יצירת מפתח חיצוני

בדף הזה מוסבר איך ליצור מפתחות Cloud External Key Manager ‏ (Cloud EKM) בצרור מפתחות קיים ב-Cloud Key Management Service ‏ (Cloud KMS).

לפני שמתחילים

לפני שמבצעים את המשימות בדף הזה, צריך:

  • משאב פרויקט Cloud de Confiance שיכיל את משאבי Cloud KMS. מומלץ להשתמש בפרויקט נפרד למשאבי Cloud KMS שלא מכיל משאבי Cloud de Confiance אחרים.

    רושמים את חשבון השירות של Cloud EKM בפרויקט. בדוגמה הבאה, מחליפים את PROJECT_NUMBER ב מספר הפרויקט של Cloud de Confiance הפרויקט. המידע הזה מוצג גם בכל פעם שמשתמשים במסוף Cloud de Confiance כדי ליצור מפתח Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
  • השם והמיקום של אוסף המפתחות שבו רוצים ליצור את המפתח. בוחרים מחזיק מפתחות במיקום שקרוב למשאבים האחרים שלכם ותומך ב-Cloud EKM. כדי ליצור אוסף מפתחות, אפשר לעיין במאמר יצירת אוסף מפתחות.
  • במערכת של השותף החיצוני לניהול מפתחות, מעניקים לחשבון השירות Cloud de Confiance גישה לשימוש במפתחות החיצוניים. מתייחסים לחשבון השירות כאל כתובת אימייל. יכול להיות ששותפי EKM ישתמשו במינוח שונה מזה שמופיע במסמך הזה.
  • כדי ליצור מפתחות EKM ברשת VPC, צריך ליצור חיבור EKM.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות ליצירת מפתחות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של Cloud KMS (roles/cloudkms.admin) בפרויקט או במשאב אב. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות ליצירת מפתחות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי ליצור מפתחות, צריך את ההרשאות הבאות:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • כדי לאחזר מפתח ציבורי: cloudkms.cryptoKeyVersions.viewPublicKey

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

יצירת מפתח חיצוני מתואם

המסוף

  1. נכנסים לדף Key Management במסוף Cloud de Confiance .

    כניסה אל Key Management

  2. לוחצים על השם של אוסף המפתחות שעבורו רוצים ליצור מפתח.

  3. לוחצים על Create key.

  4. בשדה Key name, מזינים שם למפתח.

  5. בקטע רמת הגנה, בוחרים באפשרות חיצונית.

  6. בקטע External key manager (EKM) connection type (סוג החיבור של מנהל מפתחות חיצוני (EKM)), בוחרים באפשרות via VPC (דרך VPC).

  7. בקטע EKM via VPC connection (EKM דרך חיבור VPC), בוחרים חיבור.

    אם אין לכם הרשאה מסוג EkmConnection.list, תצטרכו להזין ידנית את שם משאב החיבור.

  8. לוחצים על Continue.

  9. בקטע Key material (חומר מפתח), אמורה להופיע הודעה על כך ש-Cloud KMS מבקש חומר מפתח חדש ושהוא נוצר ב-EKM. אם מופיע השדה Key path (נתיב המפתח), חיבור ה-EKM דרך ה-VPC שבחרתם לא מוגדר למפתחות חיצוניים מתואמים.

  10. מגדירים את שאר הגדרות המפתח לפי הצורך, ואז לוחצים על יצירה.

שירות Cloud EKM שולח בקשה ל-EKM כדי ליצור מפתח חדש. המפתח מוצג כבהמתנה ליצירה עד שמסלול המפתח מוחזר על ידי ה-EKM והמפתח של Cloud EKM זמין.

gcloud

כדי להשתמש ב-Cloud KMS בשורת הפקודה, קודם צריך להתקין את הגרסה האחרונה של Google Cloud CLI או לשדרג אליה.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_NAME: השם של המפתח.
  • KEY_RING: השם של אוסף המפתחות שמכיל את המפתח.
  • LOCATION: המיקום ב-Cloud KMS שבו נמצא אוסף המפתחות.
  • PURPOSE: המטרה של המפתח.
  • ALGORITHM: האלגוריתם שבו יש להשתמש עבור המפתח, לדוגמה google-symmetric-encryption. רשימת האלגוריתמים הנתמכים מופיעה במאמר אלגוריתמים.
  • VPC_CONNECTION_RESOURCE_ID: מזהה המשאב של חיבור ה-EKM.

כדי לקבל מידע על כל הדגלים והערכים האפשריים, מריצים את הפקודה עם הדגל --help.

המאמרים הבאים