本頁面說明如何在其他 Cloud de Confiance 服務中使用 Cloud KMS 客戶自行管理的加密金鑰,保護資源安全。詳情請參閱「客戶自行管理的加密金鑰 (CMEK)」。
如果服務支援 CMEK,就表示該服務具有 CMEK 整合功能。部分服務 (例如 GKE) 具有多個 CMEK 整合功能,可保護與服務相關的不同類型資料。如需整合 CMEK 的服務清單,請參閱本頁的「為支援的服務啟用 CMEK」。
事前準備
如要在其他 Cloud de Confiance 服務中使用 Cloud KMS 金鑰,您必須先建立專案資源來存放 Cloud KMS 金鑰。建議您為 Cloud KMS 資源使用獨立專案,其中不含任何其他 Cloud de Confiance 資源。
CMEK 整合
準備啟用 CMEK 整合功能
如要瞭解啟用 CMEK 的確切步驟,請參閱相關Cloud de Confiance 服務的說明文件。如要查看各項服務的 CMEK 說明文件,請點選本頁面「為支援的服務啟用 CMEK」一節中的連結。每項服務的步驟大致相同,如下所示:
建立金鑰環或選取現有金鑰環。金鑰環的地理位置應盡量靠近要保護的資源。
在選取的金鑰環中建立金鑰,或選取現有的金鑰。請確保金鑰的防護等級、用途和演算法適合您要保護的資源。這個金鑰就是 CMEK 金鑰。
取得 CMEK 金鑰的資源 ID。 您稍後會需要這個資源 ID。
將 CMEK 金鑰的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予服務的服務帳戶。
建立金鑰並指派必要權限後,即可建立或設定服務,以使用 CMEK 金鑰。
搭配整合 CMEK 的服務使用 Cloud KMS 金鑰
下列步驟以 Secret Manager 為例。如要瞭解在特定服務中使用 Cloud KMS CMEK 金鑰的確切步驟,請在已整合 CMEK 的服務清單中找出該服務。
在 Secret Manager 中,您可以使用 CMEK 保護靜態資料。
前往 Cloud de Confiance 控制台的「Secret Manager」頁面。
如要建立密鑰,請按一下「Create Secret」(建立密鑰)。
在「Encryption」(加密) 部分中,選取「Use a customer-managed encryption key (CMEK)」(使用客戶自行管理的加密金鑰 (CMEK))。
在「Encryption key」(加密金鑰) 方塊中執行下列操作:
選用:如要在其他專案中使用金鑰,請按照下列步驟操作:
- 按一下「切換專案」。
- 在搜尋列中輸入完整或部分專案名稱,然後選取專案。
- 如要查看所選專案的可用金鑰,請按一下「選取」。
選用:如要依位置、金鑰環、名稱或防護等級篩選可用金鑰,請在 篩選列中輸入搜尋字詞。
從所選專案的可用金鑰清單中選取金鑰。 您可以根據顯示的位置、金鑰環和防護等級詳細資料,確認選擇的金鑰是否正確。
如果清單中沒有您要使用的金鑰,請按一下「手動輸入金鑰」,然後輸入金鑰的資源 ID。
完成密鑰設定,然後按一下「建立密鑰」。 Secret Manager 會建立密鑰,並使用指定的 CMEK 金鑰加密。
為支援的服務啟用 CMEK
如要啟用 CMEK,請先在下表中找出所需服務。您可以在欄位中輸入搜尋字詞,篩選表格。 使用外部 Cloud EKM 金鑰時,與 Cloud KMS 整合的產品會顯示在「支援 EKM」欄中。
按照要啟用 CMEK 金鑰的各項服務操作說明進行。
| 服務 | 受 CMEK 保護 | 支援 EKM | 主題 |
|---|---|---|---|
| Artifact Registry | 存放區中的資料 | 有 | 啟用客戶管理的加密金鑰 |
| BigQuery | BigQuery 中的資料 | 有 | 使用 Cloud KMS 金鑰保護資料 |
| Cloud Logging | 記錄儲存空間中的資料 | 有 | 管理記錄儲存空間資料的保護金鑰 |
| Cloud SQL | 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Storage | 儲存空間 bucket 中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Compute Engine | 快照 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 自訂映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 機器映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Pub/Sub | 與主題相關聯的資料 | 有 | 設定訊息加密機制 |