Cloud KMS Autokey מפשט את התהליך של יצירה ושימוש במפתחות הצפנה בניהול הלקוח (CMEK) באמצעות אוטומציה של הקצאת משאבים והקצאת הרשאות. עם Autokey, אוספי מפתחות ומפתחות נוצרים לפי דרישה. חשבונות שירות שמשתמשים במפתחות כדי להצפין ולפענח משאבים נוצרים ומקבלים תפקידים של ניהול זהויות והרשאות גישה (IAM) לפי הצורך. לאדמינים של Cloud KMS יש שליטה מלאה במפתחות שנוצרו על ידי Autokey, והם יכולים לראות אותם בלי לתכנן מראש וליצור כל משאב. השימוש ב-Autokey פשוט יותר מאשר הקצאת מפתחות באופן עצמאי, והוא הבחירה המומלצת אם המפתחות שנוצרו על ידי Autokey עומדים בכל הדרישות שלכם.
שימוש במפתחות שנוצרו על ידי Autokey יכול לעזור לכם לעמוד באופן עקבי בתקנים המקובלים בתעשייה ובשיטות המומלצות לאבטחת נתונים, כולל רמת ההגנה של Cloud HSM מרובה הדיירים, הפרדת תפקידים, רוטציית מפתחות, מיקום ומפרט מפתח. Autokey יוצר מפתחות שעומדים בהנחיות כלליות ובהנחיות ספציפיות לסוג המשאב עבור שירותיםCloud de Confiance שמשולבים עם Cloud KMS Autokey. אחרי שהמפתחות נוצרים, הם פועלים בדיוק כמו מפתחות אחרים של Cloud HSM עם אותן הגדרות.
בנוסף, Autokey יכול לפשט את השימוש ב-Terraform לניהול מפתחות, ולבטל את הצורך בהרצת תשתית כקוד עם הרשאות מוגברות ליצירת מפתחות.
אפשר להשתמש ב-Autokey עם מודל מרכזי לניהול מפתחות (זמינות כללית) או עם מודל מבוזר לניהול מפתחות (תצוגה מקדימה). כדי להשתמש במודל המרכזי לניהול מפתחות, צריך משאב מסוג 'ארגון' שמכיל משאב מסוג 'תיקייה'. במודל המרכזי, Autokey מופעל בפרויקטים בתוך תיקייה, ומפתחות שנוצרו על ידי Autokey נוצרים בפרויקט מפתח ייעודי לאותה תיקייה. במודל ניהול המפתחות עם הרשאות מוגבלות, ניהול המפתחות מוקצה לאדמינים של הפרויקט, שיכולים להפעיל את Autokey בתיקייה או בפרויקט כדי לאפשר ל-Autokey ליצור מפתחות באותו פרויקט כמו המשאבים שהם מגנים עליהם.
מידע נוסף על משאבי ארגון ותיקיות זמין במאמר היררכיית המשאבים.
התכונה 'הקצאת מפתחות אוטומטית' ב-Cloud KMS זמינה בכל Cloud de Confiance המיקומים שבהם Cloud HSM זמין. מידע נוסף על מיקומים ב-Cloud KMS מופיע במאמר מיקומים ב-Cloud KMS. אין עלות נוספת לשימוש ב-Cloud KMS Autokey. המחיר של מפתחות שנוצרו באמצעות Autokey זהה למחיר של כל מפתח אחר ב-Cloud HSM. מידע נוסף על התמחור זמין במאמר תמחור של Cloud Key Management Service.
איך Autokey עובד
בקטע הזה מוסבר איך פועל Cloud KMS Autokey. התפקידים הבאים של המשתמשים משתתפים בתהליך הזה:
- מנהל מערכת
- האדמין הוא משתמש שאחראי על ניהול האבטחה ברמת התיקייה או הארגון.
- מפתח Autokey
- מפתח Autokey הוא משתמש שאחראי ליצירת משאבים באמצעות Cloud KMS Autokey.
- אדמין של Cloud KMS
- אדמין Cloud KMS הוא משתמש שאחראי לניהול משאבי Cloud KMS. כשהמפתחות נוצרים באופן אוטומטי, התפקיד הזה כולל פחות אחריות מאשר כשהמפתחות נוצרים באופן ידני.
