查看加密指标

Cloud Key Management Service (Cloud KMS) 会显示有关保护静态数据的加密密钥的指标。这些指标显示了资源的受保护情况，以及密钥是否符合推荐做法。这些指标主要侧重于用于保护集成 CMEK 的服务中的资源的客户管理的加密密钥 (CMEK)。本指南将介绍如何查看项目的加密指标，并帮助您了解这些指标对组织安全状况的意义。

如需详细了解有关使用 CMEK 保护 Google Cloud中资源的最佳实践，请参阅有关使用 CMEK 的最佳实践。

准备工作

1. 如需获得查看加密指标所需的权限，请让您的管理员为您授予项目或父级资源的 Cloud KMS Viewer (roles/cloudkms.viewer) IAM 角色。 如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

   您也可以通过自定义角色或其他预定义角色来获取所需的权限。

2. 向 Cloud KMS Organization Service Agent 授予 Cloud KMS Organization Service Agent 角色：

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   如果您跳过此步骤，加密指标信息中心可能会显示不完整的信息。例如，当您查看 PROJECT_A 的加密指标时，PROJECT_A 中密钥所保护的 PROJECT_B 中的资源不会包含在这些指标中。

查看加密指标

如需查看加密指标，请按以下步骤操作：

1. 在 Google Cloud 控制台中，前往密钥管理页面。

   前往 Key Management

2. 点击概览标签页，然后点击加密指标。

3. 使用项目选择器选择一个项目。信息中心会显示相应项目中资源和密钥的以下加密指标：

   • 此项目中不同保护类型的资源图表和资源保护类型（按服务）图表显示了 CMEK 覆盖率摘要指标。
   • 符合密钥使用推荐做法图表会显示关键对齐情况摘要指标；您还可以查看关键对齐情况的详细信息。

查看密钥合规详情

如需查看项目中的密钥列表并了解这些密钥符合哪些推荐做法，请按以下步骤操作：

1. 在加密指标页面上，找到符合密钥使用推荐做法图表。

2. 可选：如需仅关注 Cloud KMS Autokey 创建的密钥，请点击 Cloud KMS (Autokey) 标签页。如需仅关注手动创建的密钥，请点击 Cloud KMS（手动）标签页。

3. 如需查看密钥列表并了解它们是否符合每项推荐的做法，请点击代表相应类别的部分，然后点击查看。

   符合密钥使用推荐做法页面会列出所选项目中的 Cloud KMS 密钥，并显示每个密钥是否符合或不符合每项建议。如需详细了解密钥对于建议而言是对齐还是未对齐，请参阅本文档中的密钥对齐。

4. 可选：如需过滤密钥列表，请在 filter_list 过滤条件框中输入搜索字词，然后按 Enter 键。例如，您可以过滤列表，使其仅显示与粒度建议对齐的键。

了解加密指标

加密指标信息中心使用 Cloud Asset Inventory 服务来收集有关您的资源和 Cloud KMS 密钥的信息。信息中心会使用最新的可用数据按需计算指标。

信息中心会显示两大类指标：CMEK 覆盖率和关键对齐情况。这两种指标均显示包含汇总信息的摘要视图，以及包含资源或键的表格列表的详细视图。

CMEK 覆盖范围

此项目中不同保护类型的资源图表和资源保护类型（按服务）图表中的 CMEK 覆盖率指标显示了有多少资源受到 CMEK 的保护。此指标会查看支持 CMEK 集成和 Cloud KMS 密钥跟踪的资源。资源分为以下几类：

• Google 管理的加密：受 Google 默认加密保护的资源。
• Cloud KMS（手动）：受您手动创建和管理的 CMEK 保护的资源。
• Cloud KMS (Autokey)：受 Autokey 服务预配和分配的 CMEK 保护的资源。

系统会显示整个项目的 CMEK 覆盖率指标，并按与每个受保护资源关联的服务细分这些指标。您可以利用此信息来评估所选项目中有多少资源在使用 Google 默认加密，但本可以使用 CMEK。

如需查看支持的资源类型列表，请参阅跟踪的资源类型。

密钥对齐

符合密钥使用推荐做法图表中的密钥一致性指标显示了您的 Cloud KMS 密钥是否符合以下推荐的安全做法：

• 轮替周期：密钥已设置适当的轮替周期。
• 精细度：密钥保护一个项目中属于一项服务的资源。
• 职责分离：只有服务账号有权使用密钥进行加密和解密。
• 位置：密钥仅保护位于同一云位置的资源。

密钥对齐指标包括所选项目中的所有 Cloud KMS 对称加密密钥，即使这些密钥未用于保护集成 CMEK 的服务中的资源也是如此。这些指标是针对密钥而非密钥版本进行评估的。 例如，即使某个密钥没有有效的密钥版本，对于这些推荐的做法中的任何一项或所有项，该密钥仍可能显示为已对齐。

以下部分详细介绍了每种实践。

细化程度

密钥的粒度是指密钥预期用途的规模和范围。密钥可以非常精细，仅保护单个资源；也可以不太精细，保护多个资源。使用粒度较低的密钥会增加安全事件（包括未经授权的访问和意外数据丢失）的潜在影响。

