Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cloud External Key Manager

בדף הזה תוכלו לקרוא סקירה כללית על Cloud External Key Manager ‏ (Cloud EKM).

הסברים על המונחים

מנהל מפתחות חיצוני (EKM)

מנהל המפתחות שמשמש מחוץ ל- Cloud de Confiance לניהול המפתחות.
‫Cloud External Key Manager ‏ (Cloud EKM)

שירות Cloud de Confiance לשימוש במפתחות חיצוניים שמנוהלים ב-EKM נתמך.
‫Cloud EKM דרך VPC

גרסה של Cloud EKM שבה Cloud de Confiance מתקשר עם מנהל המפתחות החיצוני שלכם דרך ענן וירטואלי פרטי (VPC). מידע נוסף זמין במאמר סקירה כללית על רשת VPC.
ניהול מפתחות EKM מ-Cloud KMS

המפתחות שלכם משתמשים במצב הניהול EKM של Cloud KMS כדי לפשט את התהליך של תחזוקת מפתחות חיצוניים אצל השותף החיצוני לניהול מפתחות וב-Cloud EKM. מידע נוסף זמין בקטע מפתחות חיצוניים מתואמים ובקטע ניהול מפתחות EKM מ-Cloud KMS בדף הזה.
מרחב הקריפטו

קונטיינר של המשאבים שלכם אצל השותף החיצוני לניהול מפתחות. המרחב הקריפטוגרפי שלכם מזוהה על ידי נתיב ייחודי של המרחב הקריפטוגרפי. הפורמט של נתיב המרחב הקריפטוגרפי משתנה בהתאם לשותף החיצוני לניהול מפתחות – לדוגמה, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM בניהול שותף

הסדר שבו שותף מהימן מנהל עבורכם את ה-EKM. מידע נוסף זמין בקטע EKM בניהול שותף בדף הזה.

סקירה כללית

עם Cloud EKM, אתם יכולים להשתמש במפתחות שמנוהלים בשותף חיצוני לניהול מפתחות כדי להגן על הנתונים ב-Cloud de Confiance. אתם יכולים להגן על נתונים במנוחה בשירותים נתמכים עם שילוב CMEK, או על ידי קריאה ישירה ל-Cloud Key Management Service API.

ל-Cloud EKM יש כמה יתרונות:

מקור המפתחות: אתם שולטים במיקום ובהפצה של המפתחות שמנוהלים על ידי גורמים חיצוניים. מפתחות שמנוהלים באופן חיצוני אף פעם לא נשמרים במטמון או מאוחסנים ב- Cloud de Confiance. במקום זאת, Cloud EKM מתקשר ישירות עם השותף החיצוני לניהול מפתחות עבור כל בקשה.
בקרת גישה: אתם מנהלים את הגישה למפתחות שמנוהלים על ידי גורמים חיצוניים במנהל המפתחות החיצוני. אי אפשר להשתמש במפתח שמנוהל חיצונית ב-Cloud de Confiance בלי קודם לתת לפרויקט Cloud de Confiance גישה למפתח במנהל המפתחות החיצוני. תמיד אפשר לבטל את הרשאת הגישה הזו.
ניהול מפתחות ריכוזי: אתם יכולים לנהל את המפתחות ואת מדיניות הגישה מממשק משתמש יחיד, בין אם הנתונים שהם מגנים עליהם נמצאים בענן או במקום.

בכל המקרים, המפתח נמצא במערכת החיצונית ואף פעם לא נשלח אל Google.

התקשורת עם מנהל המפתחות החיצוני מתבצעת דרך ענן וירטואלי פרטי (VPC).

