防護等級

本頁面會比較 Cloud KMS 支援的不同防護等級：

軟體: 防護等級為 SOFTWARE 的 Cloud KMS 金鑰，可用於在軟體中執行的加密編譯作業。Cloud KMS 金鑰可由 Google 產生或匯入。

多租戶硬體: 防護等級為 HSM 的 Cloud HSM 金鑰會儲存在 Google 擁有的硬體安全性模組 (HSM) 中。使用這些金鑰的加密編譯作業會在我們的 HSM 中執行。您可以像使用 Cloud KMS 金鑰一樣使用 Cloud HSM 金鑰。Cloud HSM 金鑰可由 Google 產生或匯入。
單一租戶硬體: 防護等級為 HSM_SINGLE_TENANT 的 Cloud HSM 金鑰會儲存在 Google 擁有的硬體安全性模組 (HSM) 中的單一租戶執行個體。您可以控管及管理單一租戶 Cloud HSM 執行個體，也就是您管理的專屬 HSM 分區叢集。使用這些金鑰的加密編譯作業會在我們的 HSM 中執行。您可以像使用 Cloud KMS 金鑰一樣，使用單一租戶 Cloud HSM 金鑰。單一租戶 Cloud HSM 金鑰可由 Google 產生或匯入。詳情請參閱「單一租戶 Cloud HSM」。

透過網際網路進行外部通話: 防護等級為 EXTERNAL 的 Cloud EKM 金鑰會產生並儲存在外部金鑰管理 (EKM) 系統中。Cloud EKM 會儲存額外的加密編譯資料和專屬金鑰的路徑，用於透過網際網路存取金鑰。
透過虛擬私有雲連線的外部系統: 保護層級為 EXTERNAL_VPC 的 Cloud EKM 金鑰會在外部金鑰管理 (EKM) 系統中產生及儲存。Cloud EKM 會儲存額外的加密素材，以及專屬金鑰的路徑，用於透過虛擬私有雲 (VPC) 網路存取金鑰。

具有上述所有保護等級的金鑰都具備下列功能：

將金鑰用於整合客戶自行管理的加密金鑰 (CMEK) 的Google Cloud 服務。

注意： 部分整合 CMEK 的服務不支援 Cloud EKM 金鑰。如要瞭解哪些整合 CMEK 的服務支援 Cloud EKM 金鑰，請參閱「CMEK 整合」。
搭配 Cloud KMS API 或用戶端程式庫使用金鑰，不必根據金鑰的保護層級編寫任何專用程式碼。
使用 Identity and Access Management (IAM) 角色控管金鑰存取權。
從 Cloud KMS 控制每個金鑰版本是否為「已啟用」或「已停用」。
稽核記錄會擷取重要作業。您可以啟用資料存取記錄功能。

軟體保護等級

Cloud KMS 會使用 BoringCrypto 模組 (BCM) 執行軟體金鑰的所有加密編譯作業。BCM 已通過 FIPS 140-2 驗證。Cloud KMS 軟體金鑰使用 BCM 通過 FIPS 140-2 第 1 級驗證的加密編譯基元。

軟體防護等級是最低廉的防護等級。如果用途沒有特定法規要求，需要較高的 FIPs 140-2 驗證等級，軟體金鑰就是不錯的選擇。

硬體防護等級

Cloud HSM 可協助您在Google Cloud中，對工作負載強制執行法規遵循。您也可以使用 Cloud HSM 產生加密金鑰，並在 FIPS 140-2 第 3 級驗證的 HSM 中執行密碼編譯作業。這項服務為全代管，因此您不必擔心管理 HSM 叢集會產生額外的費用，就能保護最機密的工作負載。Cloud HSM 會在 HSM 模組上提供抽象層。這項抽象化功能可讓您在 CMEK 整合或 Cloud KMS API/用戶端程式庫中使用金鑰，不必使用 HSM 專屬程式碼。

硬體金鑰版本較貴，但相較於軟體金鑰，可提供實質的安全防護效益。每個 Cloud HSM 金鑰都有認證聲明，內含金鑰的認證資訊。這項認證和相關聯的憑證鏈結可用於驗證聲明的真實性，以及金鑰和 HSM 的屬性。

單一租戶硬體防護等級

透過單一租戶 Cloud HSM，您可以在 Google 管理的 HSM 中，建立及管理自己的單一租戶 Cloud HSM 執行個體。每個執行個體都是 Google Cloud 區域中 HSM 上的專用分割區叢集。執行個體管理員擁有執行個體的管理控制權。

單一租戶 Cloud HSM 與多租戶 Cloud HSM 提供相同功能，但可額外享有加密編譯隔離的優勢，避免受到其他 Google Cloud 客戶影響。如要進一步瞭解所有 Cloud HSM 金鑰共用的功能，請參閱本頁稍早的「硬體保護層級」。

相較於多租戶 Cloud HSM，單一租戶 Cloud HSM 執行個體會產生額外費用。

外部防護等級

Cloud External Key Manager (Cloud EKM) 金鑰是指您在支援的外部金鑰管理 (EKM) 合作夥伴服務中管理，並在Google Cloud 服務和 Cloud KMS API 和用戶端程式庫中使用的金鑰。Cloud EKM 金鑰可由軟體或硬體支援，視您的 EKM 供應商而定。您可以在整合 CMEK 的服務中使用 Cloud EKM 金鑰，也可以使用 Cloud KMS API 和用戶端程式庫。

Cloud EKM 防護等級的費用最高。使用 Cloud EKM 金鑰時，您可以放心， Google Cloud 無法存取您的金鑰內容。

如要查看哪些整合 CMEK 的服務支援 Cloud EKM 金鑰，請參閱「CMEK 整合」一文，並套用「僅顯示與 EKM 相容的服務」篩選器。

透過網際網路的外部保護等級

您可以在 Cloud KMS 支援的所有位置透過網際網路使用 Cloud EKM 金鑰，但 nam-eur-asia1 和 global 除外。

虛擬私有雲外部保護層級

您可以在虛擬私有雲網路上使用 Cloud EKM 金鑰，提高外部金鑰的可用性。可用性提高後，Cloud EKM 金鑰和受其保護的資源就比較不會無法使用。

在 Cloud KMS 支援的大多數區域位置，您都可以透過虛擬私有雲網路使用 Cloud EKM 金鑰。無法在多區域位置，透過虛擬私有雲網路使用 Cloud EKM。

後續步驟

瞭解相容的服務，以便在 Google Cloud中使用金鑰。
瞭解單一租戶 Cloud HSM 防護等級，以及如何建立及管理單一租戶 Cloud HSM 執行個體。
瞭解如何建立金鑰環和建立加密金鑰。
瞭解如何匯入金鑰。
瞭解外部金鑰。
瞭解使用 Cloud EKM 的其他注意事項。