本页比较了 Cloud KMS 中支持的不同保护级别:
- 软件
- 具有
SOFTWARE
保护级别的 Cloud KMS 密钥用于在软件中执行的加密操作。Cloud KMS 密钥可由 Google 生成,也可导入。 -
- 通过 VPC 从外部访问
- 保护级别为
EXTERNAL_VPC
的 Cloud EKM 密钥在您的外部密钥管理 (EKM) 系统中生成和存储。Cloud EKM 会存储额外的加密材料以及指向您的唯一密钥的路径,该密钥用于通过虚拟私有云 (VPC) 网络访问您的密钥。
具有所有这些保护级别的密钥共享以下功能:
将您的密钥用于集成客户管理的加密密钥 (CMEK) 的Trusted Cloud 服务。
将密钥与 Cloud KMS API 或客户端库搭配使用,无需任何基于密钥保护级别的专用代码。
使用 Identity and Access Management (IAM) 角色控制对密钥的访问权限。
控制每个密钥版本在 Cloud KMS 中是处于启用状态还是处于停用状态。
审核日志中会记录密钥操作。可以启用数据访问日志记录。
软件保护级别
Cloud KMS 使用 BoringCrypto 模块 (BCM) 来执行软件密钥的所有加密操作。BCM 通过了 FIPS 140-2 验证。Cloud KMS 软件密钥使用 BCM 经过 FIPS 140-2 1 级验证的加密原语。
对于没有特定监管要求需要更高 FIPs 140-2 验证级别的用例,软件密钥是不错的选择。通过 VPC 实现的外部保护级别
Cloud External Key Manager (Cloud EKM) 密钥是指您在支持的外部密钥管理 (EKM) 合作伙伴服务中管理并在Trusted Cloud 服务以及 Cloud KMS API 和客户端库中使用的密钥。Cloud EKM 密钥可以由软件或硬件提供支持,具体取决于您的 EKM 提供商。您可以在集成 CMEK 的服务中使用 Cloud EKM 密钥,也可以使用 Cloud KMS API 和客户端库。Cloud KMS 通过 VPC 网络连接到 Cloud EKM。
使用 Cloud EKM 密钥时,您可以确保 Trusted Cloud无法访问您的密钥材料。如需查看哪些与 CMEK 集成的服务支持 Cloud EKM 密钥,请参阅 CMEK 集成,然后应用仅显示与 EKM 兼容的服务过滤条件。
您可以在 Cloud KMS 支持的大多数区域位置通过 VPC 网络使用 Cloud EKM 密钥。