Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Níveis de proteção

Esta página compara os diferentes níveis de proteção suportados no Cloud KMS:

Software: As chaves do Cloud KMS com o nível de proteção SOFTWARE são usadas para operações criptográficas realizadas no software. As chaves do Cloud KMS podem ser geradas pela Google ou importadas.


Externo através da VPC: As chaves do Cloud EKM com o nível de proteção EXTERNAL_VPC são geradas e armazenadas no seu sistema de gestão de chaves externo (EKM). O EKM do Google Cloud armazena material criptográfico adicional e um caminho para a sua chave única, que é usada para aceder à sua chave através de uma rede da nuvem virtual privada (VPC).

As chaves com todos estes níveis de proteção partilham as seguintes funcionalidades:

Use as suas chaves para a chave de encriptação gerida pelo cliente (CMEK) integrada Cloud de Confiance serviços.

Nota: alguns serviços integrados com a CMEK não suportam chaves do EKM na nuvem. Para saber que serviços integrados com CMEK suportam chaves do Cloud EKM, consulte Integrações de CMEK.
Use as suas chaves com as APIs ou as bibliotecas cliente do Cloud KMS, sem código especializado com base no nível de proteção da chave.
Controle o acesso às suas chaves através de funções da gestão de identidade e de acesso (IAM).
Controlar se cada versão da chave está ativada ou desativada no Cloud KMS.
As operações principais são captadas nos registos de auditoria. O registo de acesso aos dados pode ser ativado.

Nível de proteção do software

O Cloud KMS usa o módulo BoringCrypto (BCM) para todas as operações criptográficas para chaves de software. O BCM está validado de acordo com a norma FIPS 140-2. As chaves de software do Cloud KMS usam primitivas criptográficas validadas ao nível 1 da FIPS 140-2 do BCM.

As chaves de software são uma boa escolha para exemplos de utilização que não tenham requisitos regulamentares específicos para um nível de validação FIPs 140-2 mais elevado.

Nível de proteção externo sobre a VPC

As chaves do Cloud External Key Manager (Cloud EKM) são chaves que gere num serviço de parceiro de gestão de chaves externa (EKM) suportado e usa nos Cloud de Confiance serviços e nas APIs e bibliotecas cliente do Cloud KMS. As chaves do Cloud EKM podem ser suportadas por software ou hardware, consoante o seu fornecedor de EKM. Pode usar as suas chaves do EKM na nuvem em serviços integrados com CMEK ou através das APIs e das bibliotecas cliente do Cloud KMS. O Cloud KMS liga-se ao Cloud EKM através de uma rede da VPC.

Quando usa chaves do EKM na nuvem, pode ter a certeza de que Cloud de Confiance não consegue aceder ao seu material de chaves.

Para ver que serviços integrados com CMEK suportam chaves EKM na nuvem, consulte as integrações de CMEK e aplique o filtro Mostrar apenas serviços compatíveis com EKM.

Pode usar chaves do EKM da nuvem numa rede VPC na maioria das localizações regionais suportadas pelo Cloud KMS.

O que se segue?

Saiba mais sobre os serviços compatíveis que lhe permitem usar as suas chaves no Cloud de Confiance.
Saiba como criar conjuntos de chaves e criar chaves de encriptação.
Saiba mais sobre a importação de chaves.
Saiba mais sobre as chaves externas.
Saiba mais sobre outras considerações para usar o EKM da Google Cloud.