Cloud External Key Manager

本頁面概述 Cloud External Key Manager (Cloud EKM)。

術語

• 外部金鑰管理工具 (EKM)

  在 Trusted Cloud 外部用來管理金鑰的金鑰管理工具。

• Cloud External Key Manager (Cloud EKM)

  Trusted Cloud 服務，可用於使用在支援的 EKM 中管理的外部金鑰。

• 透過虛擬私有雲連線至 Cloud EKM

  這個版本的 Cloud EKM 會透過虛擬私有雲 (VPC) 與外部金鑰管理工具通訊。 Trusted Cloud 詳情請參閱「虛擬私有雲網路總覽」。

• Cloud KMS 的 EKM 金鑰管理

  您的金鑰會使用 Cloud KMS EKM 管理模式，簡化在外部金鑰管理合作夥伴和 Cloud EKM 中維護外部金鑰的程序。詳情請參閱本頁的「協調外部金鑰」和「透過 Cloud KMS 進行 EKM 金鑰管理」相關說明。

• 加密貨幣空間

  外部金鑰管理合作夥伴中的資源容器。您的加密空間會透過專屬加密空間路徑識別。外部金鑰管理合作夥伴 (例如 v0/cryptospaces/YOUR_UNIQUE_PATH) 的加密空間路徑格式各不相同。

• 由合作夥伴管理的 EKM

  由值得信賴的合作夥伴為您管理 EKM。詳情請參閱本頁的「合作夥伴管理的 EKM」一節。

總覽

有了 Cloud EKM，您就能使用透過支援的外部金鑰管理合作夥伴管理的金鑰來保護Trusted Cloud中的資料。您可以使用支援的 CMEK 整合服務來保護靜態資料，也可以直接呼叫 Cloud Key Management Service API。

Cloud EKM 具備多項優勢：

• 金鑰來源：您可以控管外部管理金鑰的位置和發布方式。外部代管金鑰絕不會快取或儲存在 Trusted Cloud中。相反地，Cloud EKM 會直接與外部金鑰管理合作夥伴通訊，處理每項要求。

• 存取控制：您可以在外部金鑰管理工具中管理外部代管金鑰的存取權。如要在Trusted Cloud 中使用外部代管金鑰，必須先授予 Trusted Cloud 專案存取外部金鑰管理工具中的金鑰。您隨時可以撤銷這項存取權。

• 集中式金鑰管理：無論金鑰保護的資料是位於雲端或內部，您都可以透過單一使用者介面管理金鑰和存取權政策。

無論如何，金鑰都會保留在外部系統中，絕不會傳送給 Google。

您透過虛擬私有雲 (VPC)與外部金鑰管理工具進行通訊。

Cloud EKM 的運作方式

Cloud EKM 金鑰版本由下列部分組成：

• 外部金鑰內容：Cloud EKM 金鑰的外部金鑰內容是指在 EKM 中建立並儲存的加密編譯內容。這類內容不會離開您的 EKM，也絕不會分享給 Google。
• 鍵參照：每個 Cloud EKM 金鑰版本都包含金鑰 URI 或金鑰路徑。這是外部金鑰內容的專屬 ID，Cloud EKM 會在使用金鑰要求加密編譯作業時使用。
• 內部金鑰內容：建立對稱的 Cloud EKM 金鑰時，Cloud KMS 會在 Cloud KMS 中建立額外的金鑰內容，且該內容永遠不會離開 Cloud KMS。與 EKM 通訊時，這組金鑰素材會用於額外的加密層。這項內部金鑰內容不適用於非對稱簽署金鑰。

如要使用 Cloud EKM 金鑰，Cloud EKM 會將加密編譯作業要求傳送至 EKM。舉例來說，如要使用對稱加密金鑰加密資料，Cloud EKM 會先使用內部金鑰內容加密資料。加密資料會納入對 EKM 的要求中。EKM 會使用外部金鑰內容，將加密資料包裝在另一層加密層級，然後傳回產生的密文。如未同時提供外部金鑰內容和內部金鑰內容，就無法解密使用 Cloud EKM 金鑰加密的資料。

