die Client-IDs, die unter Wenn Sie die Google-Identität für die clientseitige Verschlüsselung verwendenangegeben sind.
Wichtig: Prüfen Sie, ob Ihre IdP-JWKS-URL öffentlich zugänglich ist. Bestätigen Sie die Werte für JWT-Aussteller und JWT-Zielgruppe mit Ihrem IdP-Administrator.
Details zum Schlüssel für die clientseitige Verschlüsselung
- Google Cloud-Projekt-ID: PROJECT_ID
- Google Cloud-Projektnummer: PROJECT_NUMBER
- Name des Cloud KMS-Schlüsselbunds: KEY_RING
- Standort des Cloud KMS-Schlüsselbunds: LOCATION
- Name des Cloud KMS-Schlüssels: KEY_NAME
- Schutzniveau des Cloud KMS-Schlüssels: muss entweder hsm oder hsm_single_tenant sein
- CHGWS-Basis-URL: Optional. Eine Liste von URLs, um die Schlüsselmigration zu aktivieren. Wenn Sie CHGWS zum ersten Mal für diesen Google Workspace einrichten, lassen Sie dieses Feld leer.
Zusätzliche Informationen
- Kundenname: Geben Sie den Kundennamen an.
- Erwartete Anzahl von Nutzern: Geben Sie die erwartete Anzahl von Nutzern in Ihrer Google Workspace-Instanz an.

CHGWS-Endpunkt in der clientseitigen Verschlüsselung von Google Workspace konfigurieren

Konfigurieren Sie die clientseitige Verschlüsselung von Google Workspace so, dass die CHGWS-URL verwendet wird, die beim Erstellen des CHGWS-Endpunkts generiert wurde. Folgen Sie der Anleitung unter Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten.

Endpunkte migrieren

CHGWS bietet die Flexibilität, Ihren Schlüsseldienst zu CHGWS zu verschieben oder von CHGWS zu verschieben. Wenn Sie eine CHGWS-Migration starten möchten, wenden Sie sich an Ihren Kundenbetreuer, um Unterstützung beim Senden einer Migrationsanfrage zu erhalten. Geben Sie in der Anfrage die folgenden Informationen an:

Endpunkt-ID: Die Endpunkt-ID von CHGWS.
CHGWS-Basis-URL: Eine Liste von URLs, um die CHGWS-Schlüssel migration zu aktivieren.
- Wenn Sie zu Cloud HSM für Google Workspace migrieren, geben Sie die Basis-URL jedes CHGWS-Endpunkts an, von dem Sie migrieren.
- Wenn Sie von Cloud HSM für Google Workspace migrieren, geben Sie die Basis-URL(s) des/der CHGWS-Endpunkts an, zu dem/denen Sie migrieren möchten.

Wenn Sie zwischen zwei verschiedenen Cloud HSM für Google Workspace-Endpunkten migrieren, senden Sie zwei separate Anfragen: eine vom vorherigen Endpunkt und die andere zum neuen Endpunkt.

Endpunkte löschen oder deaktivieren

Lösch- oder Deaktivierungsvorgänge für den Cloud HSM für Google Workspace-Endpunkt werden nicht direkt unterstützt. Sie können jedoch einen Cloud HSM für Google Workspace-Endpunkt deaktivieren, indem Sie alle unterstützenden Cloud KMS-Schlüsselversionen deaktivieren.

Führen Sie für jede Cloud KMS-Schlüsselversion, die den Endpunkt unterstützt, den folgenden Befehl aus:
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Ersetzen Sie Folgendes:
- KEY_VERSION: Die Version des Schlüssels, den Sie deaktivieren möchten, z. B. 1.
- KEY_RING: Der Name des Schlüsselbunds, z. B. CHGWS_KEY_RING.
- LOCATION: Der Standort, an dem Sie die Deaktivierung vornehmen möchten, z. B. us.
- KEY_NAME: Der Name des Schlüssels, z. B. CHGWS_KEY.

