Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Key Management Service – Übersicht

Mit Cloud Key Management Service (Cloud KMS) können Sie kryptografische Schlüssel für die Verwendung in kompatiblen Cloud de Confiance by S3NS Diensten und in Ihren eigenen Anwendungen erstellen und verwalten. Mit Cloud KMS können Sie Folgendes tun:

Sie können Softwareschlüssel generieren, vorhandene Schlüssel in Cloud KMS importieren oder externe Schlüssel in Ihrem kompatiblen externen Schlüsselverwaltungssystem (EKM) verknüpfen.
Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEKs) in Cloud de Confiance-Produkten mit CMEK-Integration verwenden Bei CMEK-Integrationen werden Ihre Cloud KMS-Schlüssel verwendet, um Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) zu verschlüsseln oder zu „verpacken“. Das Umschließen von DEKs mit Schlüsselverschlüsselungsschlüsseln (Key Encryption Keys, KEKs) wird als Umschlagverschlüsselung bezeichnet.
Cloud KMS-Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden. Sie können beispielsweise die Cloud KMS API oder Clientbibliotheken verwenden, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu nutzen.
Mit Cloud KMS-Schlüsseln können Sie digitale Signaturen oder MAC-Signaturen (Message Authentication Code) erstellen oder überprüfen.
Mit Cloud KMS-Schlüsseln können Sie gemeinsame Secrets mithilfe von Key Encapsulation Mechanisms (KEMs) erstellen.

Die richtige Verschlüsselung für Ihre Anforderungen auswählen

In der folgenden Tabelle finden Sie Informationen dazu, welche Art der Verschlüsselung für die einzelnen Anwendungsfälle am besten geeignet ist. Die beste Lösung für Ihre Anforderungen kann eine Kombination aus verschiedenen Verschlüsselungsansätzen sein. Sie können beispielsweise Softwareschlüssel für Ihre am wenigsten sensiblen Daten und externe Schlüssel für Ihre sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Cloud de Confiance by S3NSschützen.

Verschlüsselungstyp	Kompatible Dienste	Features
Google Cloud-powered encryption keys (Cloud de Confiance Standardverschlüsselung)	Alle Cloud de Confiance Dienste, in denen Kundendaten gespeichert werden	Keine Konfiguration erforderlich. Verschlüsselt automatisch Kundendaten, die in einem Cloud de Confiance by S3NS -Dienst gespeichert sind. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Unterstützt die Verschlüsselung mit AES‑256. Validiert gemäß FIPS 140-2 Level 1.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Software (Cloud KMS-Schlüssel)	Mehr als 40 Dienste	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und ‑Berechtigungen sowie das Aktivieren, Deaktivieren oder Löschen von Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für die Ver- und Entschlüsselung. Symmetrische Schlüssel werden automatisch rotiert. Unterstützt mehrere gängige Algorithmen. Validiert gemäß FIPS 140-2 Level 1. Schlüssel sind für einen Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel)	Über 30 Dienste	Sie steuern IAM-Rollen und -Berechtigungen und können Schlüsselversionen aktivieren, deaktivieren oder löschen. Schlüssel werden niemals an Google gesendet. Das Schlüsselmaterial befindet sich bei einem kompatiblen EKM-Anbieter (External Key Management). Kompatible Cloud de Confiance Dienste stellen über eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM-Anbieter her. Unterstützt symmetrische Schlüssel für die Ver- und Entschlüsselung. Rotieren Sie Ihre Schlüssel manuell in Abstimmung mit Cloud EKM und Ihrem EKM-Anbieter. Je nach EKM gemäß FIPS 140-2 Level 2 oder FIPS 140-2 Level 3 validiert. Schlüssel sind für einen Kunden eindeutig.
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln	Clientbibliotheken in Ihren Anwendungen verwenden	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und ‑Berechtigungen sowie das Aktivieren, Deaktivieren oder Löschen von Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung, Entschlüsselung, Signierung und Signaturvalidierung. Die Funktionalität variiert je nach Schlüsselschutzstufe.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel	Cloud Storage	Sie stellen bei Bedarf wichtige Materialien zur Verfügung. Schlüsselmaterial befindet sich im Arbeitsspeicher – Google speichert Ihre Schlüssel nicht dauerhaft auf unseren Servern.

