Nesta página, descrevemos cada tipo de recurso no Cloud KMS. Saiba mais sobre a hierarquia de recursos.
Chaves
Uma chave do Cloud KMS é um objeto nomeado que contém uma ou mais versões de chave, junto com os metadados da chave. Há uma chave em exatamente um keyring vinculado a um local específico.
É possível permitir e negar o acesso a chaves usando permissões e papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Não é possível gerenciar o acesso a uma versão de chave.
Desativar ou destruir uma chave também desativa ou destrói cada versão da chave.
As seções a seguir discutem as propriedades de uma chave.
Dependendo do contexto, as propriedades de uma chave são mostradas em um formato diferente.
- Ao usar a Google Cloud CLI ou a API Cloud Key Management Service, a propriedade é mostrada
como uma string de letras maiúsculas, como
SOFTWARE. - Ao usar o console do Google Cloud , a propriedade é mostrada como uma string com capitalização inicial, como Software.
Nas seções abaixo, cada formato é mostrado onde é apropriado.
Tipo
O tipo de uma chave determina se a chave é usada para operações criptográficas simétricas ou assimétricas.
Na criptografia ou assinatura simétrica, a mesma chave é usada para criptografar e descriptografar dados ou para assinar e verificar uma assinatura.
Na criptografia ou assinatura assimétrica, a chave consiste em uma chave pública e uma privada. Uma chave privada com a chave pública correspondente é chamada de par de chaves.
- A chave privada é um dado sensível e é necessária para descriptografar dados ou para assinatura, dependendo da finalidade configurada da chave.
- A chave pública não é considerada sensível e é necessária para criptografar dados ou verificar uma assinatura, dependendo da finalidade configurada da chave.
O tipo de chave é um componente da finalidade dela e não pode ser alterado depois que a chave é criada.
Finalidade
A finalidade de uma chave indica para que tipo de operações criptográficas ela pode ser usada, por exemplo, Criptografia/descriptografia simétrica ou Assinatura assimétrica. Você escolhe a finalidade ao criar a chave, e todas as versões de uma chave têm a mesma finalidade. A finalidade de uma chave não pode ser alterada depois que ela é criada. Para mais informações sobre finalidades de chave, consulte Finalidades de chave.
Nível de proteção
O nível de proteção de uma chave determina o ambiente de armazenamento dela em repouso. O nível de proteção é um dos seguintes:
- Software (
SOFTWARE) - HSM multilocatário (
HSM) - HSM de locatário único (
HSM_SINGLE_TENANT) - Externo (
EXTERNAL) - External_VPC (
EXTERNAL_VPC)
O nível de proteção de uma chave não pode ser alterado depois que ela é criada.
Versão principal
As chaves podem ter várias versões de chave ativas e habilitadas ao mesmo tempo. As chaves de criptografia simétrica têm uma versão principal, que é usada por padrão para criptografar dados se você não especificar uma versão.
Chaves assimétricas não têm versões principais. Você precisa especificar a versão ao usar a chave.
Para chaves simétricas e assimétricas, você pode usar qualquer versão de chave ativada para criptografar e descriptografar dados ou para assinar e validar assinaturas.
Versões de chave
Cada versão de uma chave contém o material de chave usado para criptografia ou assinatura. Cada
versão recebe um número, começando em 1. Fazer a rotação de uma chave cria uma nova versão. Saiba mais sobre a rotação de chaves.
Para descriptografar dados ou verificar uma assinatura, use a mesma versão de chave que foi usada para criptografar ou assinar os dados. Para encontrar o ID do recurso de uma versão de chave, consulte Como recuperar o ID do recurso de uma chave.
É possível desativar ou destruir versões de chaves individuais sem afetar outras versões. Também é possível desativar ou destruir todas as versões de uma determinada chave.
Não é possível controlar o acesso a versões de chaves de forma independente das permissões em vigor na chave. Conceder acesso a uma chave também concede acesso a todas as versões ativadas dela.
Por motivos de segurança, nenhum Google Cloud principal pode visualizar ou exportar o material bruto da chave criptográfica representado por uma versão de chave. Em vez disso, o Cloud KMS acessa o material de chave em seu nome.
As seções a seguir discutem as propriedades de uma versão de chave.
Estado
Cada versão de chave tem um estado que indica o status dela. Normalmente, o estado de uma chave é um dos seguintes:
- Ativado
- Desativada
- Programada para destruição
- Destruído
Uma versão de chave só pode ser usada quando está ativada. As versões de chave em qualquer estado que não sejam destruídas geram custos. Para mais informações sobre os estados das versões de chave e como elas podem transicionar entre eles, consulte Estados das versões de chave.
Algoritmo
O algoritmo de uma versão de chave determina como o material da chave é criado e os parâmetros necessários para operações criptográficas. As chaves simétricas e assimétricas usam algoritmos diferentes. A criptografia e a assinatura usam algoritmos diferentes.
