Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

משאבי Cloud KMS

בדף הזה מתואר כל סוג של משאב ב-Cloud KMS. מידע נוסף על היררכיית המשאבים

מקשים

מפתח Cloud KMS הוא אובייקט עם שם שמכיל גרסאות מפתח אחת או יותר, יחד עם מטא-נתונים של המפתח. מפתח קיים בדיוק באוסף מפתחות אחד שקשור למיקום ספציפי.

אתם יכולים לאשר או לדחות גישה למפתחות באמצעות הרשאות ותפקידים של ניהול זהויות והרשאות גישה (IAM). אי אפשר לנהל את הגישה לגרסה של מפתח.

השבתה או השמדה של מפתח משביתה או משמידה גם כל גרסת מפתח.

בקטעים הבאים מפורטים המאפיינים של מפתח.

בהתאם להקשר, המאפיינים של מפתח מוצגים בפורמט שונה.

כשמשתמשים ב-Google Cloud CLI או ב-Cloud Key Management Service API, המאפיין מוצג כמחרוזת של אותיות רישיות, כמו SOFTWARE.
כשמשתמשים במסוף Cloud de Confiance , המאפיין מוצג כמחרוזת עם אותיות רישיות בהתחלה, כמו Software.

בקטעים הבאים מוצג כל פורמט במקום המתאים.

סוג

סוג המפתח קובע אם המפתח ישמש לפעולות קריפטוגרפיות סימטריות או אסימטריות.

בהצפנה או בחתימה סימטרית, אותו מפתח משמש להצפנה ולפענוח של נתונים או לחתימה ולאימות של חתימה.

בהצפנה או בחתימה אסימטרית, המפתח מורכב ממפתח ציבורי וממפתח פרטי. מפתח פרטי עם המפתח הציבורי התואם לו נקרא צמד מפתחות.

המפתח הפרטי הוא נתונים רגישים, ונדרש כדי לפענח נתונים או כדי לחתום, בהתאם למטרה שהוגדרה למפתח.
המפתח הציבורי לא נחשב למידע רגיש, והוא נדרש להצפנת נתונים או לאימות חתימה, בהתאם למטרה שהוגדרה למפתח.

סוג המפתח הוא אחד מהרכיבים של מטרת המפתח, ואי אפשר לשנות אותו אחרי יצירת המפתח.

מטרה

מטרת המפתח מציינת לאילו סוגים של פעולות קריפטוגרפיות אפשר להשתמש במפתח – לדוגמה, הצפנה/פענוח סימטריים או חתימה אסימטרית. כשיוצרים את המפתח, בוחרים את הייעוד שלו, ולכל הגרסאות של המפתח יש את אותו ייעוד. אי אפשר לשנות את מטרת המפתח אחרי שיוצרים אותו. מידע נוסף על מטרות מפתח זמין במאמר מטרות מפתח.

רמת הגנה

רמת ההגנה של מפתח קובעת את סביבת האחסון של המפתח במצב מנוחה. רמת ההגנה יכולה להיות אחת מהאפשרויות הבאות:

תוכנה (SOFTWARE)
External_VPC (EXTERNAL_VPC)

אי אפשר לשנות את רמת ההגנה של מפתח אחרי שיוצרים אותו.

הגרסה הראשית

יכולות להיות כמה גרסאות של מפתחות שמופעלות וזמינות בו-זמנית. למפתחות הצפנה סימטריים יש גרסת מפתח ראשית, שהיא גרסת המפתח שמשמשת כברירת מחדל להצפנת נתונים אם לא מציינים גרסת מפתח.

למפתחות אסימטריים אין גרסאות ראשיות, ולכן צריך לציין את הגרסה כשמשתמשים במפתח.

גם במפתחות סימטריים וגם במפתחות אסימטריים, אפשר להשתמש בכל גרסת מפתח מופעלת כדי להצפין ולפענח נתונים או כדי לחתום על חתימות ולאמת אותן.

גרסאות מפתח

כל גרסה של מפתח מכילה חומר מפתח שמשמש להצפנה או לחתימה. לכל גרסה מוקצה מספר גרסה, החל מ-1. כשמבצעים רוטציה למפתח, נוצרת גרסת מפתח חדשה. מידע נוסף על החלפת מפתחות

כדי לפענח נתונים או לאמת חתימה, צריך להשתמש באותה גרסת מפתח ששימשה להצפנה או לחתימה על הנתונים. כדי למצוא את מזהה המשאב של גרסת מפתח, אפשר לעיין במאמר בנושא אחזור מזהה משאב של מפתח.

אפשר להשבית או להשמיד גרסאות מפתח ספציפיות בלי להשפיע על גרסאות אחרות. אפשר גם להשבית או להשמיד את כל גרסאות המפתח של מפתח נתון.

אי אפשר לשלוט בגישה לגרסאות של מפתחות בנפרד מההרשאות שחלות על המפתח. כשמעניקים גישה למפתח, מעניקים גישה לכל הגרסאות המופעלות של המפתח הזה.

מטעמי אבטחה, אף Cloud de Confiance גורם ראשי לא יכול להציג או לייצא את חומר המפתח הקריפטוגרפי הגולמי שמיוצג על ידי גרסת מפתח. במקום זאת, Cloud KMS ניגש לחומר המפתח בשמכם.

