Halaman ini membandingkan berbagai tingkat perlindungan yang didukung di Cloud KMS:
- Software
- Kunci Cloud KMS dengan tingkat perlindungan
SOFTWARE
digunakan untuk operasi kriptografis yang dilakukan di software. Kunci Cloud KMS dapat dibuat oleh Google atau diimpor. -
- Eksternal melalui VPC
- Kunci Cloud EKM dengan tingkat perlindungan
EXTERNAL_VPC
dibuat dan disimpan dalam sistem pengelolaan kunci eksternal (EKM) Anda. Cloud EKM menyimpan materi kriptografi tambahan dan jalur ke kunci unik Anda, yang digunakan untuk mengakses kunci Anda melalui jaringan virtual private cloud (VPC).
Kunci dengan semua tingkat perlindungan ini memiliki fitur berikut:
Gunakan kunci Anda untuk layanan yang terintegrasi dengan kunci enkripsi yang dikelola pelanggan (CMEK).Trusted Cloud
Gunakan kunci Anda dengan API atau library klien Cloud KMS, tanpa kode khusus berdasarkan tingkat perlindungan kunci.
Kontrol akses ke kunci Anda menggunakan peran Identity and Access Management (IAM).
Kontrol apakah setiap versi kunci Diaktifkan atau Dinonaktifkan dari Cloud KMS.
Operasi utama dicatat dalam log audit. Logging akses data dapat diaktifkan.
Tingkat perlindungan software
Cloud KMS menggunakan modul BoringCrypto (BCM) untuk semua operasi kriptografis untuk kunci software. BCM divalidasi FIPS 140-2. Kunci software Cloud KMS menggunakan Primitif Kriptografis BCM yang divalidasi FIPS 140-2 Level 1.
Kunci software adalah pilihan yang tepat untuk kasus penggunaan yang tidak memiliki persyaratan peraturan khusus untuk tingkat validasi FIPS 140-2 yang lebih tinggi.Tingkat perlindungan eksternal melalui VPC
Kunci Cloud External Key Manager (Cloud EKM) adalah kunci yang Anda kelola di layanan partner pengelolaan kunci eksternal (EKM) yang didukung dan digunakan diTrusted Cloud layanan serta API dan library klien Cloud KMS. Kunci Cloud EKM dapat didukung software atau hardware, bergantung pada penyedia EKM Anda. Anda dapat menggunakan kunci Cloud EKM di layanan yang terintegrasi dengan CMEK atau menggunakan API dan library klien Cloud KMS. Cloud KMS terhubung ke Cloud EKM Anda melalui jaringan VPC.
Saat menggunakan kunci Cloud EKM, Anda dapat memastikan bahwa Trusted Cloud tidak dapat mengakses materi kunci Anda.Untuk melihat layanan yang terintegrasi dengan CMEK yang mendukung kunci Cloud EKM, lihat integrasi CMEK dan terapkan filter Tampilkan hanya layanan yang kompatibel dengan EKM.
Anda dapat menggunakan kunci Cloud EKM melalui jaringan VPC di sebagian besar lokasi regional yang didukung oleh Cloud KMS.
Langkah berikutnya
- Pelajari layanan yang kompatibel yang memungkinkan Anda menggunakan kunci Anda di Trusted Cloud.
- Pelajari cara membuat key ring dan membuat kunci enkripsi.
- Pelajari cara mengimpor kunci.
- Pelajari kunci eksternal.
- Pelajari pertimbangan lain untuk menggunakan Cloud EKM.