Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud by S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Risorse di Cloud KMS

Questa pagina descrive ogni tipo di risorsa in Cloud KMS. Puoi approfondire la gerarchia delle risorse.

Chiavi

Una chiave Cloud KMS è un oggetto denominato contenente una o più versioni della chiave, oltre ai metadati della chiave. Esiste una chiave su esattamente un keyring associato a una posizione specifica.

Puoi consentire e negare l'accesso alle chiavi utilizzando le autorizzazioni e i ruoli di Identity and Access Management (IAM). Non puoi gestire l'accesso a una versione della chiave.

La disattivazione o la distruzione di una chiave comporta anche la disattivazione o la distruzione di ogni versione della chiave.

Le sezioni seguenti descrivono le proprietà di una chiave.

A seconda del contesto, le proprietà di una chiave vengono mostrate in un formato diverso.

Quando utilizzi Google Cloud CLI o l'API Cloud Key Management Service, la proprietà viene visualizzata come una stringa di lettere maiuscole, ad esempio SOFTWARE.
Quando utilizzi la Trusted Cloud console, la proprietà viene visualizzata come stringa con lettere maiuscole iniziali, ad esempio Software.

Nelle sezioni seguenti, ogni formato viene mostrato dove è appropriato.

Tipo

Il tipo di chiave determina se la chiave viene utilizzata per operazioni di crittografia simmetrica o asimmetrica.

Nella crittografia o nella firma simmetrica, la stessa chiave viene utilizzata per criptare e decriptare i dati o per firmare e verificare una firma.

Nella crittografia o nella firma asimmetrica, la chiave è composta da una chiave pubblica e da una chiave privata. Una chiave privata con la relativa chiave pubblica corrispondente è chiamata coppia di chiavi.

La chiave privata è un dato sensibile ed è necessaria per decriptare i dati o per la firma, a seconda dello scopo configurato della chiave.
La chiave pubblica non è considerata sensibile ed è necessaria per criptare i dati o per verificare una firma, a seconda dello scopo configurato della chiave.

Il tipo di una chiave è un componente dello scopo della chiave e non può essere modificato dopo la creazione della chiave.

Finalità

Lo scopo di una chiave indica il tipo di operazioni di crittografia per le quali può essere utilizzata, ad esempio Crittografia/decrittografia simmetrica o Firma asimmetrica. Scegli lo scopo al momento della creazione della chiave e tutte le versioni di una chiave hanno lo stesso scopo. Lo scopo di una chiave non può essere modificato dopo la sua creazione. Per saperne di più sulle finalità principali, consulta Finalità principali.

Livello di protezione

Il livello di protezione di una chiave determina l'ambiente di archiviazione della chiave in stato inattivo. Il livello di protezione è uno dei seguenti:

Software (SOFTWARE)
External_VPC (EXTERNAL_VPC)

Il livello di protezione di una chiave non può essere modificato dopo la creazione della chiave.

Versione primaria

Le chiavi possono avere più versioni attive e abilitate contemporaneamente. Le chiavi di crittografia simmetrica hanno una versione primaria, ovvero la versione della chiave utilizzata per impostazione predefinita per criptare i dati se non specifichi una versione della chiave.

Le chiavi asimmetriche non hanno versioni principali; devi specificare la versione quando utilizzi la chiave.

Per le chiavi simmetriche e asimmetriche, puoi utilizzare qualsiasi versione della chiave abilitata per criptare e decriptare i dati o per firmare e convalidare le firme.

Versioni delle chiavi

Ogni versione di una chiave contiene il materiale della chiave utilizzato per la crittografia o la firma. A ogni versione viene assegnato un numero, a partire da 1. La rotazione di una chiave crea una nuova versione della chiave. Scopri di più sulla rotazione delle chiavi.

Per decriptare i dati o verificare una firma, devi utilizzare la stessa versione della chiave utilizzata per criptare o firmare i dati. Per trovare l'ID risorsa di una versione della chiave, consulta Recupero dell'ID risorsa di una chiave.

Puoi disattivare o eliminare singole versioni della chiave senza influire sulle altre. Puoi anche disattivare o distruggere tutte le versioni della chiave per una determinata chiave.

Non puoi controllare l'accesso alle versioni della chiave indipendentemente dalle autorizzazioni in vigore sulla chiave. La concessione dell'accesso a una chiave abilita l'accesso a tutte le sue versioni attivate.