בקטעים הבאים מפורטות המאפיינים של גרסת מפתח.

מדינה

לכל גרסת מפתח יש מצב שמציין את הסטטוס שלה. בדרך כלל, המצב של מפתח יהיה אחד מהמצבים הבאים:

מופעל
מושבת
מתוזמן להשמדה
הושמד

אפשר להשתמש בגרסת מפתח רק כשהיא מופעלת. גרסאות של מפתחות בכל מצב אחר מלבד 'הושמד' כרוכות בעלויות. מידע נוסף על מצבי גרסאות של מפתחות ועל האופן שבו גרסאות יכולות לעבור ביניהם זמין במאמר מצבי גרסאות של מפתחות.

אלגוריתם

האלגוריתם של גרסת מפתח קובע איך נוצר חומר המפתח ואת הפרמטרים שנדרשים לפעולות קריפטוגרפיות. מפתחות סימטריים ואסימטריים משתמשים באלגוריתמים שונים. ההצפנה והחתימה משתמשות באלגוריתמים שונים.

אם לא מציינים אלגוריתם כשיוצרים גרסת מפתח חדשה, המערכת משתמשת באלגוריתם של הגרסה הקודמת.

ללא קשר לאלגוריתם, ‏Cloud KMS משתמש בהצפנה הסתברותית, כך שאם מצפינים את אותו טקסט לא מוצפן עם אותה גרסת מפתח פעמיים, לא מתקבל אותו מידע מוצפן (ciphertext).

אוספי מפתחות

אוסף מפתחות מארגן מפתחות במיקום ספציפי ומאפשר לכם לנהל את בקרת הגישה לקבוצות של מפתחות. Cloud de Confianceשם של אוסף מפתחות לא צריך להיות ייחודי ב Cloud de Confiance פרויקט, אבל הוא צריך להיות ייחודי במיקום נתון. אחרי שיוצרים אוסף מפתחות, אי אפשר למחוק אותו.

חיבורי EKM

חיבור EKM הוא משאב Cloud KMS שמארגן חיבורי VPC ל-EKM המקומי בCloud de Confiance מיקום ספציפי. חיבור EKM מאפשר לכם להתחבר למנהל מפתחות חיצוני ולהשתמש במפתחות ממנו ברשת VPC. אחרי היצירה, אי אפשר למחוק חיבור EKM.

אחזור מזהה של משאב

יכול להיות שבחלק מהקריאות ל-API וב-CLI של gcloud תצטרכו להפנות לצרור מפתחות, למפתח או לגרסת מפתח באמצעות מזהה המשאב שלהם, שהוא מחרוזת שמייצגת את השם המלא של CryptoKeyVersion. מזהי משאבים הם היררכיים, בדומה לנתיב במערכת קבצים. מזהה המשאב של מפתח מכיל גם מידע על מחזיק המפתחות והמיקום.

אובייקט	הפורמט של מזהה המשאב
מחזיק מפתחות	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
מפתח	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
גרסת מפתח	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
חיבור EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`

מידע נוסף זמין במאמר קבלת מזהה משאב של Cloud KMS.

ארגון משאבים

כשמתכננים איך לארגן את המשאבים בפרויקט Cloud de Confiance, חשוב להביא בחשבון את הכללים העסקיים ואת האופן שבו אתם מתכננים לנהל את הגישה. אתם יכולים להעניק גישה למפתח יחיד, לכל המפתחות בצרור מפתחות או לכל המפתחות בפרויקט. אלה דפוסי הארגון הנפוצים:

לפי סביבה, כמו prod,‏ test ו-develop.
לפי תחום עבודה, כמו payroll או insurance_claims.
לפי רגישות הנתונים או המאפיינים שלהם, כמו unrestricted,‏ restricted, ‏ confidential, ‏ top-secret.

מחזורי חיים של משאבים

אי אפשר למחוק אוספי מפתחות. במקרים מסוימים אפשר למחוק מפתחות וגרסאות של מפתחות, אבל אי אפשר לעשות שימוש חוזר בשמות של מפתחות שנמחקו. כך מוודאים שמזהה המשאב של גרסת מפתח הוא ייחודי ותמיד מצביע על חומר המפתח המקורי של אותה גרסת מפתח, אלא אם היא הושמדה. אפשר לאחסן מספר בלתי מוגבל של מחזיקי מפתחות, מפתחות מושבתים או מופעלים וגרסאות מפתח מושבתות, מופעלות או מושמדות. מידע נוסף זמין במאמר בנושא מכסות.

במאמר השמדה ושחזור של גרסאות מפתח מוסבר איך להשמיד או לשחזר גרסת מפתח.

אחרי שמגדירים השבתה של Cloud de Confiance by S3NS פרויקט, אי אפשר לגשת למשאבים של הפרויקט, כולל משאבי Cloud KMS, אלא אם משחזרים את הפרויקט באמצעות השלבים לשחזור פרויקט.

המאמרים הבאים

יצירת מפתח
מידע נוסף על הרשאות ותפקידים ב-Cloud KMS