本文提供使用 Cloud Key Management Service (Cloud KMS) 管理客戶自行管理的加密金鑰 (CMEK) 的總覽。使用 Cloud KMS CMEK,您就能擁有及控管用來保護Cloud de Confiance by S3NS靜態資料的金鑰。
比較 CMEK 和 Google Cloud-powered encryption keys
您建立的 Cloud KMS 金鑰是客戶管理金鑰。使用您金鑰的Cloud de Confiance 服務稱為具有 CMEK 整合。 下列因素可區分 Cloud de Confiance的預設待機加密與客戶管理金鑰:
| 驗證碼類型 | 客戶自行管理 | Google Cloud-powered encryption key (Google 預設加密機制) |
|---|---|---|
可查看重要中繼資料 |
是 |
否 |
金鑰擁有權1 |
客戶 |
|
客戶,僅限手動控制 |
||
支援客戶管理金鑰的法規要求 |
是 |
否 |
車鑰共用 |
客戶專屬 |
多位客戶的資料通常會受到共用金鑰加密金鑰 (KEK) 保護。 |
金鑰輪替控制項 |
是 |
|
是 |
否 | |
是 |
否 |
|
透過加密進行邏輯資料分離 |
是 |
否 |
定價 |
依防護等級而異 | 免費 |
1 金鑰擁有者:表示誰擁有金鑰的權利。您擁有的金鑰會受到嚴格的存取限制,或完全無法存取 Google 服務。
2 金鑰管理包括下列工作:
- 建立金鑰。
- 選擇金鑰的防護等級。
- 指派金鑰管理權限。
- 控管金鑰存取權。
- 控管金鑰的使用權限。
- 設定及修改金鑰的輪替週期,或觸發金鑰輪替。
- 變更金鑰狀態。
- 刪除金鑰版本。
3 控管按鍵是指設定按鍵類型和使用方式的控管機制、偵測差異,以及視需要規劃修正行動。您可以控管金鑰,但將金鑰管理權委派給第三方。
預設加密機制 Google Cloud-powered encryption keys
所有儲存在 Cloud de Confiance 的靜態資料,都會透過強化版金鑰管理系統進行加密。這個系統與 Cloud de Confiance 加密自家資料時使用的系統相同,這些金鑰管理系統具備嚴格的金鑰存取控管和稽核機制,並使用 AES-256 加密標準加密靜態使用者資料。 Cloud de Confiance 擁有並控管用於加密資料的金鑰。您無法查看或管理這些金鑰,也無法查看金鑰使用記錄。多位客戶的資料可能會使用相同的金鑰加密金鑰 (KEK)。不需要設定、配置或管理。
由客戶管理的加密金鑰 (CMEK)
客戶管理的加密金鑰是您擁有的加密金鑰。這項功能可讓您進一步控管用於加密支援服務中靜態資料的金鑰,並為資料提供加密範圍。 Cloud de Confiance
支援 CMEK 的服務會整合 CMEK。CMEK 整合是伺服器端加密技術,可取代Cloud de Confiance的預設加密功能。設定 CMEK 後,資源服務代理程式會處理資源的加密和解密作業。由於整合 CMEK 的服務會處理加密資源的存取權,因此加密和解密作業可以透明進行,不需要使用者費心。存取資源的體驗與使用 Cloud de Confiance的預設加密方式類似。如要進一步瞭解如何整合 CMEK,請參閱「CMEK 整合服務提供的功能」。
每個金鑰的金鑰版本數量不限。
如要瞭解服務是否支援 CMEK,請參閱支援的服務清單。
使用 Cloud KMS 會產生費用,費用與金鑰版本數量,以及使用這些金鑰版本執行的加密編譯作業有關。
何時該使用客戶自行管理的加密金鑰
您可以在相容服務中使用 CMEK,達成下列目標:擁有加密金鑰。
控管及管理加密金鑰,包括選擇位置、保護等級、建立、存取權控管、輪換、使用和銷毀。
在 Cloud KMS 中產生金鑰內容,或匯入在 Cloud de Confiance外部維護的金鑰內容。
設定金鑰使用地點的相關政策。