איך Cloud EKM עובד

גרסאות של מפתחות Cloud EKM מורכבות מהחלקים הבאים:

חומר מפתח חיצוני: חומר המפתח החיצוני של מפתח Cloud EKM הוא חומר קריפטוגרפי שנוצר ומאוחסן ב-EKM שלכם. החומר הזה לא יוצא מ-EKM ולא משותף עם Google.
הפניה למפתח: כל גרסת מפתח של Cloud EKM מכילה URI של מפתח או נתיב מפתח. זהו מזהה ייחודי של חומר המפתח החיצוני שבו Cloud EKM משתמש כשמבקשים פעולות קריפטוגרפיות באמצעות המפתח.
חומר מפתח פנימי: כשיוצרים מפתח סימטרי של Cloud EKM, ‏ Cloud KMS יוצר חומר מפתח נוסף ב-Cloud KMS, שלא יוצא אף פעם מ-Cloud KMS. חומר המפתח הזה משמש כשכבת הצפנה נוספת בתקשורת עם ה-EKM. חומר המפתח הפנימי הזה לא רלוונטי למפתחות חתימה אסימטריים.

כדי להשתמש במפתחות Cloud EKM, שירות Cloud EKM שולח בקשות לפעולות קריפטוגרפיות ל-EKM. לדוגמה, כדי להצפין נתונים באמצעות מפתח הצפנה סימטרי, שירות Cloud EKM מצפין קודם את הנתונים באמצעות חומרי המפתח הפנימיים. הנתונים המוצפנים נכללים בבקשה ל-EKM. שירות ה-EKM עוטף את הנתונים המוצפנים בשכבת הצפנה נוספת באמצעות חומרי המפתח החיצוניים, ואז מחזיר את הטקסט המוצפן שמתקבל. אי אפשר לפענח נתונים שהוצפנו באמצעות מפתח Cloud EKM בלי חומר המפתח החיצוני וחומר המפתח הפנימי.

כדי ליצור ולנהל מפתחות Cloud EKM, צריך לבצע שינויים תואמים גם ב-Cloud KMS וגם ב-EKM. המפתחות שלכם הם מפתחות חיצוניים מתואמים, ולכן השינויים התואמים האלה מטופלים בשבילכם באמצעות מישור הבקרה של Cloud EKM. מידע נוסף מופיע בקטע מפתחות חיצוניים מתואמים בדף הזה.

בתרשים הבא מוצג המיקום של Cloud KMS במודל ניהול המפתחות. בתרשים הזה מוצגים שני שירותים לדוגמה: Compute Engine ו-BigQuery. אפשר גם לעיין ברשימה המלאה של השירותים שתומכים במפתחות Cloud EKM.

דיאגרמה שממחישה הצפנה ופענוח באמצעות Cloud EKM

במאמרים הבאים מוסבר על שיקולים והגבלות שצריך לקחת בחשבון כשמשתמשים ב-Cloud EKM.

מפתחות חיצוניים מתואמים

בסעיף הזה מוסבר איך Cloud EKM פועל עם מפתחות חיצוניים מתואמים.

מגדירים חיבור EKM, ומגדירים את מצב הניהול של EKM ל-Cloud KMS. במהלך ההגדרה, אתם צריכים לתת ל-EKM הרשאה לגשת לרשת ה-VPC שלכם, ולתת לחשבון השירות של פרויקטCloud de Confiance הרשאה לגשת למרחב ההצפנה ב-EKM. חיבור ה-EKM שלכם משתמש בשם המארח של ה-EKM ובנתיב של מרחב קריפטוגרפי שמזהה את המשאבים שלכם ב-EKM.
יוצרים מפתח חיצוני ב-Cloud KMS. כשיוצרים מפתח Cloud EKM באמצעות חיבור EKM over VPC עם מצב ניהול EKM של Cloud KMS מופעל, השלבים הבאים מתבצעים באופן אוטומטי:
1. שירות Cloud EKM שולח בקשה ליצירת מפתח ל-EKM.
2. מערכת ה-EKM יוצרת את חומר המפתח המבוקש. חומרי המפתחות החיצוניים האלה נשארים ב-EKM ואף פעם לא נשלחים אל Google.
3. שירות ה-EKM מחזיר נתיב מפתח ל-Cloud EKM.
4. שירות Cloud EKM יוצר את גרסת המפתח של Cloud EKM באמצעות נתיב המפתח שסופק על ידי ה-EKM.
אפשר להפעיל מ-Cloud KMS פעולות תחזוקה על מפתחות חיצוניים מתואמים. לדוגמה, אפשר להגדיר רוטציה אוטומטית של מפתחות חיצוניים מתואמים שמשמשים להצפנה סימטרית לפי לוח זמנים מוגדר. יצירת גרסאות חדשות של מפתחות מתואמת ב-EKM על ידי Cloud EKM. אפשר גם להפעיל את היצירה או ההרס של גרסאות מפתח ב-EKM מ-Cloud KMS באמצעות מסוףCloud de Confiance ,‏ ה-CLI של gcloud,‏ Cloud KMS API או ספריות לקוח של Cloud KMS.

