本頁面會比較 Cloud KMS 支援的不同防護等級:
- 軟體
- 防護等級為
SOFTWARE
的 Cloud KMS 金鑰,可用於在軟體中執行的加密編譯作業。Cloud KMS 金鑰可由 Google 產生或匯入。 -
- 透過虛擬私有雲連線的外部系統
- 保護層級為
EXTERNAL_VPC
的 Cloud EKM 金鑰會在外部金鑰管理 (EKM) 系統中產生及儲存。Cloud EKM 會儲存額外的加密素材和專屬金鑰的路徑,用於透過虛擬私有雲 (VPC) 網路存取金鑰。
具有上述所有保護層級的金鑰都具備下列功能:
將金鑰用於整合客戶自行管理的加密金鑰 (CMEK) 的Trusted Cloud 服務。
搭配 Cloud KMS API 或用戶端程式庫使用金鑰,不必根據金鑰的保護層級編寫任何專用程式碼。
使用 Identity and Access Management (IAM) 角色控管金鑰存取權。
從 Cloud KMS 控制每個金鑰版本是否為「已啟用」或「已停用」。
稽核記錄會擷取重要作業。您可以啟用資料存取記錄。
軟體保護等級
Cloud KMS 會使用 BoringCrypto 模組 (BCM) 執行軟體金鑰的所有加密編譯作業。BCM 已通過 FIPS 140-2 驗證。Cloud KMS 軟體金鑰使用 BCM 通過 FIPS 140-2 第 1 級驗證的加密編譯基元。
如果用途沒有特定法規要求,需要更高的 FIPs 140-2 驗證等級,軟體金鑰就是不錯的選擇。虛擬私有雲外部保護層級
Cloud External Key Manager (Cloud EKM) 金鑰是指您在支援的外部金鑰管理 (EKM) 合作夥伴服務中管理,並在Trusted Cloud 服務和 Cloud KMS API 與用戶端程式庫中使用的金鑰。Cloud EKM 金鑰可由軟體或硬體支援,視您的 EKM 供應商而定。您可以在整合 CMEK 的服務中使用 Cloud EKM 金鑰,也可以使用 Cloud KMS API 和用戶端程式庫。Cloud KMS 會透過虛擬私有雲網路連線至 Cloud EKM。
使用 Cloud EKM 金鑰時,您可以放心, Trusted Cloud 無法存取您的金鑰內容。如要查看哪些整合 CMEK 的服務支援 Cloud EKM 金鑰,請參閱「CMEK 整合」一文,並套用「僅顯示與 EKM 相容的服務」篩選器。
在 Cloud KMS 支援的大多數區域位置,您都可以透過虛擬私有雲網路使用 Cloud EKM 金鑰。