Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud KMS con Autokey

Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità sulle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa.

L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione Multi-tenant Cloud HSM, la separazione delle responsabilità, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per Cloud de Confiance i servizi che si integrano con Cloud KMS Autokey. Una volta create, le chiavi richieste utilizzando Autokey funzionano in modo identico a altre chiavi Cloud HSM con le stesse impostazioni.

Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire l'infrastruttura come codice con privilegi elevati di creazione delle chiavi.

Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse organizzazione e cartella, consulta Gerarchia delle risorse.

Cloud KMS Autokey è disponibile in tutte le Cloud de Confiance località in cui Cloud HSM è disponibile. Per ulteriori informazioni sulle località Cloud KMS, consulta Località Cloud KMS. L'utilizzo di Cloud KMS Autokey non comporta costi aggiuntivi. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.

Per ulteriori informazioni su Autokey, consulta Panoramica di Autokey.

Scegliere tra Autokey e altre opzioni di crittografia

Cloud KMS con Autokey è come un pilota automatico per le chiavi di crittografia gestite dal cliente: esegue il lavoro per tuo conto, on demand. Non devi pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessarie. Le chiavi e il loro utilizzo sono coerenti. Puoi definire le cartelle in cui vuoi che Autokey venga utilizzato e controllare chi può utilizzarlo. Mantieni il pieno controllo delle chiavi create da Autokey. Puoi utilizzare le chiavi Cloud KMS create manualmente insieme alle chiavi create utilizzando Autokey. Puoi disattivare Autokey e continuare a utilizzare le chiavi create nello stesso modo in cui utilizzeresti qualsiasi altra chiave Cloud KMS.

Cloud KMS Autokey è una buona scelta se vuoi un utilizzo coerente delle chiavi tra i progetti, con un basso overhead operativo, e vuoi seguire i consigli di Google per le chiavi.

Funzionalità	Crittografia predefinita di Google	Cloud KMS	Cloud KMS Autokey
Isolamento crittografico: le chiavi sono esclusive per l'account di un cliente	No	Sì	Sì
Il cliente possiede e controlla le chiavi	No	Sì	Sì
Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi	Sì	No	Sì
Specificità: le chiavi vengono create automaticamente con la granularità consigliata	No	No	Sì
Consente di distruggere i dati tramite crittografia	No	Sì	Sì
Si allinea automaticamente alle pratiche consigliate per la gestione delle chiavi	No	No	Sì
Utilizza chiavi basate su HSM conformi allo standard FIPS 140-2 livello 3	No	Facoltativo	Sì

Se devi utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato, puoi utilizzare CMEK senza Autokey.

Servizi compatibili

La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:

Servizio	Risorse protette	Granularità della chiave
Artifact Registry	`artifactregistry.googleapis.com/Repository` Autokey crea le chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati.	Una chiave per risorsa
BigQuery	`bigquery.googleapis.com/Dataset` Autokey crea chiavi predefinite per i set di dati. Le tabelle, i modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o organizzazione.	Una chiave per risorsa
Bigtable	`bigtableadmin.googleapis.com/Cluster` Autokey crea chiavi per i cluster. Autokey non crea chiavi per le risorse Bigtable diverse dai cluster. Bigtable è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o Google Cloud SDK.	Una chiave per cluster
AlloyDB per PostgreSQL	`alloydb.googleapis.com/Cluster` `alloydb.googleapis.com/Backup` AlloyDB per PostgreSQL è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST.	Una chiave per risorsa
Cloud Run	`run.googleapis.com/Service` `run.googleapis.com/Job`	Una chiave per località all'interno di un progetto
Cloud SQL	`sqladmin.googleapis.com/Instance` Autokey non crea chiavi per le risorse `BackupRun` di Cloud SQL. Quando crei un backup di un 'istanza Cloud SQL, il backup viene criptato con la chiave gestita dal cliente dell'istanza principale. Cloud SQL è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST.	Una chiave per risorsa
Cloud Storage	`storage.googleapis.com/Bucket` Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea chiavi per le risorse `storage.object`.	Una chiave per bucket
Compute Engine	`compute.googleapis.com/Disk` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/MachineImage` Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot. Autokey non crea chiavi per le risorse `compute.snapshot`.	Una chiave per risorsa
Pub/Sub	`pubsub.googleapis.com/Topic`	Una chiave per risorsa
Secret Manager	`secretmanager.googleapis.com/Secret` Secret Manager è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST.	Una chiave per località all'interno di un progetto
Secure Source Manager	`securesourcemanager.googleapis.com/Instance`	Una chiave per risorsa
Spanner	`spanner.googleapis.com/Database` Spanner è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST.	Una chiave per risorsa
Dataflow	`dataflow.googleapis.com/Job`	Una chiave per risorsa

Passaggi successivi

Per scoprire di più su come funziona Cloud KMS Autokey, consulta Panoramica di Autokey.