查看加密指标

Cloud Key Management Service (Cloud KMS) 会显示有关加密密钥的指标，这些密钥用于保护静态数据。这些指标显示了资源的保护方式，以及密钥是否符合推荐的做法。这些指标主要关注用于保护集成 CMEK 的服务中的资源的客户管理的加密密钥 (CMEK)。本指南介绍了如何查看项目的加密指标，并帮助您了解这些指标对组织安全状况的意义。

如需详细了解使用 CMEK 保护 资源的最佳实践，请参阅有关使用 CMEK的最佳实践。 Google Cloud

准备工作

1. 如需获得查看加密指标所需的权限，请让您的管理员为您授予项目或父级资源的Cloud KMS Viewer (roles/cloudkms.viewer) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

   您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。

2. 向 Cloud KMS 组织服务代理 授予 Cloud KMS 组织服务代理 角色：

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   如果您跳过此步骤，加密指标 信息中心 可能会显示不完整的信息。例如，当您查看 加密指标时，PROJECT_A中受PROJECT_B中的密钥保护的资源 不会包含在指标中。PROJECT_A

查看加密指标

如需查看加密指标，请按照以下步骤操作：

1. 在 Google Cloud 控制台中，前往 密钥管理 页面。

   前往 Key Management

2. 点击概览 标签页，然后点击加密指标 。

3. 使用项目选择器选择一个项目。信息中心会显示该项目中资源和密钥的以下加密指标：

   • 此项目中不同保护类型的资源和资源 保护类型（按服务）图表显示了CMEK 覆盖范围摘要 指标。
   • 符合密钥使用推荐做法 图表显示了密钥对齐摘要指标；您还可以查看密钥对齐详情。

查看密钥一致性详情

如需查看项目中的密钥列表并了解这些密钥符合哪些推荐做法，请按照以下步骤操作：

1. 在加密指标 页面上，找到符合密钥使用推荐做法 图表。

2. 可选：如需仅关注 Cloud KMS Autokey 创建的密钥，请点击 Cloud KMS (Autokey) 标签页。如需仅关注手动创建的密钥，请点击 Cloud KMS (Manual) 标签页。

3. 如需查看密钥列表并了解这些密钥是否符合每项推荐做法，请点击代表该类别的部分，然后点击查看 。

   符合密钥使用推荐做法 页面列出了所选项目中的 Cloud KMS 密钥，并显示了每个密钥是否符合 或不符合 每项建议。如需详细了解密钥符合或不符合建议的含义，请参阅本文档中的密钥一致性。

4. 可选：如需过滤密钥列表，请在 filter_list 过滤条件 框中输入搜索字词，然后 按 Enter 键。例如，您可以过滤列表，使其仅显示符合 粒度 建议的密钥。

了解加密指标

加密指标信息中心使用 Cloud Asset Inventory 服务来收集有关资源和 Cloud KMS 密钥的信息。信息中心会使用最新的可用数据按需计算指标。

信息中心会显示两个主要类别的指标：CMEK 覆盖范围和密钥一致性。这两个指标都会显示包含聚合信息的摘要视图，以及包含资源或密钥的表格列表的详细视图。

CMEK 覆盖范围

此项目中不同保护类型的资源 和资源保护类型（按服务） 图表中的 CMEK 覆盖范围指标显示了有多少资源受到 CMEK 的保护。此指标会查看支持 CMEK 集成和 Cloud KMS 密钥跟踪的资源。资源分为以下几类：

• Google 管理的加密：受 Google 默认 加密保护的资源。
• Cloud KMS（手动）：受您手动创建和 管理的 CMEK 保护的资源。
• Cloud KMS (Autokey)：受 Autokey 服务预配和 分配的 CMEK 保护的资源。

CMEK 覆盖范围指标会针对整个项目显示，并按与每个受保护资源关联的服务进行细分。您可以使用此信息来评估所选项目中有多少资源在使用 Google 默认加密，而这些资源本可以使用 CMEK。

如需查看支持的资源类型列表，请参阅 跟踪的资源类型。

密钥一致性

符合密钥使用推荐做法 图表中的密钥一致性指标显示了 Cloud KMS 密钥是否符合以下推荐的安全做法：

• 轮替周期：密钥已设置适当的轮替周期。
• 粒度：密钥保护的资源位于一个项目中，并且属于一项服务。
• 职责分离：只有服务账号有权使用密钥进行加密 和解密。
• 位置：密钥仅保护位于同一 Cloud 位置的资源。

密钥一致性指标包括所选项目中的所有 Cloud KMS 对称加密密钥，即使这些密钥未用于保护集成 CMEK 的服务中的资源也是如此。这些指标是针对密钥而不是密钥版本进行评估的。 例如，没有有效密钥版本的密钥仍可能显示为符合 这些推荐做法中的任何一项或全部。

以下部分详细介绍了每种做法。

细化程度

密钥的 粒度 是指密钥预期用途的规模和范围。密钥可以具有很高的细化程度，仅保护单个资源，也可以具有较低的细化程度，保护许多资源。使用细化程度较低的密钥会增加安全事件（包括未经授权的访问和意外数据丢失）的潜在影响。

