Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Externen Schlüssel erstellen

Auf dieser Seite wird beschrieben, wie Sie Cloud External Key Manager-Schlüssel (Cloud EKM) in einem vorhandenen Schlüsselbund in Cloud Key Management Service (Cloud KMS) erstellen.

Hinweise

Bevor Sie die Aufgaben auf dieser Seite ausführen, benötigen Sie Folgendes:

Eine Trusted Cloud Projektressource für Ihre Cloud KMS-Ressourcen. Wir empfehlen, ein separates Projekt für Ihre Cloud KMS-Ressourcen zu verwenden, das keine anderen Trusted Cloud -Ressourcen enthält.

Notieren Sie sich das Cloud EKM-Dienstkonto Ihres Projekts. Ersetzen Sie im folgenden Beispiel PROJECT_NUMBER durch die Projektnummer Ihres Trusted Cloud -Projekts. Diese Informationen werden auch angezeigt, wenn Sie die Trusted Cloud Console zum Erstellen eines Cloud EKM-Schlüssels verwenden.
```
    service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
    
```
Der Name und der Speicherort des Schlüsselbunds, in dem Sie den Schlüssel erstellen möchten. Wählen Sie einen Schlüsselbund an einem Standort aus, der sich in der Nähe Ihrer anderen Ressourcen befindet und Cloud EKM unterstützt. Informationen zum Erstellen eines Schlüsselbunds finden Sie unter Schlüsselbund erstellen.
Gewähren Sie dem Dienstkonto Trusted Cloudim Partnersystem für die externe Schlüsselverwaltung Zugriff, um Ihre externen Schlüssel zu verwenden. Behandeln Sie das Dienstkonto als E-Mail-Adresse. EKM-Partner verwenden möglicherweise eine andere Terminologie als die in diesem Dokument verwendete.
Wenn Sie EKM-über-VPC-Schlüssel erstellen möchten, müssen Sie eine EKM-Verbindung erstellen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen von Schlüsseln erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Erstellen von Schlüsseln erforderlich:

cloudkms.cryptoKeys.create
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.keyRings.get
cloudkms.keyRings.list
cloudkms.locations.get
cloudkms.locations.list
resourcemanager.projects.get
So rufen Sie einen öffentlichen Schlüssel ab: cloudkms.cryptoKeyVersions.viewPublicKey

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Abgestimmten externen Schlüssel erstellen

Console

Rufen Sie in der Trusted Cloud Console die Seite Schlüsselverwaltung auf.

Key Management aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Geben Sie unter Schlüsselname einen Namen für den Schlüssel ein.
Wählen Sie als Schutzniveau die Option Extern aus.
Wählen Sie für EKM-Verbindungstyp (External Key Manager) die Option über VPC aus.
Wählen Sie unter EKM-über-VPC-Verbindung eine Verbindung aus.

Wenn Sie nicht die Berechtigung EkmConnection.list haben, müssen Sie den Namen der Verbindungsressource manuell eingeben.
Klicken Sie auf Weiter.
Im Bereich Schlüsselmaterial sollte eine Meldung angezeigt werden, dass neues Schlüsselmaterial von Cloud KMS angefordert und in Ihrem EKM generiert wird. Wenn Sie das Feld Schlüsselpfad sehen, ist die von Ihnen ausgewählte EKM-über-VPC-Verbindung nicht für koordinierte externe Schlüssel konfiguriert.
Konfigurieren Sie die restlichen Schlüsseleinstellungen nach Bedarf und klicken Sie dann auf Erstellen.

Cloud EKM sendet eine Anfrage an Ihr EKM, um einen neuen Schlüssel zu erstellen. Der Schlüssel wird als Pending generation (Generierung ausstehend) angezeigt, bis der Schlüsselpfad von Ihrem EKM zurückgegeben wird und der Cloud EKM-Schlüssel verfügbar ist.

gcloud

Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst Google Cloud CLI installieren oder ein Upgrade ausführen.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ersetzen Sie Folgendes:

KEY_NAME: Der Name des Schlüssels.
KEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthält
LOCATION: der Cloud KMS-Speicherort des Schlüsselbunds.
PURPOSE: der Zweck des Schlüssels.
ALGORITHM: Der für den Schlüssel zu verwendende Algorithmus, z. B. google-symmetric-encryption. Eine Liste der unterstützten Algorithmen finden Sie unter Algorithmen.
VPC_CONNECTION_RESOURCE_ID: die Ressourcen-ID der EKM-Verbindung.

Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.