查看加密指標

Cloud Key Management Service (Cloud KMS) 會顯示加密金鑰的指標，這些金鑰可保護靜態資料。這些指標會顯示資源的保護方式，以及金鑰是否符合建議做法。這些指標主要著重於用來保護 CMEK 整合式服務中資源的客戶自行管理的加密金鑰 (CMEK)。本指南說明如何查看專案的加密指標，並協助您瞭解這些指標對貴機構安全狀態的意義。

如要進一步瞭解使用 CMEK 保護 Google Cloud中資源的建議做法，請參閱「使用 CMEK 的最佳做法」。

事前準備

1. 如要取得查看加密指標所需的權限，請要求管理員授予您專案或父項資源的 Cloud KMS 檢視者 (roles/cloudkms.viewer) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

   您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

2. 將 Cloud KMS 組織服務代理角色授予 Cloud KMS 組織服務代理：

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   如果略過這個步驟，加密指標資訊主頁可能會顯示不完整的資訊。舉例來說，當您查看 PROJECT_A 的加密指標時，PROJECT_B 中受 PROJECT_A 金鑰保護的資源不會納入指標。

查看加密指標

如要查看加密指標，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Key Management」頁面。

   前往「金鑰管理」

2. 按一下「總覽」分頁標籤，然後按一下「加密指標」。

3. 使用專案選擇工具選取專案。資訊主頁會顯示該專案中資源和金鑰的下列加密指標：

   • 「這項專案中各保護類型的資源」和「各服務的資源保護類型」圖表會顯示 CMEK 涵蓋範圍摘要指標。
   • 「金鑰使用方式是否符合建議做法」圖表會顯示主要一致性摘要指標，您也可以查看主要一致性詳細資料。

查看金鑰使用方式是否符合建議做法

如要查看專案中的金鑰清單，並瞭解這些金鑰符合哪些建議做法，請按照下列步驟操作：

1. 在「加密指標」頁面中，找到「金鑰使用方式是否符合建議做法」圖表。

2. 選用：如要只查看 Cloud KMS Autokey 建立的金鑰，請按一下「Cloud KMS (Autokey)」分頁標籤。如要只查看手動建立的金鑰，請按一下「Cloud KMS (手動)」分頁標籤。

3. 如要查看金鑰清單，並瞭解金鑰是否符合各項建議做法，請按一下代表類別的部分，然後點選「查看」。

   「金鑰使用方式是否符合建議做法」頁面會列出所選專案中的 Cloud KMS 金鑰，並顯示每項金鑰是否符合或不符合各項建議。如要進一步瞭解金鑰「已對齊」或「未對齊」建議的意義，請參閱本文中的「金鑰對齊」一節。

4. 選用：如要篩選金鑰清單，請在「filter_list」filter_list「Filter」(篩選器) 方塊中輸入搜尋字詞，然後按下 Enter 鍵。舉例來說，您可以篩選清單，只顯示與「細部程度」建議「一致」的索引鍵。

瞭解加密指標

加密指標資訊主頁會使用 Cloud Asset Inventory 服務，收集資源和 Cloud KMS 金鑰的相關資訊。資訊主頁會使用最新可用資料，依需求計算指標。

資訊主頁會顯示兩大類指標：CMEK 涵蓋範圍和金鑰對齊。這兩項指標都會顯示匯總資訊的摘要檢視畫面，以及資源或金鑰的表格清單詳細檢視畫面。

CMEK 涵蓋範圍

「這項專案中各保護類型的資源」和「各服務的資源保護類型」圖表中的 CMEK 涵蓋範圍指標，會顯示有多少資源受到 CMEK 保護。這項指標會查看支援 CMEK 整合和 Cloud KMS 金鑰追蹤的資源。資源分為下列類別：

• Google 代管的加密金鑰：受 Google 預設加密機制保護的資源。
• Cloud KMS (手動)：由您手動建立及管理的 CMEK 保護的資源。
• Cloud KMS (Autokey)：由 Autokey 服務佈建及指派的 CMEK 保護資源。

系統會顯示專案整體的 CMEK 涵蓋範圍指標，並依與各受保護資源相關聯的服務細分。您可以根據這項資訊，評估所選專案中有多少資源使用 Google 預設加密機制，但其實可以使用 CMEK。

如需支援的資源類型清單，請參閱「追蹤的資源類型」。

金鑰對齊

「金鑰使用方式是否符合建議做法」圖表中的金鑰一致性指標，會顯示您的 Cloud KMS 金鑰是否符合下列建議的安全做法：

• 輪替週期：金鑰已設定適當的輪替週期。
• 精細度：金鑰會保護一個專案中屬於一項服務的資源。
• 職責分離：只有服務帳戶有權使用金鑰加密及解密。
• 位置：金鑰只會保護位於相同雲端位置的資源。

金鑰對齊指標會納入所選專案中的所有 Cloud KMS 對稱加密金鑰，即使這些金鑰未用於保護 CMEK 整合服務中的資源也一樣。這些指標是針對金鑰評估，而非金鑰版本。 舉例來說，即使金鑰沒有任何有效版本，仍可能顯示為「符合」任何或所有建議做法。

以下各節將進一步說明這些做法。

精細程度

「細微程度」是指金鑰預期用途的規模和範圍。金鑰可以非常精細，只保護單一資源，也可以較不精細，保護多個資源。使用較不精細的金鑰會增加安全事件的潛在影響，包括未經授權的存取和意外資料遺失。

