Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Níveis de proteção

Esta página compara os diferentes níveis de proteção compatíveis com o Cloud KMS:

Software: As chaves do Cloud KMS com o nível de proteção SOFTWARE são usadas para operações criptográficas realizadas em software. As chaves do Cloud KMS podem ser geradas pelo Google ou importadas.


Externo por VPC: As chaves do Cloud EKM com o nível de proteção EXTERNAL_VPC são geradas e armazenadas no seu sistema de gerenciamento de chaves externas (EKM). O Cloud EKM armazena material criptográfico adicional e um caminho para sua chave exclusiva, que é usada para acessar a chave em uma rede de nuvem privada virtual (VPC).

As chaves com todos esses níveis de proteção compartilham os seguintes recursos:

Use suas chaves para serviços integrados de chave de criptografia gerenciada pelo cliente (CMEK) Trusted Cloud .

Observação: alguns serviços integrados ao CMEK não são compatíveis com chaves do Cloud EKM. Para saber quais serviços integrados ao CMEK são compatíveis com as chaves do Cloud EKM, consulte Integrações do CMEK.
Use suas chaves com as APIs ou bibliotecas de cliente do Cloud KMS sem qualquer código especializado com base no nível de proteção da chave.
Controle o acesso às suas chaves usando papéis do Identity and Access Management (IAM).
Controle se cada versão da chave está Ativada ou Desativada no Cloud KMS.
As principais operações são capturadas nos registros de auditoria. A geração de registros de acesso a dados pode ser ativada.

Nível de proteção de software

O Cloud KMS usa o módulo BoringCrypto (BCM) para todas as operações criptográficas de chaves de software. O BCM é validado pelo FIPS 140-2. As chaves de software do Cloud KMS usam primitivos criptográficos validados pelo FIPS 140-2 Nível 1 do BCM.

As chaves de software são uma boa opção para casos de uso que não têm requisitos regulamentares específicos para um nível de validação FIPs 140-2 mais alto.

Nível de proteção externa por VPC

As chaves do Cloud External Key Manager (Cloud EKM) são gerenciadas em um serviço de parceiro de gerenciamento de chaves externas (EKM) compatível e usadas emTrusted Cloud serviços, APIs do Cloud KMS e bibliotecas de cliente. As chaves do Cloud EKM podem ser protegidas por software ou hardware, dependendo do provedor de EKM. É possível usar as chaves do Cloud EKM em serviços integrados à CMEK ou usando as APIs e bibliotecas de cliente do Cloud KMS. O Cloud KMS se conecta ao Cloud EKM em uma rede VPC.

Ao usar chaves do Cloud EKM, você pode ter certeza de que o Trusted Cloud não pode acessar seu material de chave.

Para saber quais serviços integrados à CMEK são compatíveis com chaves do Cloud EKM, consulte Integrações de CMEK e aplique o filtro Mostrar apenas serviços compatíveis com EKM.

É possível usar chaves do Cloud EKM em uma rede VPC na maioria dos locais regionais compatíveis com o Cloud KMS.

A seguir

Saiba mais sobre os serviços compatíveis que permitem usar suas chaves no Trusted Cloud.
Saiba como criar keyrings e chaves de criptografia.
Saiba mais sobre como importar chaves.
Saiba mais sobre chaves externas.
Saiba mais sobre outras considerações para usar o Cloud EKM.