本文將概略說明如何使用 Cloud Key Management Service (Cloud KMS) 管理客戶管理的加密金鑰 (CMEK)。使用 Cloud KMS CMEK 可讓您擁有及控管用於保護Trusted Cloud by S3NS中靜態資料的金鑰。
CMEK 與 Google Cloud-powered encryption keys的比較
您建立的 Cloud KMS 金鑰是客戶管理金鑰。Trusted Cloud 使用您金鑰的服務會稱為CMEK 整合。 下列因素可區分 Trusted Cloud的預設靜態資料加密功能與客戶管理金鑰:
| 金鑰類型 | 由客戶自行管理 | Google Cloud-powered encryption key (Google 預設加密機制) |
|---|---|---|
可查看重要中繼資料 |
是 |
否 |
鍵的擁有權1 |
客戶 |
|
客戶,僅限手動控制 |
||
支援客戶自行管理金鑰的法規規定 |
是 |
否 |
共用車鑰 |
專屬於客戶 |
來自多位客戶的資料通常會受到共用金鑰加密金鑰 (KEK) 保護。 |
控制金鑰輪替 |
是 |
|
是 |
否 | |
是 |
否 |
|
透過加密技術實現邏輯資料分離 |
是 |
否 |
定價 |
因防護等級而異 | 免費 |
1:金鑰擁有者是指擁有金鑰權利的對象。您擁有的金鑰存取權受到嚴格限制,或是 Google 沒有存取權。
2 管理鍵包括下列工作:
- 建立金鑰。
- 選擇金鑰的防護等級。
- 指派金鑰管理權限。
- 控管金鑰存取權。
- 控管金鑰的使用情形。
- 設定及修改金鑰的輪替週期,或觸發金鑰輪替。
- 變更鍵狀態。
- 刪除金鑰版本。
3 控管鍵,是指設定控管鍵類型和使用方式、偵測差異,以及視需要規劃修正動作。您可以控制金鑰,但將金鑰管理工作委派給第三方。
使用 Google Cloud-powered encryption keys的預設加密機制
所有儲存在 Trusted Cloud 的靜態資料,都會透過強化版金鑰管理系統進行加密。這個系統與 Trusted Cloud 加密自家資料時使用的系統相同,這些金鑰管理系統提供嚴格的金鑰存取控管和稽核機制,並使用 AES-256 加密標準加密靜態使用者資料。 Trusted Cloud 擁有並控管用於加密資料的金鑰。您無法查看或管理這些金鑰,也無法查看金鑰使用記錄。來自多位客戶的資料可能會使用相同的金鑰加密金鑰 (KEK)。不需要進行設定、調整或管理。
由客戶管理的加密金鑰 (CMEK)
客戶管理的加密金鑰是您擁有的加密金鑰。這項功能可讓您進一步控管用於在支援的 Trusted Cloud 服務中加密靜態資料的金鑰,並為資料提供加密範圍。
支援 CMEK 的服務會提供 CMEK 整合功能。CMEK 整合是伺服器端加密技術,可取代Trusted Cloud的預設加密功能。設定 CMEK 後,資源服務代理程式會處理加密和解密資源的作業。由於整合了 Cloud KMS 的服務會處理加密資源的存取權,因此加密和解密作業可在透明化情況下進行,不必由使用者操作。存取資源的體驗類似於使用 Trusted Cloud的預設加密功能。如要進一步瞭解 CMEK 整合服務,請參閱「CMEK 整合服務提供的服務」。
每個金鑰可以使用無限的金鑰版本。
如要瞭解服務是否支援 CMEK,請參閱支援的服務清單。
使用 Cloud KMS 時,您需要支付與金鑰版本數量和這些金鑰版本的加密作業相關的費用。
使用客戶自行管理的加密金鑰時機
您可以在相容服務中使用 CMEK,達成下列目標:擁有加密金鑰。
控管及管理加密金鑰,包括選擇位置、保護等級、建立、存取控制、輪替、使用和銷毀。
在 Cloud KMS 中產生金鑰內容,或匯入在 Trusted Cloud以外維護的金鑰內容。
