Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud KMS mit Autokey

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von kundenverwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei Bedarf generiert. Dienstkonten die die Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten IAM-Rollen (Identity and Access Management) bei Bedarf. Cloud KMS-Administratoren behalten die volle Kontrolle und Übersicht über die von Autokey erstellten Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.

Die Verwendung von von Autokey generierten Schlüsseln kann Ihnen helfen, die Industriestandards und empfohlenen Praktiken für die Datensicherheit konsistent einzuhalten. Dazu gehören das Schutzniveau von Multi-Tenant Cloud HSM, die Aufgabentrennung, die Schlüsselrotation, der Standort und die Schlüsselspezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp für Cloud de Confiance Dienste spezifisch sind, die in Cloud KMS Autokey eingebunden sind. Nach der Erstellung funktionieren mit Autokey angeforderte Schlüssel genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da keine Infrastruktur-als-Code-Ausführung mit erhöhten Berechtigungen zur Schlüsselerstellung erforderlich ist.

Um Autokey zu verwenden, benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Cloud de Confiance Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Schlüssel, die mit Autokey erstellt wurden, werden genauso berechnet wie alle anderen Cloud HSM-Schlüssel. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.

Weitere Informationen zu Autokey finden Sie unter Übersicht: Autokey.

Zwischen Autokey und anderen Verschlüsselungsoptionen wählen

Cloud KMS mit Autokey ist wie ein Autopilot für kundenverwaltete Verschlüsselungsschlüssel: Es erledigt die Arbeit in Ihrem Namen und bei Bedarf. Sie müssen Schlüssel nicht im Voraus planen oder Schlüssel erstellen, die möglicherweise nie benötigt werden. Schlüssel und Schlüsselnutzung sind konsistent. Sie können die Ordner definieren, in denen Sie Autokey verwenden möchten, und festlegen, wer es verwenden darf. Sie behalten die volle Kontrolle über die von Autokey erstellten Schlüssel. Sie können manuell erstellte Cloud KMS-Schlüssel zusammen mit Schlüsseln verwenden, die mit Autokey erstellt wurden. Sie können Autokey deaktivieren und die erstellten Schlüssel weiterhin so verwenden wie jeden anderen Cloud KMS-Schlüssel.

Cloud KMS Autokey ist eine gute Wahl, wenn Sie eine konsistente Schlüsselnutzung in allen Projekten mit geringem Betriebsaufwand wünschen und die Empfehlungen von Google für Schlüssel befolgen möchten.

Funktion oder Möglichkeit	Standardmäßige Google-Verschlüsselung	Cloud KMS	Cloud KMS Autokey
Kryptografische Isolation: Schlüssel sind exklusiv für das Konto eines Kunden	Nein	Ja	Ja
Kunde besitzt und kontrolliert Schlüssel	Nein	Ja	Ja
Entwickler löst die Schlüsselbereitstellung und -zuweisung aus	Ja	Nein	Ja
Spezifität: Schlüssel werden automatisch mit der empfohlenen Schlüssel Granularität erstellt	Nein	Nein	Ja
Ermöglicht das kryptografische Löschen von Daten	Nein	Ja	Ja
Automatische Ausrichtung an empfohlenen Praktiken für die Schlüsselverwaltung	Nein	Nein	Ja
Verwendet HSM-gestützte Schlüssel, die FIPS 140-2 Level 3-konform sind	Nein	Optional	Ja

Wenn Sie ein anderes Schutzniveau als HSM oder einen benutzerdefinierten Rotationszeitraum verwenden müssen, können Sie CMEK ohne Autokey verwenden.

Kompatible Dienste

In der folgenden Tabelle sind die Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst	Geschützte Ressourcen	Schlüsselgranularität
Artifact Registry	`artifactregistry.googleapis.com/Repository` Autokey erstellt Schlüssel während der Repository-Erstellung, die für alle gespeicherten Artefakte verwendet werden.	Ein Schlüssel pro Ressource
BigQuery	`bigquery.googleapis.com/Dataset` Autokey erstellt Standardschlüssel für Datasets. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden den Standardschlüssel des Datasets. Mit Autokey werden keine Schlüssel für andere BigQuery-Ressourcen als Datasets erstellt. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.	Ein Schlüssel pro Ressource
Bigtable	`bigtableadmin.googleapis.com/Cluster` Autokey erstellt Schlüssel für Cluster. Mit Autokey werden keine Schlüssel für andere Bigtable-Ressourcen als Cluster erstellt. Bigtable ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder dem Google Cloud SDK erstellt werden.	Ein Schlüssel pro Cluster
AlloyDB for PostgreSQL	`alloydb.googleapis.com/Cluster` `alloydb.googleapis.com/Backup` AlloyDB for PostgreSQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Cloud Run	`run.googleapis.com/Service` `run.googleapis.com/Job`	Ein Schlüssel pro Standort in einem Projekt
Cloud SQL	`sqladmin.googleapis.com/Instance` Mit Autokey werden keine Schlüssel für Cloud SQL `BackupRun` Ressourcen erstellt. Wenn Sie eine Sicherung einer Cloud SQL-Instanz erstellen, wird die Sicherung mit dem primären Instanz-kundenverwalteten Schlüssel verschlüsselt. Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Cloud Storage	`storage.googleapis.com/Bucket` Objekte in einem Storage-Bucket verwenden den Standardschlüssel des Buckets. Mit Autokey werden keine Schlüssel für `storage.object` Ressourcen erstellt.	Ein Schlüssel pro Bucket
Compute Engine	`compute.googleapis.com/Disk` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/MachineImage` Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen. Mit Autokey werden keine Schlüssel für `compute.snapshot` Ressourcen erstellt.	Ein Schlüssel pro Ressource
Pub/Sub	`pubsub.googleapis.com/Topic`	Ein Schlüssel pro Ressource
Secret Manager	`secretmanager.googleapis.com/Secret` Secret Manager ist nur dann mit Cloud KMS Autokey wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Standort in einem Projekt
Secure Source Manager	`securesourcemanager.googleapis.com/Instance`	Ein Schlüssel pro Ressource
Spanner	`spanner.googleapis.com/Database` Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Dataflow	`dataflow.googleapis.com/Job`	Ein Schlüssel pro Ressource

Nächste Schritte

Weitere Informationen zur Funktionsweise von Cloud KMS Autokey finden Sie unter Übersicht: Autokey.