本页介绍如何在其他 Cloud de Confiance 服务中使用 Cloud KMS 客户管理的加密密钥来保护资源。如需了解详情,请参阅客户管理的加密密钥 (CMEK)。
如果一项服务支持 CMEK,则称它具有 CMEK 集成。某些服务(例如 GKE)具有多个 CMEK 集成,可保护与该服务相关的不同类型的数据。 如需查看具有 CMEK 集成的服务列表,请参阅本页面上的为支持的服务启用 CMEK。
准备工作
在其他 Cloud de Confiance 服务中使用 Cloud KMS 密钥之前,您必须拥有一个项目资源来包含您的 Cloud KMS 密钥。我们建议您为 Cloud KMS 资源使用单独的项目,该项目不包含任何其他 Cloud de Confiance 资源。
CMEK 集成
准备启用 CMEK 集成
如需了解启用 CMEK 的确切步骤,请参阅相关Cloud de Confiance 服务的文档。您可以在此页面上的为支持的服务启用 CMEK 中找到指向每项服务的 CMEK 文档的链接。对于每项服务,您可能会遵循类以下的步骤:
创建密钥环或选择现有密钥环。密钥环应尽可能靠近您要保护的资源。
在所选密钥环中,创建密钥或选择现有密钥。确保密钥的保护级别、用途和算法适合您要保护的资源。此密钥是 CMEK 密钥。
获取 CMEK 密钥的资源 ID。 您稍后需要用到此资源 ID。
将 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予该服务的服务账号。
创建密钥并分配所需权限后,您可以创建或配置服务以使用您的 CMEK 密钥。
将 Cloud KMS 密钥与集成 CMEK 的服务搭配使用
以下步骤以 Secret Manager 为例。如需了解在特定服务中使用 Cloud KMS CMEK 密钥的确切步骤,请在集成 CMEK 的服务列表中找到相应服务。
在 Secret Manager 中,您可以使用 CMEK 来保护静态数据。
在 Cloud de Confiance 控制台中,前往 Secret Manager 页面。
如需创建密钥,请点击创建密钥。
在加密部分中,选择使用客户管理的加密密钥 (CMEK)。
在加密密钥框中,执行以下操作:
可选:如需使用其他项目中的密钥,请执行以下操作:
- 点击切换项目。
- 在搜索栏中输入项目的完整或部分名称,然后选择相应项目。
- 如需查看所选项目的可用密钥,请点击选择。
可选:如需按位置、密钥环、名称或保护级别过滤可用密钥,请在 过滤条件栏中输入搜索字词。
从所选项目中可用的密钥列表中选择一个密钥。 您可以根据显示的密钥位置、密钥环和保护级别详细信息来确保选择正确的密钥。
如果您要使用的密钥未显示在列表中,请点击手动输入密钥,然后输入密钥的资源 ID
完成密钥配置,然后点击创建密钥。 Secret Manager 会创建相应 Secret 并使用指定的 CMEK 密钥对其进行加密。
为支持的服务启用 CMEK
如需启用 CMEK,请先在下表中找到所需的服务。您可以在该字段中输入搜索字词来过滤表格。 使用外部 Cloud EKM 密钥时与 Cloud KMS 集成的产品会在“支持 EKM”列中指明。
请按照您要为之启用 CMEK 密钥的每项服务的相关说明执行操作。
| 服务 | 使用 CMEK 保护 | 支持 EKM | 主题 |
|---|---|---|---|
| Artifact Registry | 代码库中的数据 | 是 | 启用客户管理的加密密钥 |
| BigQuery | BigQuery 中的数据 | 是 | 使用 Cloud KMS 密钥保护数据 |
| Cloud Logging | 日志记录存储中的数据 | 是 | 管理用于保护 Logging 存储数据的密钥 |
| Cloud SQL | 写入数据库的数据 | 是 | 使用客户管理的加密密钥 |
| Cloud Storage | 存储分区中的数据 | 是 | 使用客户管理的加密密钥 |
| Compute Engine | 快照 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 自定义映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Compute Engine | 机器映像 | 是 | 使用 Cloud KMS 密钥保护资源 |
| Pub/Sub | 与主题关联的数据 | 是 | 配置消息加密 |