一般来说，我们建议采用以下粒度策略：

• 每个密钥都用于保护单个位置（例如 us-central1）中的资源。
• 每个密钥都用于保护单个服务或产品（例如 BigQuery）中的资源。
• 每个密钥都用于保护单个 Google Cloud 项目中的资源。

此建议可能不是贵组织的理想粒度策略。对于大多数组织而言，此策略可在维护许多精细度较高的密钥的开销与使用在许多项目、服务或资源之间共享的精细度较低的密钥的潜在风险之间取得良好的平衡。

使用 Cloud KMS Autokey 创建的密钥遵循此建议。

如果项目中的每个密钥所保护的资源都位于同一位置、服务和项目中，则该密钥被视为与此建议保持一致。如果密钥保护的资源位于两个或更多位置、服务或项目中，则该密钥被视为与此建议不一致。

如果您的密钥与此建议不一致，请考虑调整密钥粒度策略是否适合您的组织。如需详细了解有关密钥粒度的建议做法，请参阅选择密钥粒度策略。

位置

在大多数情况下，与 CMEK 集成服务搭配使用的 Cloud KMS 密钥必须位于其保护的资源所在的 Google Cloud 区域或多区域中。不过，少数服务允许对此规则进行例外处理。

如果项目中的每个密钥所保护的资源都位于与该密钥相同的位置，则该密钥被视为与此建议一致。例如，位于 us-central1 中的密钥保护 us-central1 中的资源。区域密钥可以保护同一区域内的可用区资源，例如，us-central1 中的密钥可以保护 us-central1a 中的资源。

如果密钥保护的是其他区域或多区域中的资源，则该密钥被视为与此建议不一致。例如，us 多区域中的密钥保护的是 us-central1 区域中的 Compute Engine 磁盘。

如果您的密钥不符合此建议，请考虑移动或替换资源或密钥，使其位于同一位置。如需详细了解位置，请参阅 Cloud KMS 位置。

轮替

定期轮替密钥是信息安全的一个重要方面。例如，某些标准要求您按特定时间表轮换密钥。用于保护敏感工作负载的密钥可能需要更频繁地轮替。 Cloud KMS 允许您为密钥设置自动密钥轮替，以帮助确保遵循您选择的轮替时间表。

如果项目中的每个密钥都设置了轮换时间表，则该密钥被视为与此建议保持一致。如果密钥未设置为自动轮替，则视为未对齐。

如需启用自动轮替，您可以执行以下任一操作：

• 手动创建具有自定义轮替时间表的新密钥。
• 在创建新资源时使用 Cloud KMS Autokey。 由 Cloud KMS Autokey 创建的密钥的默认轮替周期为一年，但可以在创建密钥后更改轮替周期。
• 更新现有密钥以添加轮替时间表。

职责分离

职责分离是一种安全实践，旨在避免向用户或其他正文授予过多的权限。在 Cloud KMS 和 CMEK 集成方面，这意味着维护 Cloud KMS 密钥的用户不应拥有使用这些密钥的权限，而使用这些密钥来加密和解密资源的委托人对这些密钥没有其他权限。

如果满足以下两个条件，则项目中的每个密钥都被视为与此建议一致：

• 受保护资源的服务账号是唯一对密钥具有 cloudkms.cryptoKeyVersions.useToEncrypt 和 cloudkms.cryptoKeyVersions.useToDecrypt 权限的主账号。
• 受保护资源的服务账号没有授予密钥管理权限的角色，包括 roles/cloudkms.admin、roles/editor 和 roles/owner。

如果服务账号具有管理权限，或者其他主账号具有加密或解密权限，则密钥会被视为未对齐。

如果您的密钥不符合此建议，请查看密钥和其他 Cloud KMS 资源上的 IAM 角色和权限，并移除不需要的角色和权限授予。如需详细了解 Cloud KMS 角色及其包含的权限，请参阅权限和角色。如需详细了解如何在 Cloud KMS 资源上查看和移除 IAM 角色，请参阅使用 IAM 进行访问权限控制。

限制

加密指标信息中心具有以下限制：

• 信息中心一次只显示一个项目的指标。
• 每个项目的资源或密钥数量上限为 1 万个。如果您的项目包含 1 万个以上的密钥，或者项目中的密钥保护 1 万个以上的资源，则系统只会显示部分指标。
• 该信息中心依赖于 Cloud Asset Inventory 服务中的数据。如果 Cloud Asset Inventory 中的任何数据已过时，信息中心可能会显示不准确或不完整的信息。
• 该信息中心仅考虑对称密钥的密钥对齐和 CMEK 覆盖范围。
• 信息中心仅考虑支持密钥使用情况跟踪的资源。
• 密钥对齐指标不会区分以下密钥：作为 CMEK 保护可跟踪资源而处于有效使用状态的密钥、处于有效使用状态的其他用途的密钥，以及没有有效密钥版本的密钥。例如，您的关键帧对齐数据可能包含用于自定义应用的键。
• 如果密钥对齐数据包含用于保护无法跟踪的资源和自定义应用的密钥，则这些密钥的对齐详情可能不准确。例如，在多个项目中的多个自定义应用中使用的密钥可能显示为与密钥粒度建议一致，即使实际上并非如此。

后续步骤

• 详细了解密钥使用情况跟踪。
• 详细了解客户管理的加密密钥的最佳实践。