設定金鑰的使用地點政策。
在離職或因應安全性事件 (加密碎片) 時,選擇性刪除由金鑰保護的資料。
建立及使用專屬於客戶的金鑰,為資料建立加密邊界。
符合現行或未來法規要求的任何目標。
CMEK 整合服務提供的內容
與 Trusted Cloud的預設加密方式一樣,CMEK 是伺服器端的對稱封套加密客戶資料。與 Trusted Cloud的預設加密功能不同,CMEK 保護措施會使用客戶控管的金鑰。
已整合 CMEK 的 Cloud 服務會使用您在 Cloud KMS 中建立的金鑰來保護資源。
與 Cloud KMS 整合的服務會使用對稱加密。
您可以選擇金鑰的防護等級。
所有金鑰都是 256 位元的 AES-GCM。
金鑰內容一律不會離開 Cloud KMS 系統範圍。
對稱金鑰會用於在封套加密模型中進行加密和解密。
使用 CMEK 整合服務處理資源存取權
在整合 CMEK 的服務中建立或查看資源的使用者,不需要為用於保護資源的 CMEK 使用 Cloud KMS CryptoKey 加密者/解密者 (roles/cloudkms.cryptoKeyEncrypterDecrypter)。
每個專案資源都有一個特殊的服務帳戶,稱為服務代理,可使用客戶自行管理的金鑰執行加密和解密作業。授予服務代理 CMEK 存取權後,該服務代理就會使用該金鑰保護您選取的資源。
如果要求者想存取使用客戶自行管理金鑰加密的資源,服務代理會自動嘗試解密要求的資源。如果服務代理人有權使用金鑰解密,且您未停用或銷毀金鑰,服務代理人就會提供金鑰的加密和解密用途。否則要求就會失敗。
不需要額外的請求者存取權,而且由於服務代理會在背景處理加密和解密作業,因此使用者存取資源的體驗與使用 Trusted Cloud的預設加密功能相似。
規劃及建立 CMEK
使用 CMEK 時,您必須先規劃並建立金鑰環、金鑰和資源位置,才能建立受保護的資源。 接著,您可以使用金鑰保護資源。
如要瞭解啟用 CMEK 的具體步驟,請參閱相關Trusted Cloud 服務的說明文件。部分服務 (例如 GKE) 提供多個 CMEK 整合功能,可保護與該服務相關的不同類型資料。您可能需要按照下列步驟操作:
建立 Cloud KMS 金鑰環或選擇現有的金鑰環。建立鑰匙圈時,請選擇地理位置靠近您要保護的資源的位置。金鑰環可以與所保護的資源位於相同專案,也可以位於不同的專案。使用不同的專案可讓您更有效地控管 IAM 角色,並有助於實施職責區隔。
您可以在所選金鑰環中建立或匯入 Cloud KMS 金鑰。這個金鑰就是 CMEK。
您將 CMEK 的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予服務的服務帳戶。建立資源時,請將資源設為使用 CMEK。舉例來說,您可以設定 BigQuery 資料表,保護資料表中靜態資料。
如要讓要求者存取資料,他們不需要直接存取 CMEK。
只要服務代理人具有 CryptoKey 加密者/解密者角色,服務就能加密及解密資料。如果您撤銷這個角色,或是停用或刪除 CMEK,就無法存取該資料。
CMEK 法規遵循
部分服務已整合 CMEK,可讓您自行管理金鑰。部分服務則提供 CMEK 相容性,也就是說,暫時性資料和暫時性金鑰絕不會寫入磁碟。如需整合和符合規範的服務完整清單,請參閱「CMEK 相容服務」。
CMEK 組織政策
Trusted Cloud 提供機構政策限制,有助於確保機構資源的 CMEK 使用情形一致。這些限制可讓機構管理員強制使用 CMEK,並指定用於 CMEK 保護的 Cloud KMS 金鑰的限制和控制項,包括:
後續步驟
- 請參閱支援 CMEK 整合的服務清單。
- 請參閱符合 CMEK 規範的服務清單。
- 請參閱Autokey 支援的服務清單。