Cloud Key Management Service 概览

借助 Cloud Key Management Service (Cloud KMS)，您可以创建和管理加密密钥，以便在兼容的 Trusted Cloud by S3NS 服务和您自己的应用中使用。借助 Cloud KMS，您可以执行以下操作：

生成软件密钥、将现有密钥导入 Cloud KMS，或关联兼容的外部密钥管理 (EKM) 系统中的外部密钥。
在集成 CMEK 的产品中使用客户管理的加密密钥 (CMEK)。 Trusted Cloud CMEK 集成使用您的 Cloud KMS 密钥来加密或“封装”数据加密密钥 (DEK)。使用密钥加密密钥 (KEK) 封装 DEK 称为信封加密。
使用 Cloud KMS 密钥执行加密和解密操作。例如，您可以使用 Cloud KMS API 或客户端库将 Cloud KMS 密钥用于客户端加密。
使用 Cloud KMS 密钥创建或验证数字签名或消息身份验证码 (MAC) 签名。

根据您的需求选择合适的加密方式

您可以参考下表，确定哪种类型的加密方式能够满足每种使用场景的需求。最适合您需求的解决方案可能需要结合使用多种加密方法。例如，您可以使用软件密钥来保护最不敏感的数据，并使用外部密钥来保护最敏感的数据。如需详细了解本部分中介绍的加密选项，请参阅本页面上的保护 Trusted Cloud by S3NS中的数据。

加密类型	兼容的服务	特性
Google Cloud-powered encryption keys （Trusted Cloud 默认加密方式）	所有存储客户数据的 Trusted Cloud 服务	无需任何配置。自动加密保存在任何 Trusted Cloud by S3NS 服务中的客户数据。大多数服务都会自动轮替密钥。支持使用 AES-256 进行加密。已通过 FIPS 140-2 等级 1 验证。
客户管理的加密密钥 - 软件（Cloud KMS 密钥）	40 多项服务	您可以控制自动密钥轮替计划；IAM 角色和权限；启用、停用或销毁密钥版本。支持用于加密和解密的对称密钥和非对称密钥。自动轮替对称密钥。支持多种常用算法。已通过 FIPS 140-2 等级 1 验证。密钥是客户独有的。
客户管理的加密密钥 - 外部（Cloud EKM 密钥）	30 多项服务	您可以控制 IAM 角色和权限；启用、停用或销毁密钥版本。密钥绝不会发送给 Google。密钥材料位于兼容的外部密钥管理 (EKM) 提供商处。兼容的 Trusted Cloud 服务通过虚拟私有云 (VPC) 连接到您的 EKM 提供商。支持用于加密和解密的对称密钥。与 Cloud EKM 和 EKM 提供商协调，手动轮替密钥。经过 FIPS 140-2 2 级或 FIPS 140-2 3 级验证，具体取决于 EKM。密钥是客户独有的。
使用 Cloud KMS 密钥进行客户端加密	在应用中使用客户端库	您可以控制自动密钥轮替计划；IAM 角色和权限；启用、停用或销毁密钥版本。支持对称和非对称密钥，用于加密、解密、签名和签名验证。功能因密钥保护级别而异。
适用于 Google Workspace 的 Cloud HSM	在 Google Workspace 中使用 Cloud HSM 密钥进行客户端加密功能	您可以控制自动密钥轮替计划；IAM 角色和权限；启用、停用或销毁密钥版本。使用对称密钥进行加密和解密。
客户提供的加密密钥	Cloud Storage	您可以在需要时提供密钥材料。密钥材料驻留在内存中 - Google 不会将您的密钥永久存储在我们的服务器上。

注意：价格因加密类型和保护级别而异。如需了解详情，请参阅 Trusted Cloud与您分享的价格详情。

保护 Trusted Cloud by S3NS中的数据

Google Cloud-powered encryption keys （Trusted Cloud 默认加密方式）

默认情况下， Trusted Cloud 中的静态数据受 Keystore（ Trusted Cloud的内部密钥管理服务）中的密钥保护。密钥库中的密钥由 Trusted Cloud自动管理，您无需进行任何配置。大多数服务都会自动轮替密钥。密钥库支持一个主密钥版本和有限数量的旧密钥版本。主密钥版本用于加密新的数据加密密钥。旧密钥版本仍可用于解密现有的数据加密密钥。您无法查看或管理这些密钥，也无法查看密钥使用情况日志。多位客户的数据可能使用相同的密钥加密密钥。

此默认加密使用经过验证符合 FIPS 140-2 1 级标准的加密模块。

客户管理的加密密钥 (CMEK)

用于保护集成 CMEK 的服务中资源的 Cloud KMS 密钥是客户管理的加密密钥 (CMEK)。

您可以在兼容的服务中使用 Cloud KMS 密钥，以帮助您实现以下目标：

拥有自己的加密密钥。
控制和管理加密密钥，包括选择位置、保护级别、创建、访问权限控制、轮替、使用和销毁。
在员工离职或需要补救安全事件时，有选择地删除受密钥保护的数据（加密粉碎）。
创建专用单租户密钥，在数据周围建立加密边界。
记录对加密密钥的管理和数据访问情况。
满足当前或未来的法规要求（需要实现上述任一目标）。

将 Cloud KMS 密钥与集成 CMEK 的服务搭配使用时，您可以使用组织政策来确保 CMEK 按照政策中的指定方式使用。例如，您可以设置组织政策，确保兼容的 Trusted Cloud 资源使用您的 Cloud KMS 密钥进行加密。组织政策还可以指定密钥资源必须位于哪个项目中。

提供的功能和保护级别取决于密钥的保护级别：

软件密钥 - 您可以在 Cloud KMS 中生成软件密钥，并在所有 Trusted Cloud 位置使用这些密钥。您可以创建自动轮替的对称密钥，也可以创建手动轮替的非对称密钥。客户管理的软件密钥使用已通过 FIPS 140-2 1 级验证的软件加密模块。您还可以控制密钥的轮换周期、Identity and Access Management (IAM) 角色和权限，以及管理密钥的组织政策。您可以将软件密钥用于许多兼容的 Trusted Cloud资源。
导入的软件密钥 - 您可以导入在其他位置创建的软件密钥，以便在 Cloud KMS 中使用。您可以导入新的密钥版本，以手动轮替导入的密钥。您可以使用 IAM 角色和权限以及组织政策来管理导入的密钥的使用情况。
外部密钥和 Cloud EKM - 您可以使用外部密钥管理器 (EKM) 中的密钥。借助 Cloud EKM，您可以使用受支持的密钥管理器中保存的密钥来保护Trusted Cloud 资源。您可以通过 Virtual Private Cloud (VPC) 连接到 EKM。某些支持 Cloud KMS 密钥的 Trusted Cloud 服务不支持 Cloud EKM 密钥。

Cloud KMS 密钥

您可以使用 Cloud KMS 客户端库或 Cloud KMS API 在自定义应用中使用 Cloud KMS 密钥。借助客户端库和 API，您可以加密和解密数据、对数据进行签名以及验证签名。

Cloud HSM 密钥

您可以在 Cloud HSM for Google Workspace 中使用 Cloud HSM 密钥来管理 Google Workspace 中用于客户端加密功能 (CSE) 的密钥。您可以加入 Cloud HSM for Google Workspace。

客户提供的加密密钥 (CSEK)

Cloud Storage 可以使用客户提供的加密密钥 (CSEK)。使用客户提供的加密密钥时，您需要存储密钥材料，并在需要时将其提供给 Cloud Storage。不会以任何方式存储您的 CSEK。Trusted Cloud