ב- Cloud de Confiance, המפתח מופיע לצד מפתחות אחרים של Cloud KMS ו-Cloud HSM, עם רמת ההגנה EXTERNAL_VPC. מפתח Cloud EKM ומפתח של שותף חיצוני לניהול מפתחות פועלים יחד כדי להגן על הנתונים שלכם. חומר המפתח החיצוני אף פעם לא נחשף ל-Google.

ניהול מפתחות EKM מ-Cloud KMS

מפתחות חיצוניים מתואמים מתאפשרים על ידי חיבורי EKM שמשתמשים בניהול מפתחות EKM מ-Cloud KMS. אם ה-EKM שלכם תומך במישור הבקרה של Cloud EKM, תוכלו להפעיל את ניהול מפתחות ה-EKM מ-Cloud KMS כדי ליצור מפתחות חיצוניים מתואמים לחיבורי ה-EKM. כשניהול מפתחות EKM מופעל מ-Cloud KMS,‏ Cloud EKM יכול לבקש את השינויים הבאים ב-EKM:

יצירת מפתח: כשיוצרים מפתח בניהול חיצוני ב-Cloud KMS באמצעות חיבור EKM תואם, שירות Cloud EKM שולח את בקשת יצירת המפתח אל ה-EKM. אם הפעולה מצליחה, מערכת ה-EKM יוצרת את המפתח החדש ואת חומר המפתח ומחזירה את נתיב המפתח לשימוש ב-Cloud EKM כדי לגשת למפתח.
החלפת מפתח: כשמחליפים מפתח שמנוהל חיצונית ב-Cloud KMS באמצעות חיבור EKM תואם,‏ Cloud EKM שולח את בקשת ההחלפה אל ה-EKM. אם הפעולה בוצעה ללא שגיאות, מערכת ה-EKM יוצרת חומר מפתח חדש ומחזירה את נתיב המפתח ל-Cloud EKM, כדי שיוכל לגשת לגרסת המפתח החדשה.
השמדת מפתח: כשמשמידים גרסת מפתח של מפתח בניהול חיצוני ב-Cloud KMS באמצעות חיבור EKM תואם, Cloud KMS מתזמן את השמדת גרסת המפתח ב-Cloud KMS. אם גרסת המפתח לא תשוחזר לפני שתקופת ההשמדה המתוזמנת תסתיים, Cloud EKM ישמיד את החלק שלו בחומר הקריפטוגרפי של המפתח וישלח בקשת השמדה ל-EKM.

אי אפשר לפענח נתונים שהוצפנו באמצעות גרסת המפתח הזו אחרי שהיא מושמדת ב-Cloud KMS, גם אם היא עדיין לא הושמדה ב-EKM. כדי לראות אם מפתח ה-EKM השמיד בהצלחה את גרסת המפתח, אפשר לעיין בפרטי המפתח ב-Cloud KMS.

כשמנהלים מפתחות ב-EKM מ-Cloud KMS, חומר המפתח עדיין נמצא ב-EKM. ‫Google לא יכולה לשלוח בקשות לניהול מפתחות ל-EKM בלי הרשאה מפורשת. ‫Google לא יכולה לשנות הרשאות במערכת של השותף החיצוני לניהול מפתחות. אם מבטלים את ההרשאות של Google ב-EKM, פעולות ניהול המפתחות שמנסים לבצע ב-Cloud KMS נכשלות.