Hinweis: Die Preise variieren je nach Verschlüsselungstyp und Schutzstufe. Weitere Informationen finden Sie in den Preisdetails, die Ihnen von Cloud de Confiancezur Verfügung gestellt wurden.

Daten in Cloud de Confiance by S3NSschützen

Google Cloud-powered encryption keys (Cloud de Confiance Standardverschlüsselung)

Standardmäßig werden inaktive Daten in Cloud de Confiance durch Schlüssel in Keystore, Cloud de Confiancedem internen Key Management Service von Cloud de Confiance ,geschützt. Schlüssel im Keystore werden automatisch von Cloud de Confianceverwaltet. Sie müssen nichts konfigurieren. Bei den meisten Diensten werden Schlüssel automatisch rotiert. Der Keystore unterstützt eine primäre Schlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die primäre Schlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Ältere Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden. Sie können diese Schlüssel weder ansehen noch verwalten und auch keine Logs zur Schlüsselnutzung aufrufen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel verwendet werden.

Für diese Standardverschlüsselung werden Verschlüsselungsmodule verwendet, die FIPS 140-2 Level 1-konform sind.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in CMEK-integrierten Diensten verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel und können sie verwalten, einschließlich der Auswahl des Speicherorts, des Schutzlevels, der Erstellung, der Zugriffssteuerung, der Rotation, der Verwendung und der Vernichtung.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, im Falle eines Offboardings oder zur Behebung von Sicherheitsereignissen selektiv löschen (Krypto-Shredding).
Erstellen Sie dedizierte Single-Tenant-Schlüssel, die eine kryptografische Grenze um Ihre Daten bilden.
Administrator- und Datenzugriff auf Verschlüsselungsschlüssel protokollieren.
Einhaltung aktueller oder zukünftiger Vorschriften, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie Organisationsrichtlinien verwenden, um sicherzustellen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, mit der sichergestellt wird, dass Ihre kompatiblen Cloud de Confiance Ressourcen Ihre Cloud KMS-Schlüssel für die Verschlüsselung verwenden. In Organisationsrichtlinien kann auch angegeben werden, in welchem Projekt sich die Schlüsselressourcen befinden müssen.

Die Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:

Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Cloud de Confiance Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Für vom Kunden verwaltete Softwareschlüssel werden gemäß FIPS 140-2 Level 1 validierte Softwarekryptografiemodule verwendet. Sie haben auch die Kontrolle über den Rotationszeitraum, IAM-Rollen (Identity and Access Management) und -Berechtigungen sowie Organisationsrichtlinien, die Ihre Schlüssel regeln. Sie können Ihre Softwareschlüssel mit vielen kompatiblen Cloud de ConfianceRessourcen verwenden.
Importierte Softwareschlüssel: Sie können Softwareschlüssel, die Sie an anderer Stelle erstellt haben, zur Verwendung in Cloud KMS importieren. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen und ‑Berechtigungen sowie Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem externen Schlüsselmanager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel verwenden, die in einem unterstützten Schlüsselverwaltungssystem gespeichert sind, um IhreCloud de Confiance -Ressourcen zu schützen. Sie stellen über eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM her. Einige Cloud de Confiance Dienste, die Cloud KMS-Schlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen mit den Cloud KMS-Clientbibliotheken oder der Cloud KMS API verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, Daten signieren und Signaturen validieren.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs)

Cloud Storage kann vom Kunden bereitgestellte Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEKs) verwenden. Bei vom Kunden bereitgestellten Verschlüsselungsschlüsseln speichern Sie das Schlüsselmaterial und stellen es Cloud Storage bei Bedarf zur Verfügung. Cloud de Confiance speichert Ihre CSEKs in keiner Weise.