单租户 Cloud HSM 概览

本文档简要介绍了单租户 Cloud HSM 的概念和功能。

借助单租户 Cloud HSM,您可以创建和管理 Cloud HSM 的单租户实例。单租户 Cloud HSM 实例是硬件安全模块 (HSM) 上的一组专用分区,供您独占使用。每个实例都提供与多租户 Cloud HSM 相同的冗余和高可用性。每个单租户 Cloud HSM 集群都分布在所选区域内多个可用区的多个 HSM 中。每个分区都以加密方式与 HSM 上的其他分区隔离。

您可以授予或拒绝 Google 对集群的访问权限,并且您的实例管理员可以管理集群。实例管理员使用基于非对称控制密钥的法定人数审批模型来控制实例,以进行双重身份验证 (2FA)。您可以在Google Cloud之外创建控制密钥,这样 Google 就永远无法访问您的私有控制密钥。

配置单租户 Cloud HSM 实例后,Cloud KMS 管理员可以创建单租户密钥,开发者可以像使用任何其他 Cloud HSM 密钥一样使用这些密钥,而无需更改任何代码。

使用单租户 Cloud HSM 会产生费用。如需了解价格信息,请参阅 Cloud KMS 价格

基于法定人数的身份验证

单租户 Cloud HSM 使用基于法定人数的身份验证,以确保关键操作获得多个实例管理员的批准。在创建单租户实例之前,您必须在 Cloud KMS 之外创建一组非对称控制密钥,并定义对该实例执行操作所需的审批次数。例如,如果您的实例由 5 位管理员管理,您可以要求 3 位管理员批准对该实例执行的每项维护操作。

需要多数人身份验证的操作分为三个阶段:

  1. 提案:实例管理员提出一项操作,例如注册新的控制密钥。提案会创建系统当前状态的不可变快照。提案会在 24 小时后过期,并且可以在批准的操作开始之前随时取消。

  2. 审批:必须有规定数量的管理员使用其唯一控制密钥对质询进行签名。每个已签名的质询都表示一位批准该操作的管理员。当准备好足够多的签名质询后,实例管理员会上传这些质询以批准提案。如果质询有效且提案未过期,则提案获得批准。

  3. 执行:提案获得批准后,但在过期之前,您可以运行提案中的操作。

单租户 Cloud HSM 功能

本部分介绍了单租户 Cloud HSM 的核心功能。

实例管理

管理员会管理单租户 Cloud HSM 实例的生命周期。

  • 创建实例:您可以在单个区域中预配新实例。创建过程需要您设置法定人数身份验证。
  • 获取实例信息:您可以查询实例的元数据和配置。此操作不需要进行法定人数身份验证。
  • 停用和启用实例:您可以暂时停用实例,这会撤消 Google 对分区的访问权限。您也可以稍后启用实例。这两项操作都需要进行多数人身份验证。启用实例后,disableDate 会重置为自启用操作起 120 天。 当实例处于停用状态时,该实例中创建的所有密钥都不可用,并且尝试使用这些密钥的所有操作都会失败。
  • 刷新实例:您必须定期刷新实例,才能确保其可用性。实例必须每 120 天或更短时间刷新一次。每个实例都有一个 disableDate,用于指示实例何时会因未刷新而过期。刷新实例会将 disableDate 重置为自刷新时起 120 天。此操作需要法定人数身份验证。 如果实例未在 disableDate 之前刷新,系统会自动将其停用。
  • 删除实例:您可以删除实例。删除实例会永久销毁在该实例中创建的所有密钥。这是一项破坏性操作,无法撤消。除非您想对使用在实例中创建的密钥加密的所有数据进行密钥销毁,否则请勿删除实例。此操作需要法定人数身份验证。

密钥管理

您的管理员拥有您用于法定人数身份验证的控制密钥。您的开发者和其他资源所有者可以在您的实例中创建和使用加密密钥。

  • 轮替管理员控制密钥:管理员可以轮替管理仲裁成员的 2FA 控制密钥。此操作需要法定人数身份验证。
  • 生成加密密钥:开发者和资源所有者可以创建保护级别为单租户 HSM 的 CryptoKey。此操作不需要进行多数身份验证。
  • 执行加密操作:创建单租户实例后,存储在其中的密钥可用于加密操作,就像任何其他 Cloud Key Management Service 密钥一样。

Single-Tenant Cloud HSM 最佳实践

使用单租户 Cloud HSM 时,请遵循以下最佳实践:

  • 项目安全锁:使用项目安全锁来保护包含有效单租户 Cloud HSM 实例的项目。如果您删除包含单租户 Cloud HSM 实例的项目,则该实例中创建的密钥将无法恢复。
  • 实体令牌:使用实体令牌来保存实例管理员的私密双重身份验证密钥。请妥善存储这些实体令牌。如果您丢失了足够数量的密钥,Google 将无法帮助您重新获得对实例的访问权限。由于实例必须定期更新,因此丢失足够数量的密钥最终会导致实例被停用。
  • 备用密钥:除了法定人数成员持有的密钥之外,至少注册一个备用双重身份验证密钥。将备份密钥保存在安全的位置,以便在法定人数成员的密钥丢失或被盗时访问这些密钥。
  • 职责分离:确保实例管理员的职责分离。提案、审批和执行需要不同的 IAM 角色,这些角色应分配给至少两个人,以便没有任何一个人拥有所有这三个角色的权限。如果个人拥有所有底层权限,则意外或有意丢失数据的风险会更高。
  • 密钥分发:确保您的私密双重身份验证密钥安全地分发给可信的个人。任何个人都不应持有足够多的私钥来达到法定人数。如果某个人有权访问足够多的私钥,达到所需的法定人数,则意外或故意丢失数据的风险会更高。
  • 刷新时间表:将刷新单租户 Cloud HSM 实例纳入您正在进行的维护程序中。您必须监控每个实例的 disableDate,并在该时间之前完成刷新操作。刷新实例需要获得法定人数的批准,因此请务必尽早提议刷新操作,以便在 disableDate 之前获得批准并执行。

后续步骤