תאימות

מנהלי מפתחות נתמכים

אפשר לאחסן מפתחות חיצוניים במערכות הבאות של שותפים חיצוניים לניהול מפתחות:

השפות שנתמכות היום:
- Fortanix
- Futurex
- Thales

שירותים שתומכים ב-CMEK עם Cloud EKM

השירותים הבאים תומכים בשילוב עם Cloud KMS עבור מפתחות חיצוניים (Cloud EKM):

Artifact Registry
BigQuery
Cloud Logging
‫Cloud SQL: נתונים שנכתבו למסדי נתונים וגיבויים רגילים ומשופרים
Cloud Storage
‫Compute Engine: Snapshots, Custom images, and Machine images
Pub/Sub

לתשומת ליבכם

כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה בזמינות של המפתח שמנוהל באופן חיצוני במערכת של השותף החיצוני לניהול מפתחות. אם תאבדו מפתחות שאתם מנהלים מחוץ ל- Cloud de Confiance, ‏ Google לא תוכל לשחזר את הנתונים שלכם.
כשבוחרים את המיקומים של מפתחות Cloud EKM, חשוב לעיין בהנחיות בנושא אזורים ושותפים לניהול מפתחות חיצוני.
תקשורת עם שירות חיצוני דרך האינטרנט עלולה לגרום לבעיות באמינות, בזמינות ובזמן האחזור. אם אתם מפתחים אפליקציות שרגישות לסוגי הסיכונים האלה, כדאי לשקול שימוש ב-Cloud HSM או ב-Cloud KMS כדי לאחסן את חומרי המפתחות.
- אם מפתח חיצוני לא זמין, Cloud KMS מחזיר שגיאה FAILED_PRECONDITION ומספק פרטים בפרטי השגיאה PreconditionFailure.
  
  הפעלת יומני ביקורת של נתונים כדי לשמור תיעוד של כל השגיאות שקשורות ל-Cloud EKM. הודעות השגיאה מכילות מידע מפורט שיעזור לכם לאתר את מקור השגיאה. דוגמה לשגיאה נפוצה היא כששותף חיצוני לניהול מפתחות לא מגיב לבקשה בתוך פרק זמן סביר.
- צריך חוזה תמיכה עם השותף החיצוני לניהול מפתחות. Cloud de Confiance התמיכה יכולה לעזור רק בבעיות בשירותים Cloud de Confiance ולא יכולה לעזור ישירות בבעיות במערכות חיצוניות. לפעמים צריך לעבוד עם התמיכה משני הצדדים כדי לפתור בעיות שקשורות לפעולה הדדית.
אפשר להשתמש ב-Cloud EKM עם Bare Metal Rack HSM כדי ליצור פתרון HSM עצמאי שמשולב עם Cloud KMS. כדי לקבל מידע נוסף, בוחרים שותף של Cloud EKM שתומך ב-HSM עם דייר יחיד, ומעיינים בדרישות ל-HSM של Bare Metal Rack. זה שונה מ-Single-tenant Cloud HSM, וכדאי לשקול היטב איזה פתרון מתאים יותר לדרישות שלכם.
כדי לתעד את הגישה למפתחות EKM ואת השימוש בהם, צריך להפעיל רישום ביומן ביקורת במנהל המפתחות החיצוני.

שימו לב: כשמשתמשים במפתחות Cloud EKM, יש סיכון שהמפתח לא יהיה זמין. בהתאם לשירותים שבהם אתם משתמשים, זה עלול לגרום לשגיאות חמורות או לנתונים שלא ניתן לגשת אליהם. לדוגמה, אם אתם משתמשים במפתח CMEK חיצוני כדי להצפין סודות בשכבת האפליקציה של Google Kubernetes Engine, יכול להיות שהצמתים לא יהיו זמינים אם הם לא יוכלו לפענח את הסודות. חוסר גישה למפתח החיצוני עלול לגרום לאובדן נתונים קבוע. לדוגמה, אם מפתח ה-CMEK שמשמש להצפנה של מסד נתונים ב-Spanner לא זמין במשך יותר מ-30 ימים רצופים, Spanner מוחק את מסד הנתונים באופן אוטומטי. אם גרסת המפתח הנוכחית לא זמינה, אי אפשר לשחזר את הנתונים על ידי מעבר לגרסת מפתח חדשה. כדי לשפר את הזמינות, מומלץ להשתמש במפתחות Cloud EKM במקום במפתחות VPC או Cloud HSM.