גם נציגי השירות הבאים משתתפים בתהליך הזה:
- סוכן שירות של Cloud KMS
- סוכן השירות של Cloud KMS בפרויקט מפתח נתון. התכונה Autokey תלויה בסוכן השירות הזה, שצריכות להיות לו הרשאות מורחבות כדי ליצור מפתחות ואוספי מפתחות ב-Cloud KMS, ולהגדיר מדיניות IAM במפתחות, וכך להעניק הרשאות הצפנה ופענוח לכל סוכן שירות של משאב.
- סוכן שירות משאבים
- סוכן השירות של שירות מסוים בפרויקט משאבים מסוים. לסוכן השירות הזה צריכות להיות הרשאות הצפנה ופענוח לכל מפתח Cloud KMS לפני שהוא יכול להשתמש במפתח הזה להגנה באמצעות CMEK על משאב. Autokey יוצר את סוכן השירות של המשאב כשצריך, ומעניק לו את ההרשאות הנדרשות לשימוש במפתח Cloud KMS.
האדמין מפעיל את Cloud KMS Autokey
הפעלת Autokey מתבצעת באחת מהדרכים הבאות, בהתאם למודל לניהול מפתחות שבחרתם:
- מודל מרכזי לניהול מפתחות: הפעלת Autokey בתיקייה. פרויקט מרכזי של מפתחות נוצר כדי להכיל את המפתחות שמגנים על משאבים שנוצרו בפרויקטים אחרים בתיקייה.
- מודל ניהול מפתחות עם הרשאות גישה (בגרסת Preview): אתם יכולים להפעיל את Autokey בפרויקטים ספציפיים או בכל הפרויקטים בתיקייה כדי להשתמש ב-Autokey באותו פרויקט.
הפעלת ניהול מפתחות מרכזי
כדי להשתמש ב-Autokey לניהול מרכזי של מפתחות בתיקייה, האדמין צריך להשלים את משימות ההגדרה הבאות, שמתבצעות רק פעם אחת:
מפעילים את Cloud KMS Autokey בתיקייה ומזהים את פרויקט Cloud KMS שיכיל את משאבי Autokey עבור התיקייה הזו.
יוצרים את סוכן השירות של Cloud KMS ואז מעניקים לו הרשאות ליצירת מפתחות ולהקצאתם.
אחרי השלמת ההגדרה הזו, מפתחים שיכולים ליצור משאבים שתואמים ל-Autokey בכל פרויקט בתיקייה הזו יכולים להפעיל יצירה של מפתח Cloud HSM מרובה-דיירים לפי דרישה. הוראות מלאות להגדרה של Cloud KMS Autokey מופיעות במאמר הפעלת Cloud KMS Autokey.
הפעלת ניהול מפתחות בהרשאת גישה
כדי להשתמש ב-Autokey לניהול מפתחות בהרשאת גישה, האדמין צריך להשלים את משימות ההגדרה החד-פעמיות הבאות:
- מפעילים את Cloud KMS Autokey בפרויקט או בתיקייה.
- מפעילים את Cloud KMS API בפרויקט או בפרויקטים בתיקייה.
כשמפעילים את Cloud KMS Autokey בפרויקט לניהול מפתחות בהרשאת משנה, סוכן השירות של Cloud KMS נוצר בשבילכם כשצריך. לא צריך ליצור את סוכן השירות באופן ידני. כל משתמש שיש לו הרשאות ליצור משאב שתואם ל-Autokey יכול לבקש מפתח חדש לפי דרישה. הוראות מלאות להגדרה של Cloud KMS Autokey מופיעות במאמר הפעלת Cloud KMS Autokey.
מפתחים של Autokey משתמשים ב-Cloud KMS Autokey
אחרי שמפעילים את Autokey בפרויקט, מפתחי Autokey יכולים ליצור משאבים שמוגנים באמצעות מפתחות שנוצרו עבורם לפי דרישה. ההגדרה הזו חלה על פרויקטים בתיקייה שבה Autokey מופעל לניהול מפתחות מרכזי, ועל פרויקטים שבהם Autokey מופעל לניהול מפתחות מוקצה באותו פרויקט. הפרטים של תהליך יצירת המשאבים תלויים במשאב שיוצרים, אבל התהליך מתבצע לפי השלבים הבאים:
מפתח Autokey מתחיל ליצור משאב בשירותCloud de Confiance תואם. במהלך יצירת משאב, המפתח מבקש מפתח חדש מסוכן השירות של Autokey.
