Auf dieser Seite finden Sie eine Liste der Cloud de Confiance by S3NS -Dienste, die eine Integration in Cloud KMS ermöglichen. Diese Dienste fallen im Allgemeinen in eine der folgenden Kategorien:
Mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) können Sie die inaktiven Daten dieses Dienstes mit einem Cloud KMS-Schlüssel verschlüsseln, den Sie besitzen und verwalten. Mit einem CMEK-Schlüssel geschützte Daten können ohne Zugriff auf diesen Schlüssel nicht entschlüsselt werden.
Ein CMEK-kompatibler Dienst speichert Daten entweder nicht oder nur für einen kurzen Zeitraum, z. B. während der Batch-Verarbeitung. Solche Daten werden mit einem sitzungsspezifischen Schlüssel verschlüsselt, der nur im Speicher vorhanden ist und nie auf die Festplatte geschrieben wird. Wenn die Daten nicht mehr benötigt werden, wird der sitzungsspezifische Schlüssel aus dem Speicher gelöscht und es kann nicht mehr auf die Daten zugegriffen werden. Die Ausgabe eines CMEK-kompatiblen Dienstes kann in einem Dienst gespeichert werden, der in CMEK integriert ist, z. B. Cloud Storage.
Ihre Anwendungen können Cloud KMS auf andere Weise verwenden. Sie können beispielsweise Anwendungsdaten direkt verschlüsseln, bevor Sie sie übertragen oder speichern.
Weitere Informationen zum Schutz von Daten im Ruhezustand in Cloud de Confiance und zur Funktionsweise kundenverwalteter Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
CMEK-Integrationen
In der folgenden Tabelle sind die Dienste aufgeführt, die in Cloud KMS integriert sind. Produkte, die in Cloud KMS integriert werden, wenn externe Cloud EKM-Schlüssel verwendet werden, sind unter EKM supported (EKM wird unterstützt) angegeben.
| Dienst | Durch CMEK geschützt | EKM-Unterstützung | Thema |
|---|---|---|---|
| Artifact Registry | Daten in Repositories | Ja | Kundenverwaltete Verschlüsselungsschlüssel aktivieren |
| BigQuery | Daten in BigQuery | Ja | Daten mit Cloud KMS-Schlüsseln schützen |
| Cloud Logging | Daten im Logging-Speicher | Ja | Schlüssel verwalten, die Protokollspeicherdaten schützen |
| Cloud SQL | Daten, die in Datenbanken geschrieben werden | Ja | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Cloud SQL | Standard- und erweiterte Sicherungen | Ja | Cloud SQL-Sicherungen – Übersicht |
| Cloud Storage | Daten in Storage-Buckets | Ja | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Compute Engine | Snapshots | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Benutzerdefinierte Images | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Maschinen-Images | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Pub/Sub | Mit Themen verknüpfte Daten | Ja | Nachrichtenverschlüsselung konfigurieren |
CMEK-kompatible Dienste
In der folgenden Tabelle sind Dienste aufgeführt, in denen keine vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwendet werden, da dort keine Daten langfristig gespeichert werden. Weitere Informationen dazu, warum diese Dienste als CMEK-kompatibel gelten, finden Sie unter CMEK-Compliance.
| Dienst | Thema |
|---|---|
| API Gateway | CMEK-Compliance in API Gateway |
| Cloud Build | CMEK-Compliance in Cloud Build |
| Cloud Trace | CMEK-Compliance in Cloud Trace |
| Container Registry | Mit CMEK geschützten Storage-Bucket verwenden |
| Cloud Vision | CMEK-Compliance in Vision API |
| Storage Transfer Service | Kundenverwaltete Verschlüsselungsschlüssel |
Andere Integrationen in Cloud KMS
Auf diesen Seiten werden andere Möglichkeiten zur Verwendung von Cloud KMS mit anderenCloud de Confiance -Diensten erläutert.
| Produkt | Topic |
|---|---|
| Beliebiger Dienst | Anwendungsdaten verschlüsseln, bevor sie übertragen oder gespeichert werden |
| Cloud Build | Ressourcen verschlüsseln, bevor sie einem Build hinzugefügt werden |
| Sensitive Data Protection | Verpackten Schlüssel erstellen |