הגבלות

כשיוצרים מפתח Cloud EKM באמצעות ה-API או Google Cloud CLI, אסור שתהיה לו גרסת מפתח ראשונית. ההגדרה הזו לא חלה על מפתחות Cloud EKM שנוצרו באמצעותCloud de Confiance המסוף
פעולות Cloud EKM כפופות למכסות ספציפיות בנוסף למכסות על פעולות Cloud KMS.

מפתחות להצפנה סימטרית

מפתחות הצפנה סימטריים נתמכים רק במקרים הבאים:
- מפתחות הצפנה בניהול הלקוח (CMEK) בשירותי שילוב נתמכים.
- הצפנה ופענוח סימטריים באמצעות Cloud KMS ישירות.
אי אפשר לפענח נתונים שמוצפנים על ידי Cloud EKM באמצעות מפתח שמנוהל חיצונית בלי להשתמש ב-Cloud EKM.

מפתחות חתימה אסימטריים

מפתחות חתימה אסימטריים מוגבלים לקבוצת משנה של אלגוריתמים של Cloud KMS.
מפתחות אסימטריים לחתימה נתמכים רק בתרחישי השימוש הבאים:
- חתימה אסימטרית באמצעות Cloud KMS ישירות.
- מפתח חתימה מותאם אישית עם Access Approval.
אחרי שמגדירים אלגוריתם חתימה אסימטרי במפתח Cloud EKM, אי אפשר לשנות אותו.
החתימה צריכה להתבצע בשדה data.

EKM בניהול שותף

שירות EKM בניהול שותף מאפשר לכם להשתמש ב-Cloud EKM דרך שותף מהימן וריבוני שמנהל עבורכם את מערכת ה-EKM. ב-EKM בניהול השותף, השותף יוצר ומנהל את המפתחות שבהם אתם משתמשים ב-Cloud EKM. השותף מוודא שמערכת ה-EKM שלכם עומדת בדרישות הריבונות.

כשמצטרפים לשותף ריבוני, השותף מספק משאבים ב- Cloud de Confiance וב-EKM. המשאבים האלה כוללים פרויקט Cloud KMS לניהול מפתחות Cloud EKM וחיבור EKM שמוגדר לניהול מפתחות EKM מ-Cloud KMS. השותף יוצר משאבים במיקומים Cloud de Confiance בהתאם לדרישות שלכם לגבי מיקום הנתונים.

כל מפתח Cloud EKM כולל מטא-נתונים של Cloud KMS, שמאפשרים ל-Cloud EKM לשלוח בקשות ל-EKM שלכם כדי לבצע פעולות קריפטוגרפיות באמצעות חומרי המפתח החיצוניים, שלא יוצאים אף פעם מה-EKM שלכם. מפתחות סימטריים של Cloud EKM כוללים גם חומרי מפתח פנימיים של Cloud KMS, שאף פעם לא יוצאים מ- Cloud de Confiance. מידע נוסף על הצדדים הפנימי והחיצוני של מפתחות Cloud EKM זמין במאמר הסבר על Cloud EKM בדף הזה.

מידע נוסף על EKM בניהול שותפים זמין במאמר הגדרת Cloud KMS בניהול שותפים.

המאמרים הבאים

מתחילים להשתמש ב-API.
יוצרים חיבור EKM כדי להשתמש ב-EKM דרך VPC.
קוראים את הפניית Cloud KMS API.
מידע נוסף על רישום ביומן ב-Cloud KMS הרישום ביומן מבוסס על פעולות, והוא חל על מפתחות עם רמות הגנה של HSM ושל תוכנה.