סוכן השירות של Autokey מקבל את הבקשה של המפתח ומשלים את השלבים הבאים:
- יוצרים אוסף מפתחות בפרויקט במיקום שנבחר, אלא אם אוסף המפתחות הזה כבר קיים.
- יוצרים מפתח באוסף המפתחות עם רמת הפירוט המתאימה לסוג המשאב, אלא אם מפתח כזה כבר קיים.
- יוצרים את חשבון השירות לכל פרויקט ולכל שירות, אלא אם חשבון השירות הזה כבר קיים.
- נותנים לחשבון השירות הרשאות הצפנה ופענוח של מפתח לכל פרויקט ולכל שירות.
- מעבירים למפתח את הפרטים העיקריים כדי שהוא יוכל לסיים את יצירת המשאב.
אחרי שהסוכן של שירות Autokey מחזיר את הפרטים החשובים, המפתח יכול לסיים מיד את יצירת המשאב המוגן.
Cloud KMS Autokey יוצר מפתחות עם המאפיינים שמתוארים בקטע הבא. תהליך יצירת המפתח הזה שומר על הפרדת תפקידים. לאדמין של Cloud KMS עדיין יש שליטה מלאה במפתחות שנוצרו על ידי Autokey וגישה לכל המידע שקשור אליהם.
כדי להתחיל להשתמש ב-Autokey אחרי שמפעילים אותו, אפשר לעיין במאמר יצירת משאבים מוגנים באמצעות Cloud KMS Autokey.
מידע על מפתחות שנוצרו על ידי Autokey
למפתחות שנוצרו על ידי Cloud KMS Autokey יש את המאפיינים הבאים:
- רמת הגנה: HSM.
- אלגוריתם: AES-256 GCM.
תקופת הרוטציה: שנה אחת.
אחרי שמפתח נוצר על ידי Autokey, אדמין של Cloud KMS יכול לערוך את תקופת הרוטציה מברירת המחדל.
- הפרדת תפקידים:
- לחשבון השירות של השירות מוענקות באופן אוטומטי הרשאות הצפנה ופענוח במפתח.
- הרשאות האדמין ב-Cloud KMS חלות כרגיל על מפתחות שנוצרו על ידי Autokey. אדמינים של Cloud KMS יכולים להציג, לעדכן, להפעיל או להשבית מפתחות שנוצרו על ידי Autokey, וגם להשמיד אותם. לא ניתנות למנהלי מערכת של Cloud KMS הרשאות הצפנה ופענוח.
- מפתחי Autokey יכולים לבקש רק יצירה והקצאה של מפתחות. הם לא יכולים לראות את המפתחות או לנהל אותם.
- ספציפיות או גרנולריות של המפתח: למפתחות שנוצרו על ידי Autokey יש גרנולריות שמשתנה בהתאם לסוג המשאב. פרטים ספציפיים לשירות על רמת הגרנולריות של המפתח מפורטים בקטע שירותים תואמים בדף הזה.
מיקום: Autokey יוצר מפתחות באותו מיקום שבו נמצא המשאב שרוצים להגן עליו.
אם אתם צריכים ליצור משאבים שמוגנים באמצעות CMEK במיקומים שבהם Cloud HSM לא זמין, אתם צריכים ליצור את ה-CMEK באופן ידני.
- מצב גרסת המפתח: מפתחות חדשים שנוצרו באמצעות Autokey נוצרים כגרסת המפתח הראשית במצב מופעל.
- שמות של אוספי מפתחות: כל המפתחות שנוצרים על ידי Autokey נוצרים באוסף מפתחות שנקרא
autokeyבפרויקט Autokey במיקום שנבחר. מחזיקי מפתחות בפרויקט Autokey נוצרים כשמפתח Autokey מבקש את המפתח הראשון במיקום נתון. - מתן שמות למפתחות: מפתחות שנוצרו על ידי Autokey מקבלים שמות לפי המוסכמה הבאה:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - ייצוא מפתחות: כמו כל המפתחות ב-Cloud KMS, אי אפשר לייצא מפתחות שנוצרו על ידי Autokey.
- מעקב אחרי מפתחות: כמו כל המפתחות של Cloud KMS שמשמשים בשירותים משולבים של CMEK שתואמים למעקב אחרי מפתחות, המפתחות שנוצרו על ידי Autokey מתועדים בלוח הבקרה של Cloud KMS.