一般来说，我们建议采用以下粒度策略：

• 每个密钥保护单个位置（例如 us-central1）中的资源。
• 每个密钥保护单个服务或产品（例如 BigQuery）中的资源。
• 每个密钥保护单个 Google Cloud 项目中的资源。

此建议可能不是组织理想的细化程度策略。对于大多数组织来说，此策略在维护许多细化程度很高的密钥的开销与使用在许多项目、服务或资源之间共享的细化程度较低的密钥的潜在风险之间取得了良好的平衡。

使用 Cloud KMS Autokey 创建的密钥遵循此建议。

如果密钥保护的所有资源都位于同一位置、服务和项目中，则项目中的每个密钥都被视为符合 此建议。如果密钥保护的资源位于两个或多个位置、服务或项目中，则该密钥被视为不符合 此建议。

如果您的密钥不符合此建议，请考虑调整密钥细化程度策略是否适合您的组织。如需详细了解密钥细化程度的推荐做法，请参阅 选择密钥细化程度策略。

位置

在大多数情况下，与集成 CMEK 的服务搭配使用的 Cloud KMS 密钥 必须与它们保护的资源位于完全相同的 Google Cloud 区域或多区域 中。不过，少数服务允许对此规则进行例外处理。

如果密钥保护的所有资源都位于与密钥相同的位置（例如，us-central1 中的密钥保护 us-central1 中的资源），则项目中的每个密钥都被视为符合 此建议。区域密钥可以保护同一 区域内的地区资源，例如，us-central1 中的密钥保护 us-central1a 中的资源。

如果密钥保护不同区域或多区域中的资源（例如， 多区域中的密钥保护 Compute Engine 磁盘在 us-central1 区域），则该密钥被视为不符合 此建议。us

如果您的密钥不符合此建议，请考虑移动或替换资源或密钥，使其位于同一位置。 如需详细了解位置，请参阅 Cloud KMS 位置。

轮替

定期轮替密钥是信息安全的一个重要方面。例如，某些标准要求您按照特定时间表轮替密钥。 保护敏感工作负载的密钥可能需要更频繁地轮替。 Cloud KMS 允许您为密钥设置自动密钥轮替，以帮助确保遵循您选择的时间表。

如果密钥已设置轮替时间表，则项目中的每个密钥都被视为符合 此建议。如果密钥未设置为自动密钥轮替，则该密钥被视为不符合 。

如需启用自动轮替，您可以执行以下任一操作：

• 手动创建具有自定义轮替 时间表的新密钥。
• 在创建新资源时使用 Cloud KMS Autokey。 Cloud KMS Autokey 创建的密钥的默认轮替周期为一年，但可以在创建密钥后更改轮替周期。
• 更新现有密钥以添加轮替时间表。

职责分离

职责分离是一种安全做法，旨在避免向用户或其他正文授予过多权限。在 Cloud KMS 和 CMEK 集成方面，这意味着维护 Cloud KMS 密钥的用户不应有权使用这些密钥，而使用密钥加密和解密资源的正文对密钥没有其他权限。

如果满足以下两个条件，则项目中的每个密钥都被视为符合 此建议：

• 受保护资源的服务帐号是唯一对密钥具有 cloudkms.cryptoKeyVersions.useToEncrypt 和 cloudkms.cryptoKeyVersions.useToDecrypt 权限的正文。
• 受保护资源的服务帐号没有授予对密钥的密钥管理权限的角色，包括 roles/cloudkms.admin、roles/editor 和 roles/owner。

如果服务帐号具有管理权限，或者另一个正文具有加密或解密权限，则该密钥被视为不符合 。

如果您的密钥不符合此建议，请查看密钥和其他 Cloud KMS 资源的 IAM 角色和权限，并移除不需要的角色和权限授予。如需详细了解 Cloud KMS 角色及其包含的权限 ，请参阅权限和角色。如需详细了解如何查看和移除 Cloud KMS 资源上的 IAM 角色，请参阅使用 IAM 进行访问权限控制。

限制

加密指标 信息中心具有以下限制：

• 信息中心一次显示一个项目的指标。
• 信息中心对每个项目的资源或密钥数量限制为 10,000 个。如果您的项目包含超过 10,000 个密钥，或者项目中的密钥保护超过 10,000 个资源，则只会显示部分指标。
• 信息中心依赖于 Cloud Asset Inventory 服务中的数据。如果 Cloud Asset Inventory 中的任何数据已过时，信息中心可能会显示不准确或不完整的信息。
• 信息中心仅考虑对称密钥的密钥一致性和 CMEK 覆盖范围。
• 信息中心仅考虑 支持密钥使用情况跟踪的资源。
• 密钥一致性指标不会区分以下密钥：作为 CMEK 保护可跟踪资源而处于活跃使用状态的密钥、处于活跃使用状态以用于其他用例的密钥，以及没有有效密钥版本的密钥。例如，密钥一致性数据可能包含用于自定义应用的密钥。
• 当密钥一致性数据包含保护不可跟踪资源和自定义应用的密钥时，这些密钥的一致性详情可能不准确。例如，在多个项目中的多个自定义应用中使用的密钥可能会显示为符合 密钥粒度建议，即使它不符合也是如此。

后续步骤

• 详细了解密钥使用情况跟踪。
• 详细了解客户管理的加密 密钥的最佳实践。