Questa pagina confronta i diversi livelli di protezione supportati in Cloud KMS:
- Software
- Le chiavi Cloud KMS con il livello di protezione
SOFTWARE
vengono utilizzate per le operazioni di crittografia eseguite nel software. Le chiavi Cloud KMS possono essere generate da Google o importate. -
- Esterno su VPC
- Le chiavi Cloud EKM con il livello di protezione
EXTERNAL_VPC
vengono generate e archiviate nel tuo sistema di gestione delle chiavi esterne (EKM). Cloud EKM archivia materiale crittografico aggiuntivo e un percorso alla tua chiave univoca, che viene utilizzata per accedere alla chiave tramite una rete Virtual Private Cloud (VPC).
Le chiavi con tutti questi livelli di protezione condividono le seguenti funzionalità:
Utilizza le tue chiavi per i servizi integrati con la chiave di crittografia gestita dal cliente (CMEK)Trusted Cloud .
Utilizza le chiavi con le API Cloud KMS o le librerie client, senza alcun codice specializzato in base al livello di protezione della chiave.
Controlla l'accesso alle chiavi utilizzando i ruoli IAM (Identity and Access Management).
Controlla se ogni versione della chiave è abilitata o disabilitata da Cloud KMS.
Le operazioni con le chiavi vengono acquisite nei log di controllo. Il logging dell'accesso ai dati può essere attivato.
Livello di protezione software
Cloud KMS utilizza il modulo BoringCrypto (BCM) per tutte le operazioni di crittografia per le chiavi software. Il BCM è convalidato secondo lo standard FIPS 140-2. Le chiavi software di Cloud KMS utilizzano le primitive crittografiche del BCM convalidate secondo lo standard FIPS 140-2 livello 1.
Le chiavi software sono una buona scelta per i casi d'uso che non prevedono requisiti normativi specifici per un livello di convalida FIPS 140-2 superiore.Livello di protezione esterno tramite VPC
Le chiavi Cloud External Key Manager (Cloud EKM) sono chiavi che gestisci in un servizio partner di gestione delle chiavi esterne (EKM) supportato e utilizzi nei serviziTrusted Cloud e nelle API e librerie client Cloud KMS. Le chiavi Cloud EKM possono essere supportate da software o hardware, a seconda del fornitore EKM. Puoi utilizzare le chiavi Cloud EKM nei servizi integrati con CMEK o utilizzando le API e le librerie client Cloud KMS. Cloud KMS si connette a Cloud EKM tramite una rete VPC.
Quando utilizzi le chiavi Cloud EKM, puoi essere certo che Trusted Cloud non può accedere al materiale della chiave.Per vedere quali servizi integrati con CMEK supportano le chiavi Cloud EKM, consulta Integrazioni CMEK e applica il filtro Mostra solo i servizi compatibili con EKM.
Puoi utilizzare le chiavi Cloud EKM su una rete VPC nella maggior parte delle località regionali supportate da Cloud KMS.
Passaggi successivi
- Scopri di più sui servizi compatibili che ti consentono di utilizzare le chiavi in Trusted Cloud.
- Scopri come creare keyring e chiavi di crittografia.
- Scopri di più sull'importazione delle chiavi.
- Scopri di più sulle chiavi esterne.
- Scopri altre considerazioni sull'utilizzo di Cloud EKM.