在停用服務或補救安全性事件 (加密清除) 時,選擇性刪除受金鑰保護的資料。
建立及使用專屬顧客的金鑰,在資料周圍建立加密界線。
記錄管理員和資料存取權,以加密金鑰。
符合現行或未來法規對這些目標的要求。
CMEK 整合服務提供的功能
與 Cloud de Confiance's 預設加密機制相同,CMEK 也是伺服器端、對稱式、信封式加密,可保護客戶資料。與 Cloud de Confiance's 預設加密方式不同,CMEK 保護措施會使用客戶控管的金鑰。
具有 CMEK 整合的雲端服務會使用您在 Cloud KMS 中建立的金鑰來保護資源。
與 Cloud KMS 整合的服務會使用對稱式加密。
您可以選擇金鑰的保護等級。
所有金鑰都是 256 位元的 AES-GCM。
金鑰內容絕不會離開 Cloud KMS 系統邊界。
在信封加密模型中,對稱金鑰用於加密和解密。
整合 CMEK 的服務會處理資源存取權
在整合 CMEK 的服務中建立或查看資源的主體,不需要用於保護資源的 CMEK Cloud KMS CryptoKey 加密者/解密者 (roles/cloudkms.cryptoKeyEncrypterDecrypter)。
每個專案資源都有一個稱為「服務代理程式」的特殊服務帳戶,可使用客戶自行管理的金鑰執行加密和解密作業。將 CMEK 存取權授予服務代理後,該服務代理就會使用該金鑰保護您選擇的資源。
如果要求者想存取使用客戶自行管理金鑰加密的資源,服務代理會自動嘗試解密要求的資源。如果服務代理人有權使用金鑰解密,且您尚未停用或銷毀金鑰,服務代理人就會提供金鑰的加密和解密功能。否則要求會失敗。
不需要額外的要求者存取權,且服務代理程式會在背景處理加密和解密作業,因此存取資源的使用者體驗與使用 Cloud de Confiance的預設加密方式類似。
規劃及建立 CMEK
使用 CMEK 時,您必須先規劃及建立金鑰環、金鑰和資源位置,才能建立受保護的資源。 接著,您可以使用這些金鑰保護資源。
如要瞭解啟用 CMEK 的確切步驟,請參閱相關Cloud de Confiance 服務的說明文件。部分服務 (例如 GKE) 具有多個 CMEK 整合功能,可保護與服務相關的不同類型資料。您可能需要按照下列類似步驟操作:
建立 Cloud KMS 金鑰環,或選擇現有的金鑰環。建立金鑰環時,請選擇與您要保護的資源地理位置相近的位置。金鑰環可以與您要保護的資源位於相同專案,也可以位於不同專案。使用不同專案可讓您進一步控管 IAM 角色,並協助支援授權區隔。
在所選金鑰環中建立或匯入 Cloud KMS 金鑰。這個金鑰就是 CMEK。
您要將 CMEK 的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予服務的服務帳戶。建立資源時,請將資源設為使用 CMEK。舉例來說,您可以設定 BigQuery 資料表,保護資料表中處於閒置狀態的資料。
要求者不需要直接存取 CMEK,即可存取資料。
只要服務代理人具備 CryptoKey Encrypter/Decrypter 角色,服務就能加密及解密資料。如果撤銷這個角色,或是停用/刪除 CMEK,就無法存取該資料。
CMEK 法規遵循
部分服務已整合 CMEK,可讓您自行管理金鑰。部分服務則提供 CMEK 合規性,也就是說,系統絕不會將暫時性資料和暫時性金鑰寫入磁碟。如需整合式和相容服務的完整清單,請參閱「與 CMEK 相容的服務」。
CMEK 組織政策
Cloud de Confiance 提供機構政策限制,確保機構資源使用一致的 CMEK。這些限制可讓機構管理員要求使用 CMEK,並指定用於 CMEK 保護措施的 Cloud KMS 金鑰限制和控管措施,包括:
後續步驟
- 請參閱整合 CMEK 的服務清單。
- 查看符合 CMEK 規範的服務清單。
- 請參閱 Autokey 支援的服務清單。