אכיפה של Autokey
אם רוצים לאכוף את השימוש ב-Autokey בתיקייה או בפרויקט, אפשר לעשות זאת באמצעות שילוב של אמצעי בקרה לגישת IAM עם מדיניות הארגון ל-CMEK. השיטה הזו פועלת על ידי הסרת הרשאות ליצירת מפתחות מבעלי הרשאה שאינם סוכן השירות של Autokey, ולאחר מכן דרישה שכל המשאבים יהיו מוגנים על ידי CMEK באמצעות פרויקט המפתחות של Autokey. הוראות מפורטות לאכיפת השימוש ב-Autokey זמינות במאמר אכיפת השימוש ב-Autokey.
שירותים תואמים
בטבלה הבאה מפורטים שירותים שתואמים ל-Cloud KMS Autokey:
| שירות | משאבים מוגנים | רמת הפירוט של המפתחות |
|---|---|---|
| Artifact Registry |
Autokey יוצר מפתחות במהלך יצירת המאגר, שמשמשים לכל הארטיפקטים המאוחסנים. |
מפתח אחד לכל משאב |
| BigQuery |
Autokey יוצר מפתחות ברירת מחדל למערכי נתונים. טבלאות, מודלים, שאילתות וטבלאות זמניות בתוך מערך נתונים משתמשים במפתח ברירת המחדל של מערך הנתונים. Autokey לא יוצר מפתחות למשאבי BigQuery מלבד מערכי נתונים. כדי להגן על משאבים שלא נכללים במערך נתונים, צריך ליצור מפתחות ברירת מחדל משלכם ברמת הפרויקט או ברמת הארגון. |
מפתח אחד לכל משאב |
| Bigtable |
Autokey יוצר מפתחות לאשכולות. Autokey לא יוצר מפתחות למשאבי Bigtable שאינם אשכולות. Bigtable תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או Google Cloud SDK. |
מפתח אחד לכל אשכול |
| AlloyDB ל-PostgreSQL |
AlloyDB ל-PostgreSQL תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או ה-API בארכיטקטורת REST. |
מפתח אחד לכל משאב |
| Cloud Run |
|
מפתח אחד לכל מיקום בפרויקט |
| Cloud SQL |
Autokey לא יוצר מפתחות למשאבי Cloud SQL
Cloud SQL תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST. |
מפתח אחד לכל משאב |
| Cloud Storage |
אובייקטים בקטגוריית אחסון משתמשים במפתח ברירת המחדל של הקטגוריה. Autokey לא יוצר מפתחות למשאבי |
מפתח אחד לכל קטגוריה |
| Compute Engine |
קובצי Snapshot משתמשים במפתח של הדיסק שיוצרים לו קובץ Snapshot.
Autokey לא יוצר מפתחות למשאבי |
מפתח אחד לכל משאב |
| Memorystore for Redis |
Memorystore for Redis תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST. |
מפתח אחד לכל משאב |
| Pub/Sub |
|
מפתח אחד לכל משאב |
| Secret Manager |
Secret Manager תואם ל-Cloud KMS Autokey רק כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST. |
מפתח אחד לכל מיקום בפרויקט |
| Secure Source Manager |
|
מפתח אחד לכל משאב |
| Spanner |
Spanner תואם רק ל-Cloud KMS Autokey כשיוצרים משאבים באמצעות Terraform או API בארכיטקטורת REST. |
מפתח אחד לכל משאב |
| Dataflow |
|
מפתח אחד לכל משאב |
| Managed Service for Apache Spark |
|
למשאבים מסוג Cluster, SessionTemplate ו-WorkflowTemplate: מפתח אחד לכל משאב למשאבי Batch ו-Session: מפתח אחד לכל מיקום בפרויקט |
מגבלות
- ה-CLI של gcloud לא זמין למשאבי Autokey.
- ידיות מפתחות לא נמצאות במאגר משאבי הענן.
המאמרים הבאים
- כדי להתחיל להשתמש ב-Cloud KMS Autokey, אדמינים צריכים להפעיל את Cloud KMS Autokey.
- כדי להשתמש ב-Cloud KMS Autokey אחרי שמפעילים אותו, מפתחים יכולים ליצור משאבים שמוגנים באמצעות CMEK באמצעות Autokey.
- שיטות מומלצות לשימוש ב-CMEK