Se você não especificar um algoritmo ao criar uma nova versão de chave, o algoritmo da versão anterior será usado.
Independentemente do algoritmo, o Cloud KMS usa criptografia probabilística, para que o mesmo texto simples criptografado duas vezes com a mesma versão de chave não retorne o mesmo texto cifrado.
Keyrings
Um keyring organiza chaves em um Google Cloud local específico e permite gerenciar o controle de acesso em grupos de chaves. O nome de um keyring não precisa ser exclusivo em um projeto Google Cloud , mas precisa ser exclusivo em um determinado local. Depois de criado, um keyring não pode ser excluído. Os keyrings não geram custos. Para conferir uma lista de locais disponíveis, consulte Locais do Cloud KMS.
Identificadores de chave
Um identificador de chave é um recurso do Cloud KMS que ajuda a abranger com segurança a separação de responsabilidades para criar novas chaves do Cloud KMS para CMEK usando a chave automática. A criação de um identificador de chave em um projeto de recurso aciona a criação de uma chave do Cloud KMS no projeto de chave para configuração de CMEK sob demanda.
Um identificador de chave contém uma referência à chave do Cloud KMS que foi criada. É possível recuperar o ID do recurso do Cloud KMS de uma chave criada pela chave automática do identificador de chave. Ferramentas de infraestrutura como código, como o Terraform, podem trabalhar com identificadores de chaves para gerenciar recursos protegidos por CMEK sem privilégios elevados.
Os identificadores de chave não ficam visíveis no console do Google Cloud , mas para usar o Autokey com a API REST ou o Terraform, é necessário trabalhar com eles. Para mais informações sobre como usar identificadores de chaves, consulte Criar recursos protegidos usando a chave automática do Cloud KMS.
Configurações do Autokey
Uma configuração do Autokey é um recurso no nível da pasta que define se o Autokey está ativado para a pasta. A configuração do Autokey também define qual projeto de chave é usado para chaves criadas pelo Autokey do Cloud KMS para proteger recursos nessa pasta. Ao ativar o Autokey, você cria ou atualiza uma configuração do Autokey na pasta de recursos. Para mais informações sobre o uso de configurações de chave automática, consulte Ativar a chave automática do Cloud KMS.
Conexões EKM
Uma conexão do EKM é um recurso do Cloud KMS que organiza as conexões da VPC com os EKMs locais em um localGoogle Cloud específico. Com uma conexão EKM, é possível se conectar a um gerenciador de chaves externo e usar as chaves dele em uma rede VPC. Depois da criação, não é possível excluir uma conexão do EKM. As conexões EKM não geram custos.
Como recuperar o ID de um recurso
Algumas chamadas de API e a CLI gcloud podem exigir que você faça referência a um keyring, uma chave ou uma versão de chave pelo ID de recurso, que é uma string que representa o nome totalmente qualificado CryptoKeyVersion. Os IDs de recursos são hierárquicos, semelhantes a um caminho de sistema de arquivos. O ID do recurso de uma chave também contém informações sobre o keyring e o local.
| Objeto | Formato de código do recurso |
|---|---|
| Keyring | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Chave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versão da chave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Identificador da chave | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Conexão EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Configuração do Autokey | folders/FOLDER_NUMBER/autopilotConfig |
Para saber mais, consulte Como conseguir um código de recurso do Cloud KMS.
Como organizar recursos
Ao planejar como organizar os recursos no seu projeto do Google Cloud Google Cloud, considere as regras de negócios e como você planeja gerenciar o acesso. É possível conceder acesso a uma única chave, a todas as chaves em um keyring ou a todas as chaves em um projeto. Os seguintes padrões de organização são comuns:
- Por ambiente, como
prod,testedevelop. - Por área de trabalho, como
payrollouinsurance_claims. - Por confidencialidade ou características dos dados, como
unrestricted,restricted,confidential,top-secret.
Ciclos de vida de recursos
Os keyrings, as chaves e as versões da chave não podem ser excluídos. Isso garante que o identificador de recurso de uma versão de chave seja exclusivo e sempre aponte para o material de chave original dessa versão, a menos que ele tenha sido destruído. É possível armazenar um número ilimitado de keyrings, chaves ativadas ou desativadas e versões de chave ativadas, desativadas ou destruídas. Para mais informações, consulte Preços e Cotas.
Para saber como destruir ou restaurar uma versão de chave, consulte Como destruir e restaurar versões de chave.
Depois de programar o encerramento de um Google Cloud projeto, não é possível acessar os recursos dele, incluindo os do Cloud KMS, a menos que você recupere o projeto seguindo as etapas para restaurar um projeto.
A seguir
- Criar uma chave.
- Saiba mais sobre permissões e papéis no Cloud KMS.