Endpunkte aktivieren

Wenn Sie einen CHGWS-Endpunkt deaktiviert haben, indem Sie alle Schlüsselversionen des unterstützenden Cloud KMS-Schlüssels deaktiviert haben, können Sie den CHGWS-Endpunkt wieder aktivieren. Wenn Sie den Endpunkt wieder aktivieren möchten, aktivieren Sie alle aktiven Versionen des unterstützenden Cloud KMS-Schlüssels mit dem folgenden gcloud CLI-Befehl:

Führen Sie für jede Cloud KMS-Schlüsselversion, die den Endpunkt unterstützt, den folgenden Befehl aus:
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Ersetzen Sie Folgendes:
- KEY_VERSION: Die Version des Schlüssels, den Sie aktivieren möchten, z. B. 1.
- KEY_RING: Der Name des Schlüsselbunds, z. B. CHGWS_KEY_RING.
- LOCATION: Der Standort, an dem Sie die Aktivierung vornehmen möchten, z. B. us.
- KEY_NAME: Der Name des Schlüssels, z. B. CHGWS_KEY.

Abrechnung für CHGWS verwalten

Die Abrechnung beginnt, sobald Sie den in Ihrer Einbindungsanfrage angeforderten CHGWS Endpunkt erhalten. Ab diesem Zeitpunkt fallen wiederkehrende Abogebühren für Cloud HSM für Google Workspace an, solange die Abrechnung für das Google Cloud Projekt aktiviert bleibt, auch wenn Sie den CHGWS-Endpunkt deaktivieren. In diesem Abschnitt wird erläutert, wie Sie die Gebühren für Cloud HSM für Google Workspace einstellen und wieder aufnehmen können.

Projektabrechnung deaktivieren/aktivieren

Sie können die Abrechnung deaktivieren für das Projekt, das Ihre Cloud KMS-Schlüssel für Cloud HSM für Google Workspace enthält. Wenn Sie die Abrechnung deaktivieren, funktionieren alle kostenpflichtigen Dienste im Projekt nicht mehr. Nachdem die Abrechnung auf Projektebene deaktiviert wurde, sollten die Gebühren für das Cloud HSM für Google Workspace-Abo innerhalb von 24 Stunden eingestellt werden.

Wenn Sie Cloud HSM für Google Workspace wieder verwenden möchten, können Sie die Abrechnung für das Projekt wieder aktivieren. Nachdem die Abrechnung wieder aktiviert wurde, werden die Abogebühren wieder erhoben und Ihr CHGWS-Endpunkt und Ihre Cloud KMS-Schlüssel funktionieren wieder normal.

Manuelle Deaktivierung oder Aktivierung anfordern

Wenn Sie den CHGWS-Endpunkt deaktivieren möchten, während andere Projektressourcen aktiv bleiben, senden Sie eine Anfrage ähnlich der Einbindungsanfrage. Geben Sie Google Workspace-Details, die CHGWS-Endpunkt-ID und andere relevante Details an und beschreiben Sie Ihre Anforderung. Die Bearbeitung manueller Tickets kann bis zu 48 Stunden dauern. Nachdem die Anfrage bearbeitet wurde, sollten die Abogebühren für Cloud HSM für Google Workspace innerhalb von 24 Stunden eingestellt werden.

Sie können den CHGWS-Endpunkt und die Abrechnung wieder aktivieren, indem Sie eine ähnliche Anfrage senden.

Projekt löschen oder wiederherstellen

Sie können das Projekt löschen, das Ihre Cloud KMS-Schlüssel für Cloud HSM für Google Workspace enthält. Wenn Sie ein Projekt löschen, werden alle Dienste im Projekt beendet. Sie können ein gelöschtes Projekt innerhalb von 30 Tagen nach dem Löschen wiederherstellen. Cloud KMS-Schlüssel im Projekt können jedoch nicht wiederhergestellt werden. Daher bleiben alle Dokumente und anderen Daten, die mit Schlüsseln im wiederhergestellten Projekt verschlüsselt wurden, dauerhaft kryptografisch gelöscht. Wenn Sie ein gelöschtes Projekt wiederherstellen, werden die Abogebühren für Cloud HSM für Google Workspace wieder erhoben, obwohl die Cloud KMS-Schlüssel nicht wiederhergestellt werden können.

Nächste Schritte

Weitere Informationen zu Cloud HSM für Google Workspace
Weitere Informationen zum Cloud Key Management Service.
Informationen zum Hinzufügen und Verwalten von Schlüsseldiensten für die clientseitige Verschlüsselung