Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Schutzniveaus

Auf dieser Seite werden die verschiedenen in Cloud KMS unterstützten Schutzstufen verglichen:

Software: Cloud KMS-Schlüssel mit dem Schutzniveau SOFTWARE werden für kryptografische Vorgänge verwendet, die in Software ausgeführt werden. Cloud KMS-Schlüssel können von Google generiert oder importiert werden.


Extern über VPC: Cloud EKM-Schlüssel mit der Schutzstufe EXTERNAL_VPC werden in Ihrem externen Schlüsselverwaltungssystem (External Key Management, EKM) generiert und gespeichert. In Cloud EKM werden zusätzliches kryptografisches Material und ein Pfad zu Ihrem eindeutigen Schlüssel gespeichert, mit dem über ein VPC-Netzwerk (Virtual Private Cloud) auf Ihren Schlüssel zugegriffen wird.

Schlüssel mit allen diesen Schutzniveaus haben die folgenden Funktionen gemeinsam:

Verwenden Sie Ihre Schlüssel fürTrusted Cloud -Dienste, die in vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) integriert sind.

Hinweis :Einige CMEK-integrierte Dienste unterstützen keine Cloud EKM-Schlüssel. Informationen dazu, welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, finden Sie unter CMEK-Integrationen.
Verwenden Sie Ihre Schlüssel mit den Cloud KMS APIs oder Clientbibliotheken, ohne dass spezieller Code basierend auf dem Schutzlevel des Schlüssels erforderlich ist.
Sie können den Zugriff auf Ihre Schlüssel mithilfe von IAM-Rollen (Identity and Access Management) steuern.
Sie können festlegen, ob jede Schlüsselversion in Cloud KMS Aktiviert oder Deaktiviert ist.
Schlüsselvorgänge werden in Audit-Logs erfasst. Das Logging des Datenzugriffs kann aktiviert werden.

Softwareschutzniveau

Cloud KMS verwendet das BoringCrypto-Modul (BCM) für alle kryptografischen Vorgänge für Softwareschlüssel. BCM ist gemäß FIPS 140-2 validiert. Für Cloud KMS-Softwareschlüssel werden die gemäß FIPS 140-2 Level 1 validierten kryptografischen Primitive des BCM verwendet.

Softwareschlüssel sind eine gute Wahl für Anwendungsfälle, die keine spezifischen behördlichen Anforderungen für eine höhere FIPS 140‑2-Validierungsstufe haben.

Schutzniveau „Extern über VPC“

Cloud External Key Manager-Schlüssel (Cloud EKM-Schlüssel) sind Schlüssel, die Sie in einem unterstützten EKM-Partnerdienst (External Key Management) verwalten und inTrusted Cloud -Diensten sowie Cloud KMS-APIs und -Clientbibliotheken verwenden. Cloud EKM-Schlüssel können je nach EKM-Anbieter software- oder hardwaregestützt sein. Sie können Ihre Cloud EKM-Schlüssel in CMEK-integrierten Diensten oder mit den Cloud KMS-APIs und -Clientbibliotheken verwenden. Cloud KMS stellt über ein VPC-Netzwerk eine Verbindung zu Ihrem Cloud EKM her.

Wenn Sie Cloud EKM-Schlüssel verwenden, können Sie sicher sein, dass Trusted Cloud nicht auf Ihr Schlüsselmaterial zugreifen kann.

Welche CMEK-integrierten Dienste Cloud EKM-Schlüssel unterstützen, erfahren Sie unter CMEK-Integrationen. Wenden Sie dort den Filter Nur EKM-kompatible Dienste anzeigen an.

Sie können Cloud EKM-Schlüssel über ein VPC-Netzwerk an den meisten regionalen Standorten verwenden, die von Cloud KMS unterstützt werden.

Nächste Schritte

Weitere Informationen zu kompatiblen Diensten, mit denen Sie Ihre Schlüssel in Trusted Cloudverwenden können
Schlüsselbunde erstellen und Verschlüsselungsschlüssel erstellen
Weitere Informationen zum Importieren von Schlüsseln
Weitere Informationen zu externen Schlüsseln
Weitere Überlegungen zur Verwendung von Cloud EKM