建立及管理 Cloud EKM 金鑰時，必須在 Cloud KMS 和 EKM 中進行相應變更。 您的金鑰是協調外部金鑰，因此系統會使用 Cloud EKM 控制層處理這些對應的變更。如需更多資訊，請參閱本頁的「協調外部鍵」一節。

下圖顯示 Cloud KMS 如何融入金鑰管理模式。這張圖表以 Compute Engine 和 BigQuery 做為兩個範例；您也可以查看支援 Cloud EKM 金鑰的完整服務清單。

您可以瞭解使用 Cloud EKM 時的注意事項和限制。

協調外部金鑰

本節將概略說明 Cloud EKM 如何搭配協調外部金鑰運作。

1. 您設定 EKM 連線，並將 EKM 管理模式設為 Cloud KMS。在設定期間，您必須授權 EKM 存取虛擬私有雲網路，並授權Trusted Cloud 專案服務帳戶存取 EKM 中的加密空間。EKM 連線會使用 EKM 的主機名稱，以及用於識別 EKM 內資源的加密空間路徑。

2. 您可以在 Cloud KMS 中建立外部金鑰。當您透過 VPC 連線使用 EKM 建立 Cloud EKM 金鑰，並啟用 Cloud KMS EKM 管理模式時，系統會自動執行下列步驟：

   1. Cloud EKM 會向 EKM 傳送金鑰建立要求。
   2. EKM 會建立要求的金鑰內容。這項外部金鑰內容會保留在 EKM 中，絕不會傳送給 Google。
   3. EKM 會將金鑰路徑傳回至 Cloud EKM。
   4. Cloud EKM 會使用 EKM 提供的金鑰路徑建立 Cloud EKM 金鑰版本。

3. 您可以透過 Cloud KMS 啟動協調外部金鑰的維護作業。舉例來說，用於對稱式加密的協調外部金鑰，可以依照設定的時間表自動輪替。Cloud EKM 會在 EKM 中協調建立新金鑰版本。您也可以使用Trusted Cloud 控制台、gcloud CLI、Cloud KMS API 或 Cloud KMS 用戶端程式庫，觸發在 Cloud KMS 的 EKM 中建立或刪除金鑰版本。

在 Trusted Cloud中，金鑰會與其他 Cloud KMS 和 Cloud HSM 金鑰一併顯示，並顯示防護等級 EXTERNAL_VPC。Cloud EKM 金鑰和外部金鑰管理合作夥伴金鑰會共同保護您的資料。外部金鑰內容絕不會向 Google 透露。

透過 Cloud KMS 管理 EKM 金鑰

透過使用 Cloud KMS 的 EKM 金鑰管理功能，透過 EKM 連線即可取得協調外部金鑰。如果您的 EKM 支援 Cloud EKM 控制平面，您就可以為 EKM 連線啟用 Cloud KMS 的 EKM 金鑰管理功能，以便建立協調的外部金鑰。啟用 Cloud KMS 的 EKM 金鑰管理功能後，Cloud EKM 可在 EKM 中要求下列變更：

• 建立金鑰：在 Cloud KMS 中使用相容的 EKM 連線建立外部代管金鑰時，Cloud EKM 會將金鑰建立要求傳送至 EKM。成功後，EKM 會建立新的金鑰和金鑰內容，並傳回 Cloud EKM 用來存取金鑰的金鑰路徑。

• 輪替金鑰：使用相容的 EKM 連線在 Cloud KMS 中輪替外部管理金鑰時，Cloud EKM 會將輪替要求傳送至 EKM。成功後，EKM 會建立新的金鑰內容，並傳回 Cloud EKM 用來存取新金鑰版本的金鑰路徑。