一般來說，我們建議採用下列精細度策略：

• 每把金鑰都會保護單一位置的資源，例如 us-central1。
• 每個金鑰都會保護單一服務或產品中的資源，例如 BigQuery。
• 每組金鑰都會保護單一 Google Cloud 專案中的資源。

這項建議可能不是貴機構最理想的精細度策略。對大多數機構而言，這項策略可妥善平衡維護許多精細金鑰的額外負擔，以及在多個專案、服務或資源之間共用精細度較低的金鑰時，可能產生的風險。

使用 Cloud KMS Autokey 建立的金鑰會遵循這項建議。

如果專案中的金鑰所保護的資源都位於相同位置、服務和專案中，則該金鑰會被視為與這項建議一致。如果金鑰保護的資源位於兩個以上的地點、服務或專案，系統就會判定該金鑰不符合這項建議。

如果您的索引鍵不符合這項建議，請考慮調整索引鍵細微程度策略是否適合貴機構。如要進一步瞭解金鑰精細程度的建議做法，請參閱「選擇金鑰精細程度策略」。

位置

在大多數情況下，搭配 CMEK 整合式服務使用的 Cloud KMS 金鑰，必須位於受保護資源所在的 Google Cloud 區域或多重區域。不過，部分服務允許例外情況。

如果專案中的金鑰所保護的資源都位於與金鑰相同的位置 (例如 us-central1 中的金鑰保護 us-central1 中的資源)，則該金鑰會視為符合這項建議。地區金鑰可保護同一地區內的區域資源，例如 us-central1 中的金鑰可保護 us-central1a 中的資源。

如果金鑰保護不同區域或多區域中的資源 (例如 us 多區域中的金鑰保護 us-central1 區域中的 Compute Engine 磁碟)，則該金鑰會被視為「未與這項建議保持一致」。

如果金鑰不符合這項建議，請考慮移動或替換資源/金鑰，確保兩者位於相同位置。如要進一步瞭解位置，請參閱「Cloud KMS 位置」。

輪替

定期輪替金鑰是資訊安全的重要環節。舉例來說，部分標準規定您必須按照特定時間表輪替金鑰。保護機密工作負載的金鑰可能需要更頻繁地輪替。 Cloud KMS 可讓您為金鑰設定自動輪替功能，確保系統會按照您選擇的時間表輪替金鑰。

如果專案中的每個金鑰都已設定輪替時間表，則會視為「符合」這項建議。如果金鑰未設定自動輪替，則視為「未對齊」。

如要啟用自動輪替功能，請採取下列任一做法：

• 手動建立新金鑰，並自訂輪替時間表。
• 建立新資源時使用 Cloud KMS Autokey。 Cloud KMS Autokey 建立的金鑰預設輪替週期為一年，但金鑰建立後可以變更輪替週期。
• 更新現有機碼，新增輪替時間表。

權責劃分

職責分離是一種安全做法，旨在避免授予使用者或其他主體過多權限。在 Cloud KMS 和 CMEK 整合的環境中，這表示維護 Cloud KMS 金鑰的使用者不應具備使用這些金鑰的權限，而使用金鑰加密及解密資源的主體，則不應具備金鑰的其他權限。

如果符合下列兩項條件，專案中的每個鍵都會視為與這項建議「一致」：

• 受保護資源的服務帳戶是唯一對金鑰具有 cloudkms.cryptoKeyVersions.useToEncrypt 和 cloudkms.cryptoKeyVersions.useToDecrypt 權限的主體。
• 受保護資源的服務帳戶沒有可授予金鑰管理權限的角色，包括 roles/cloudkms.admin、roles/editor 和 roles/owner。

如果服務帳戶具備管理權限，或是其他主體具備加密或解密權限，金鑰就會視為「未對齊」。

如果金鑰不符合這項建議，請檢查金鑰和其他 Cloud KMS 資源的 IAM 角色和權限，並移除不需要的角色和權限授權。如要進一步瞭解 Cloud KMS 角色和相關權限，請參閱「權限和角色」。如要進一步瞭解如何查看及移除 Cloud KMS 資源的 IAM 角色，請參閱「使用 IAM 控管存取權」。

限制

「加密指標」資訊主頁有下列限制：

• 資訊主頁一次只會顯示一個專案的指標。
• 每個專案最多只能有 10,000 個資源或金鑰。如果專案包含超過 10,000 個金鑰，或專案中的金鑰保護超過 10,000 項資源，系統只會顯示部分指標。
• 這個資訊主頁會使用 Cloud Asset Inventory 服務的資料。如果 Cloud Asset Inventory 中的任何資料過時，資訊主頁可能會顯示不正確或不完整的資訊。
• 資訊主頁只會將對稱式金鑰納入金鑰對齊和 CMEK 涵蓋範圍的考量。
• 資訊主頁只會考量支援金鑰用量追蹤的資源。
• 金鑰對齊指標不會區分以下金鑰：做為 CMEK 保護可追蹤資源的金鑰、用於其他用途的金鑰，以及沒有有效金鑰版本的金鑰。舉例來說，您的金鑰對齊資料可能包含用於自訂應用程式的金鑰。
• 如果金鑰對齊資料包含保護無法追蹤資源和自訂應用程式的金鑰，這些金鑰的對齊詳細資料可能不準確。舉例來說，如果某個金鑰用於多個專案的多個自訂應用程式，即使不符合金鑰細微程度建議，仍可能顯示為「已對齊」。

後續步驟

• 進一步瞭解金鑰使用情形追蹤功能。
• 進一步瞭解客戶管理的加密金鑰最佳做法。