本頁列出可與 Cloud KMS 整合的 Cloud de Confiance by S3NS 服務。這些服務通常屬於下列其中一個類別:
客戶管理的加密金鑰 (CMEK) 整合可讓您使用自有及管理的 Cloud KMS 金鑰,加密該服務中的靜態資料。如要解密以 CMEK 金鑰保護的資料,必須先取得該金鑰的存取權。
符合 CMEK 規範的服務不會儲存資料,或只會短時間儲存資料,例如在批次處理期間。這類資料會使用僅存在於記憶體中的暫時性金鑰加密,且絕不會寫入磁碟。不再需要資料時,系統會從記憶體清除暫時性金鑰,且資料無法再次存取。符合 CMEK 規範的服務輸出內容可能會儲存在與 CMEK 整合的服務中,例如 Cloud Storage。
您的應用程式可以透過其他方式使用 Cloud KMS。舉例來說,您可以直接加密應用程式資料,再傳輸或儲存資料。
如要進一步瞭解如何保護 Cloud de Confiance 中的靜態資料,以及客戶自行管理的加密金鑰 (CMEK) 的運作方式,請參閱「客戶自行管理的加密金鑰 (CMEK)」。
CMEK 整合
下表列出與 Cloud KMS 整合的服務。 使用外部 Cloud EKM 金鑰時,與 Cloud KMS 整合的產品會顯示在「支援 EKM」下方。
| 服務 | 受 CMEK 保護 | 支援 EKM | 主題 |
|---|---|---|---|
| Artifact Registry | 存放區中的資料 | 有 | 啟用客戶管理的加密金鑰 |
| BigQuery | BigQuery 中的資料 | 有 | 使用 Cloud KMS 金鑰保護資料 |
| Cloud Logging | 記錄儲存空間中的資料 | 有 | 管理記錄儲存空間資料的保護金鑰 |
| Cloud SQL | 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Storage | 儲存空間 bucket 中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Compute Engine | 快照 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 自訂映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 機器映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Pub/Sub | 與主題相關聯的資料 | 有 | 設定訊息加密機制 |
符合 CMEK 規範的服務
下表列出不使用客戶自行管理的加密金鑰 (CMEK) 的服務,因為這些服務不會長期儲存資料。如要進一步瞭解為何這些服務符合 CMEK 規範,請參閱「CMEK 法規遵循」。
| 服務 | 主題 |
|---|---|
| API Gateway | API Gateway 中的 CMEK 法規遵循情況 |
| Cloud Build | Cloud Build 中的 CMEK 法規遵循 |
| Cloud Trace | Cloud Trace 的 CMEK 法規遵循 |
| Container Registry | 使用受 CMEK 保護的儲存空間 bucket |
| Cloud Vision | Vision API 中的 CMEK 法規遵循情況 |
| Storage 移轉服務 | 客戶自行管理的加密金鑰 |
與 Cloud KMS 的其他整合
這些頁面討論如何將 Cloud KMS 與其他Cloud de Confiance 服務搭配使用。
| 產品 | 主題 |
|---|---|
| 任何服務 | 加密應用程式資料,再傳輸或儲存 |
| Cloud Build | 先將資源加密,再新增至建構作業 |
| Sensitive Data Protection | 建立已包裝金鑰 |