• 銷毀金鑰：使用相容的 EKM 連線銷毀 Cloud KMS 中外部管理金鑰的金鑰版本時，Cloud KMS 會在 Cloud KMS 中排定金鑰版本的銷毀時間。如果金鑰版本未在已排定刪除期間結束前還原，Cloud EKM 會刪除金鑰的部分加密資料，並向 EKM 傳送刪除要求。

  在 Cloud KMS 中刪除金鑰版本後，使用該金鑰版本加密的資料就無法解密，即使 EKM 尚未刪除金鑰版本也一樣。您可以查看 Cloud KMS 中的金鑰詳細資料，瞭解 EKM 是否已成功銷毀金鑰版本。

當 Cloud KMS 管理 EKM 中的金鑰時，金鑰內容仍會保留在 EKM 中。未經明確許可，Google 無法向您的 EKM 提出任何金鑰管理要求。 Google 無法變更外部金鑰管理合作夥伴系統中的權限。 如果您在 EKM 中撤銷 Google 的權限，在 Cloud KMS 中嘗試的金鑰管理作業就會失敗。

相容性

支援的金鑰管理工具

您可以在下列外部金鑰管理合作夥伴系統中儲存外部金鑰：

• 目前支援的國家/地區：
  • Fortanix
  • Futurex
  • Thales

支援透過 Cloud EKM 使用 CMEK 的服務

下列服務支援與 Cloud KMS 整合，以便使用外部 (Cloud EKM) 金鑰：

• Agent Assist
• PostgreSQL 適用的 AlloyDB
• Apigee API Hub
• 應用程式整合
• Artifact Registry
• GKE 備份
• BigQuery
• Bigtable
• Cloud Composer
• Cloud Data Fusion
• Cloud Healthcare API
• Cloud Logging： 記錄路由器中的資料 以及Logging 儲存空間中的資料
• Cloud Run
• Cloud Run 函式
• Cloud SQL
• Cloud Storage
• Cloud Tasks
• Cloud Workstations
• Compute Engine：永久磁碟、快照、自訂映像檔、機器映像檔
• Conversational Insights
• 資料庫移轉服務： MySQL 遷移作業 - 將資料寫入資料庫、 PostgreSQL 遷移作業 - 將資料寫入資料庫、 PostgreSQL 到 AlloyDB 遷移作業 - 將資料寫入資料庫、 SQL Server 遷移作業 - 將資料寫入資料庫、 Oracle 到 PostgreSQL 靜態資料
• Dataflow
• Dataform
• Dataplex 通用目錄
• Dataproc： Dataproc 叢集 VM 磁碟上的資料 Dataproc 在 VM 磁碟上的無伺服器資料
• Dataproc 中繼存放區
• Dialogflow CX
• Document AI
• Eventarc Standard
• Filestore
• Firestore
• Google Cloud Managed Service for Apache Kafka
• Google Distributed Cloud
• Google Kubernetes Engine： 虛擬機器磁碟上儲存的資料
• Integration Connectors (預先發布版)
• Looker (Google Cloud Core)
• Memorystore for Redis
• 遷移至虛擬機器： 從 VMware、AWS 和 Azure VM 來源遷移的資料 以及從磁碟和機器映像檔來源遷移的資料
• 參數管理工具
• Pub/Sub
• Secret Manager
• Secure Source Manager
• Spanner
• Speaker ID (受限的 Google Analytics)
• Speech-to-Text
• Vertex AI
• Vertex AI Workbench 執行個體
• 工作流程

注意事項

• 使用 Cloud EKM 金鑰時，Google 無法控管外部代管金鑰在外部金鑰管理合作夥伴系統中的供應情形。如果您遺失在 Trusted Cloud外部管理的金鑰，Google 無法復原您的資料。

• 選擇 Cloud EKM 金鑰的位置時，請參閱外部金鑰管理合作夥伴和區域相關規範。

• 透過網際網路與外部服務通訊可能會導致可靠性、可用性和延遲問題。如果應用程式對這類風險的容忍度較低，建議您使用 Cloud HSM 或 Cloud KMS 來儲存金鑰內容。

