憑證授權單位服務的最佳做法
本頁列出一些最佳做法,有助於發揮更多憑證授權單位服務效能。
角色和存取權控管
您可以使用 Identity and Access Management (IAM) 授予使用者角色。角色由一或多個權限集合而成,IAM 中的角色可以是基本角色、預先定義的角色或自訂角色。
| IAM 角色類型 | 說明 |
|---|---|
| 基本 | 包括在 IAM 推出前就存在的角色,例如擁有者、編輯者和檢視者。 |
| 預先定義 | 預先定義角色是由 Google 建立及維護。 |
| 自訂 | 自訂角色是由使用者定義,可繫結一或多個支援的權限以滿足特定需求。詳情請參閱「瞭解自訂角色」。 |
個人在任何時間都不應獲派超過一個角色。此外,所有獲派角色的使用者都應接受適當的職責和安全措施簡報與訓練。如要為個人指派多種權限,建議您使用 IAM 建立自訂角色。如要瞭解如何建立自訂角色,請參閱「建立及管理自訂角色」一文。
如要瞭解權限和預先定義的身分與存取權管理角色,請參閱「使用身分與存取權管理功能控管存取權」一文。
CA 服務層級
級別是為憑證授權單位 (CA) 集區設定,CA 集區中的所有 CA 都會指派到相同層級。CA 服務為 CA 集區提供兩種作業服務級別:DevOps 和 Enterprise。這兩個層級可根據營運需求,為機構提供效能和生命週期管理功能的平衡。
- 建議您謹慎考慮是否要使用 DevOps 層級,因為該層級不支援憑證撤銷。
- 開發運作層級的 CA 不會儲存已核發的憑證。如要追蹤憑證,只能查看 Cloud 稽核記錄 (如已啟用)。建議您只將 DevOps 層級用於不需要撤銷的短期憑證,例如用於微服務、容器、工作階段憑證、非持續性虛擬機器和其他隔離需求的憑證。
- 公開金鑰基礎架構 (PKI) 可由 DevOps 和 Enterprise 層級的 CA 組合而成,以滿足各種需求。
- 在大多數情況下,我們建議您使用 Enterprise 層級建立 CA 集區,向其他 CA 和終端實體核發憑證。
如要進一步瞭解 CA 服務層級,請參閱「選取作業層級」。
如要瞭解如何啟用 Cloud 稽核記錄,請參閱「設定資料存取稽核記錄」一文。
CA 簽署金鑰
適當控管 CA 憑證的基礎加密編譯金鑰配對,可決定 PKI 提供的安全性和完整性。本節列舉幾項保護 CA 簽署金鑰的最佳做法。
硬體安全性模組 (HSM)
您可以將 CA 服務設定為使用 Google 擁有及管理的 加密金鑰,並使用 Cloud HSM 產生、儲存及使用金鑰。不過,如果您想使用現有的 Cloud KMS 金鑰,可以在設定 CA 時使用該金鑰。
如要進一步瞭解 Cloud HSM,請參閱 Cloud HSM。
如要進一步瞭解如何將加密金鑰匯入 Cloud HSM 或 Cloud KMS,請參閱「將金鑰匯入至 Cloud KMS」。
Google 代管的金鑰與客戶管理的金鑰
如果您沒有自訂安全性或作業需求,需要直接管理 CA 服務以外的金鑰,建議您使用 Google 擁有及管理的 加密金鑰。 Google 擁有及管理的 加密金鑰,可簡化金鑰的產生、儲存和使用程序,並預設提供安全保障。
的 Google 擁有及管理 加密金鑰使用 Cloud HSM,任何其他機構都無法存取或使用。透過 Cloud 稽核記錄,即可稽核 Cloud HSM 簽署金鑰的存取和使用情形。
如要進一步瞭解生命週期管理模型,請參閱「管理資源」。
匯入外部 CA
您無法將先前核發的憑證匯入 CA 服務。建議您不要將核發憑證的現有外部 CA 匯入 CA 服務。
金鑰託管
CA Service 會使用 Cloud KMS 和 Cloud HSM,防止金鑰遭到匯出和擷取。如果貴機構想保留 CA 金鑰副本,可以使用內部部署工具產生金鑰。如要在 CA Service 中使用這些金鑰,請將金鑰匯入 Cloud KMS 和 Cloud HSM。接著,您可以安全地保管金鑰,並在日後需要時再使用。
如要瞭解如何將金鑰匯入 Cloud KMS,請參閱「將金鑰匯入 Cloud KMS」。
CA 金鑰大小和演算法
加密金鑰大小和演算法會定義用於簽署憑證和憑證撤銷清單 (CRL) 的非對稱金鑰組類型和強度。CA 的存續時間相對較長。因此,金鑰必須夠強,才能在 CA 的預期生命週期內維持安全。
如果您有定義完善的 PKI 環境和現代裝置,建議使用橢圓曲線數位簽章演算法 (ECDSA),可提供最佳效能和安全性。如果機構的系統種類繁多,且不確定是否支援金鑰,使用 RSA 金鑰可能就足夠。
此外,CA 簽署金鑰還有其他注意事項,例如是否符合認證規定、是否與其他系統相容,以及具體的威脅模型。選擇金鑰大小和演算法時,請考量用途。
無論 CA 的生命週期、金鑰大小和演算法為何,我們都建議您設定定期輪換 CA 金鑰的程序。
如要進一步瞭解如何為簽署金鑰選擇演算法,請參閱「選擇金鑰演算法」。