本文將概略介紹單一租戶 Cloud HSM 的概念和功能。
單一租戶 Cloud HSM 可讓您建立及管理 Cloud HSM 的單一租戶執行個體。單一租戶 Cloud HSM 執行個體是硬體安全性模組 (HSM) 上專屬的分割區叢集,供您專用。每個執行個體提供的備援和高可用性,都與多租戶 Cloud HSM 相同。每個單一租戶 Cloud HSM 叢集會分布於所選區域內多個可用區的多個 HSM。每個分區都會以加密編譯方式與 HSM 上的其他分區隔離。
您可以授予或拒絕 Google 存取叢集,而執行個體管理員則負責管理叢集。執行個體管理員會使用仲裁核准模型控制執行個體,該模型依賴非對稱控制金鑰進行雙重驗證 (2FA)。您會在Google Cloud外部建立控制金鑰,因此 Google 永遠無法存取您的私密控制金鑰。
設定單一租戶 Cloud HSM 執行個體後,Cloud KMS 管理員就能建立單一租戶金鑰,開發人員也能像使用其他 Cloud HSM 金鑰一樣使用這些金鑰,完全不需要變更程式碼。
使用單一租戶 Cloud HSM 會產生費用。如要查看定價資訊,請參閱 Cloud KMS 定價。
以仲裁為基礎的驗證
單一租戶 Cloud HSM 會使用以仲裁為基礎的驗證機制,確保重要作業須經多位執行個體管理員核准。建立單一租戶執行個體前,您必須在 Cloud KMS 外部建立一組非對稱控制金鑰,並定義執行個體作業所需的核准次數。舉例來說,如果您的執行個體由五位管理員管理,您可以要求三位管理員核准執行個體上的每項維護作業。
需要法定人數驗證的操作分為三個階段:
提案:執行個體管理員提出作業提案,例如註冊新的控制項金鑰。提案會建立系統目前狀態的不可變快照。提案會在 24 小時後失效,且在核准的作業啟動前隨時可以取消。
核准:必須有規定數量的管理員使用專屬控制金鑰簽署驗證。每個已簽署的挑戰都代表核准作業的管理員。當簽署的驗證足夠時,執行個體管理員會上傳驗證,以核准提案。如果挑戰有效且提案未過期,提案就會獲得核准。
執行:提案獲得核准後,您可以在提案到期前執行提案中的作業。
單一租戶 Cloud HSM 功能
本節說明單一租戶 Cloud HSM 的核心功能。
執行個體管理
管理員會管理單一租戶 Cloud HSM 執行個體的生命週期。
- 建立執行個體:在單一區域中佈建新執行個體。建立程序需要設定法定人數驗證。
- 取得執行個體資訊:您可以查詢執行個體的中繼資料和設定。這項作業不需要法定人數驗證。
- 停用及啟用執行個體:您可以暫時停用執行個體,這會撤銷 Google 對分割區的存取權。您稍後可以啟用執行個體。這兩項作業都需要法定人數驗證。啟用執行個體後,
disableDate會從啟用作業開始重新計算,重設為 120 天。執行個體停用後,該執行個體中建立的所有金鑰都會無法使用,且所有嘗試使用這些金鑰的作業都會失敗。 - 重新整理執行個體:您必須定期重新整理執行個體,才能繼續使用。執行個體必須每 120 天或更短時間內重新整理一次。每個執行個體都有
disableDate,指出執行個體何時會逾期未重新整理。重新整理執行個體會將disableDate重設為自重新整理時起算的 120 天。這項操作需要法定人數驗證。 如果執行個體未在disableDate前重新整理,系統會自動停用。 - 刪除執行個體:您可以刪除執行個體。刪除執行個體後,系統會永久銷毀該執行個體中建立的所有金鑰。這項操作無法復原,且會造成資料遺失。除非您想加密銷毀使用執行個體中建立的金鑰加密的所有資料,否則請勿刪除執行個體。這項操作需要法定人數驗證。
金鑰管理
管理員擁有您用於法定人數驗證的控制金鑰。開發人員和其他資源擁有者會在執行個體中建立及使用加密編譯金鑰。
- 輪替管理員控制金鑰:管理員可以輪替管理仲裁成員的兩步驟驗證控制金鑰。這項操作需要仲裁驗證。
- 產生加密編譯金鑰:開發人員和資源擁有者可以建立防護等級為單一租戶 HSM 的
CryptoKey。這項作業不需要法定人數驗證。 - 執行加密編譯作業:建立金鑰後,儲存在單一租戶執行個體中的金鑰即可用於加密編譯作業,與任何其他 Cloud Key Management Service 金鑰無異。
單一租戶 Cloud HSM 的最佳做法
使用單一租戶 Cloud HSM 時,請遵循下列最佳做法:
- 專案防刪除鎖定:使用專案防刪除鎖定,保護含有有效單一租戶 Cloud HSM 執行個體的專案。如果刪除含有單一租戶 Cloud HSM 執行個體的專案,該執行個體中建立的金鑰將無法復原。
- 實體權杖:使用實體權杖保存執行個體管理員的私密雙重驗證金鑰。請妥善保管這些實體權杖。如果遺失多數金鑰,Google 無法協助您重新取得執行個體的存取權。由於執行個體必須定期更新,如果失去多數金鑰,執行個體最終會遭到停用。
- 備用金鑰:除了法定人數成員持有的金鑰外,請至少註冊一個備用 2FA 金鑰。將備用金鑰存放在安全的地方,以便在法定人數成員的金鑰遺失或遭竊時存取。
- 職責劃分:為執行個體管理員劃分職責。提案、核准和執行需要不同的 IAM 角色,應分配給至少兩個人,確保沒有人同時擁有這三種角色的權限。如果使用者擁有所有基礎權限,發生資料意外或蓄意遺失的風險就會提高。
- 金鑰發放:請務必將私密 2FA 金鑰安全發放給信任的使用者。任何個人都不應持有足夠的私密金鑰,以達到法定人數。如果使用者擁有的私密金鑰數量足夠,達到必要法定人數,意外或蓄意遺失資料的風險就會提高。
- 重新整理時間表:將重新整理單一租戶 Cloud HSM 執行個體納入持續維護程序。您必須監控每個執行個體的
disableDate,並在該時間前完成重新整理作業。由於執行個體重新整理作業需要獲得法定人數的核准,請務必提早提出重新整理作業提案,以便在disableDate前獲得核准並執行。