  • 如果無法使用外部金鑰，Cloud KMS 會傳回 FAILED_PRECONDITION 錯誤，並在 PreconditionFailure 錯誤詳細資料中提供詳細資料。

    啟用資料稽核記錄，以便記錄所有與 Cloud EKM 相關的錯誤。錯誤訊息會提供詳細資訊，協助您找出錯誤來源。常見錯誤的例子包括外部金鑰管理合作夥伴未在合理時間內回應要求。

  • 您必須與外部金鑰管理合作夥伴簽訂支援合約。Trusted Cloud 支援團隊只能協助處理Trusted Cloud 服務的問題，無法直接協助處理外部系統的問題。有時，您必須與雙方的支援團隊合作，才能排除互通性問題。

• Cloud EKM 可搭配Bare Metal Rack HSM 使用，建立與 Cloud KMS 整合的單一租戶 HSM 解決方案。如需更多資訊，請選擇支援單一租戶 HSM 的 Cloud EKM 合作夥伴，並查看 Bare Metal Rack HSM 的相關規定。

• 在外部金鑰管理工具中啟用稽核記錄，以便擷取 EKM 金鑰的存取和使用情形。

限制

• 使用 API 或 Google Cloud CLI 建立 Cloud EKM 金鑰時，金鑰不得有初始版本。這項功能不適用於使用Trusted Cloud 控制台
• 除了 Cloud KMS 作業的配額外，Cloud EKM 作業也須遵守特定配額。

對稱式加密金鑰

• 對稱式加密金鑰僅支援以下項目：
  • 支援的整合服務中的客戶管理加密金鑰 (CMEK)。
  • 直接使用 Cloud KMS 進行對稱加密和解密。
• 使用外部代管金鑰由 Cloud EKM 加密的資料，如果不使用 Cloud EKM 就無法解密。

非對稱式簽署金鑰

• 非對稱簽署金鑰僅限於部分 Cloud KMS 演算法。
• 非對稱簽署金鑰僅適用於下列用途：
  • 直接使用 Cloud KMS 進行非對稱簽署。
  • 自訂簽署金鑰 (含存取權核准)。
• 在 Cloud EKM 金鑰上設定非對稱簽署演算法後，就無法修改。
• 簽署動作必須在 data 欄位中執行。

合作夥伴管理的 EKM

透過合作夥伴管理的 EKM，您可以透過可信任的獨立合作夥伴使用 Cloud EKM，由對方管理您的 EKM 系統。透過合作夥伴代管的 EKM，合作夥伴會建立及管理您在 Cloud EKM 中使用的金鑰。合作夥伴會確保您的 EKM 符合主權要求。

與獨立合作夥伴完成新手上路程序後，合作夥伴會在 Trusted Cloud 和您的 EKM 中提供資源。這些資源包括用於管理 Cloud EKM 金鑰的 Cloud KMS 專案，以及為 Cloud KMS 的 EKM 金鑰管理所設定的 EKM 連線。合作夥伴會根據您的資料落地規定，在 Trusted Cloud 位置建立資源。

每個 Cloud EKM 金鑰都包含 Cloud KMS 中繼資料，可讓 Cloud EKM 向 EKM 傳送要求，使用從未離開 EKM 的外部金鑰內容執行加密編譯作業。對稱式 Cloud EKM 金鑰也包含 Cloud KMS 內部金鑰內容，而這些內容絕不會離開 Trusted Cloud。如要進一步瞭解 Cloud EKM 金鑰的內部和外部，請參閱本頁的「Cloud EKM 的運作方式」一節。

如要進一步瞭解合作夥伴代管的 EKM，請參閱「設定合作夥伴代管的 Cloud KMS」。

後續步驟

• 開始使用 API。

• 建立 EKM 連線，透過虛擬私有雲使用 EKM。

• 詳閱 Cloud KMS API 參考資料。

• 瞭解 Cloud KMS 中的記錄。記錄以作業為基礎，並會同時套用至防護等級為 HSM 與軟體的金鑰。