Auf dieser Seite werden die verschiedenen in Cloud KMS unterstützten Schutzstufen verglichen:
- Software
- Cloud KMS-Schlüssel mit dem Schutzniveau
SOFTWARE
werden für kryptografische Vorgänge verwendet, die in Software ausgeführt werden. Cloud KMS-Schlüssel können von Google generiert oder importiert werden. -
- Extern über VPC
- Cloud EKM-Schlüssel mit der Schutzstufe
EXTERNAL_VPC
werden in Ihrem externen Schlüsselverwaltungssystem (External Key Management, EKM) generiert und gespeichert. In Cloud EKM werden zusätzliches kryptografisches Material und ein Pfad zu Ihrem eindeutigen Schlüssel gespeichert, mit dem über ein VPC-Netzwerk (Virtual Private Cloud) auf Ihren Schlüssel zugegriffen wird.
Schlüssel mit allen diesen Schutzniveaus haben die folgenden Funktionen gemeinsam:
Verwenden Sie Ihre Schlüssel fürTrusted Cloud -Dienste, die in vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) integriert sind.
Verwenden Sie Ihre Schlüssel mit den Cloud KMS APIs oder Clientbibliotheken, ohne dass spezieller Code basierend auf dem Schutzlevel des Schlüssels erforderlich ist.
Sie können den Zugriff auf Ihre Schlüssel mithilfe von IAM-Rollen (Identity and Access Management) steuern.
Sie können festlegen, ob jede Schlüsselversion in Cloud KMS Aktiviert oder Deaktiviert ist.
Schlüsselvorgänge werden in Audit-Logs erfasst. Das Logging des Datenzugriffs kann aktiviert werden.
Softwareschutzniveau
Cloud KMS verwendet das BoringCrypto-Modul (BCM) für alle kryptografischen Vorgänge für Softwareschlüssel. BCM ist gemäß FIPS 140-2 validiert. Für Cloud KMS-Softwareschlüssel werden die gemäß FIPS 140-2 Level 1 validierten kryptografischen Primitive des BCM verwendet.
Softwareschlüssel sind eine gute Wahl für Anwendungsfälle, die keine spezifischen behördlichen Anforderungen für eine höhere FIPS 140‑2-Validierungsstufe haben.Schutzniveau „Extern über VPC“
Cloud External Key Manager-Schlüssel (Cloud EKM-Schlüssel) sind Schlüssel, die Sie in einem unterstützten EKM-Partnerdienst (External Key Management) verwalten und inTrusted Cloud -Diensten sowie Cloud KMS-APIs und -Clientbibliotheken verwenden. Cloud EKM-Schlüssel können je nach EKM-Anbieter software- oder hardwaregestützt sein. Sie können Ihre Cloud EKM-Schlüssel in CMEK-integrierten Diensten oder mit den Cloud KMS-APIs und -Clientbibliotheken verwenden. Cloud KMS stellt über ein VPC-Netzwerk eine Verbindung zu Ihrem Cloud EKM her.
Wenn Sie Cloud EKM-Schlüssel verwenden, können Sie sicher sein, dass Trusted Cloud nicht auf Ihr Schlüsselmaterial zugreifen kann.Welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, erfahren Sie unter CMEK-Integrationen. Wenden Sie dort den Filter Nur EKM-kompatible Dienste anzeigen an.
Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk an den meisten regionalen Standorten verwenden, die von Cloud KMS unterstützt werden.
Nächste Schritte
- Weitere Informationen zu kompatiblen Diensten, mit denen Sie Ihre Schlüssel in Trusted Cloudverwenden können
- Schlüsselbunde erstellen und Verschlüsselungsschlüssel erstellen
- Weitere Informationen zum Importieren von Schlüsseln
- Weitere Informationen zu externen Schlüsseln
- Weitere Überlegungen zur Verwendung von Cloud EKM