Per motivi di sicurezza, nessun Trusted Cloud principale può visualizzare o esportare il materiale della chiave criptata grezzo rappresentato da una versione della chiave. Al contrario, Cloud KMS accede al materiale della chiave per tuo conto.

Le sezioni seguenti illustrano le proprietà di una versione della chiave.

Stato

Ogni versione della chiave ha uno stato che indica il relativo stato. In genere, lo stato di una chiave sarà uno dei seguenti:

Abilitato
Disattivata
Pianificata per l'eliminazione
Eliminata

Una versione della chiave può essere utilizzata solo se è abilitata. Le versioni delle chiavi in uno stato diverso da eliminato comportano costi. Per ulteriori informazioni sugli stati delle versioni delle chiavi e su come le versioni possono passare da uno stato all'altro, consulta Stati delle versioni delle chiavi.

Algoritmo

L'algoritmo di una versione della chiave determina il modo in cui viene creato il materiale della chiave e i parametri richiesti per le operazioni crittografiche. Le chiavi simmetriche e asimmetriche utilizzano algoritmi diversi. La crittografia e la firma utilizzano algoritmi diversi.

Se non specifichi un algoritmo durante la creazione di una nuova versione della chiave, viene utilizzato l'algoritmo della versione precedente.

Indipendentemente dall'algoritmo, Cloud KMS utilizza la crittografia probabilistica, in modo che la stessa testo non cifrato criptata due volte con la stessa versione della chiave non restituisce la stessa crittografia.

Chiavi automatizzate

Un keyring organizza le chiavi in una posizione Trusted Cloud specifica e ti consente di gestire il controllo dell'accesso a gruppi di chiavi. Il nome di un mazzo di chiavi non deve essere univoco in un progetto, ma deve essere univoco in una determinata posizione. Trusted Cloud Una volta creato, un portachiavi non può essere eliminato.

Connessioni EKM

Una connessione EKM è una risorsa Cloud KMS che organizza le connessioni VPC alle tue EKM on-premise in una posizioneTrusted Cloud specifica. Una connessione EKM ti consente di connetterti a un gestore di chiavi esterno e di utilizzarne le chiavi tramite una rete VPC. Dopo la creazione, una connessione EKM non può essere eliminata.

Recuperare l'ID di una risorsa

Alcune chiamate API e gcloud CLI potrebbero richiedere di fare riferimento a un anello di chiavi, a una chiave o a una versione della chiave tramite il relativo ID risorsa, ovvero una stringa che rappresenta il nome completo di CryptoKeyVersion. Gli ID risorsa sono gerarchici, simili a un percorso del file system. L'ID risorsa di una chiave contiene anche informazioni sul ciondolo e sulla posizione.

Oggetto	Formato dell'ID risorsa
Chiavi automatizzate	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Chiave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Versione chiave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Connessione EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`

Per saperne di più, consulta Ottenere un ID risorsa Cloud KMS.

Organizzazione delle risorse

Quando pianifichi come organizzare le risorse nel tuo Trusted Cloud progetto, prendi in considerazione le regole aziendali e come prevedi di gestire l'accesso. Puoi concedere l'accesso a una singola chiave, a tutte le chiavi di un mazzo o a tutte le chiavi di un progetto. I seguenti pattern di organizzazione sono comuni:

Per ambiente, ad esempio prod, test e develop.
Per area di lavoro, ad esempio payroll o insurance_claims.
In base alla sensibilità o alle caratteristiche dei dati, ad esempio unrestricted, restricted, confidential, top-secret.

Cicli di vita delle risorse

I keyring, le chiavi e le versioni delle chiavi non possono essere eliminati. In questo modo, l'identificatore della risorsa di una versione della chiave è univoco e rimanda sempre al materiale della chiave originale per quella versione, a meno che non sia stato distrutto. Puoi memorizzare un numero illimitato di keyring, chiavi attive o disattivate e versioni delle chiavi attive, disattivate o eliminate. Per ulteriori informazioni, consulta Quote.

Per scoprire come eliminare o ripristinare una versione della chiave, consulta Distruzione e ripristino delle versioni delle chiavi.

Dopo aver pianificato la chiusura di un Trusted Cloud by S3NS progetto, non puoi accedere alle risorse del progetto, incluse le risorse Cloud KMS, a meno che non recuperi il progetto seguendo la procedura per ripristinare un progetto.

Passaggi successivi

Crea una chiave.
Scopri di più su autorizzazioni e ruoli in Cloud KMS.