本頁面由 Cloud Translation API 翻譯而成。

Autokey 簡介

Cloud KMS Autokey 可自動執行佈建及指派作業，簡化客戶自行管理的加密金鑰 (CMEK) 的建立和使用流程。Autokey 會視情況產生金鑰環和金鑰。系統會建立使用金鑰加密及解密資源的服務帳戶，並視需要授予身分與存取權管理 (IAM) 角色。Cloud KMS 管理員可保留 Autokey 建立的金鑰的完整控管權限和可見度，無需事先規劃及建立各項資源。

使用 Autokey 產生的金鑰，有助於您持續遵循業界標準和資料安全性建議做法，包括 HSM 防護等級、權責劃分、金鑰輪替、位置和金鑰專用原則等。Autokey 建立的金鑰會遵循一般規範，以及與 Cloud KMS Autokey 整合的 Google Cloud 服務所需的資源類型規範。建立後，使用 Autokey 要求的金鑰會與其他設定相同的 Cloud HSM 金鑰相同。

Autokey 還可簡化 Terraform 的金鑰管理用途，讓您不必以提升的金鑰建立權限執行基礎架構即程式碼。

如要使用 Autokey，您必須擁有包含資料夾資源的機構資源。如要進一步瞭解機構和資料夾資源，請參閱「資源階層」。

您可以在所有提供 Cloud HSM 的 Google Cloud 位置使用 Cloud KMS Autokey。如要進一步瞭解 Cloud KMS 位置，請參閱「Cloud KMS 位置」一文。使用 Cloud KMS Autokey 無須額外付費。使用 Autokey 建立的金鑰價格與其他 Cloud HSM 金鑰相同。如要進一步瞭解定價，請參閱「Cloud Key Management Service 定價」。

Autokey 的運作方式

本節將說明 Cloud KMS Autokey 的運作方式。以下使用者角色會參與這項程序：

安全性管理員: 安全性管理員是負責管理資料夾或機構層級安全性的使用者。
Autokey 開發人員: Autokey 開發人員是指負責使用 Cloud KMS Autokey 建立資源的使用者。
Cloud KMS 管理員: Cloud KMS 管理員是負責管理 Cloud KMS 資源的使用者。使用 Autokey 時，這個角色的責任較使用手動建立的金鑰少。

以下服務專員也會參與這項程序：

Cloud KMS 服務代理人: 特定金鑰專案中的 Cloud KMS 服務代理人。Autokey 需要服務代理具備提升權限，才能建立 Cloud KMS 金鑰和金鑰環，並設定金鑰的 IAM 政策，為每個資源服務代理授予加密和解密權限。
資源服務代理: 特定資源專案中特定服務的服務代理。這個服務代理程式必須具備任何 Cloud KMS 金鑰的加密和解密權限，才能使用該金鑰保護資源的 CMEK。Autokey 會在需要時建立資源服務代理，並授予該代理使用 Cloud KMS 金鑰的必要權限。

安全性管理員啟用 Cloud KMS Autokey

安全性管理員必須完成下列一次性設定工作，才能使用 Autokey：

在資源資料夾上啟用 Cloud KMS Autokey，並找出將包含該資料夾 Autokey 資源的 Cloud KMS 專案。
建立 Cloud KMS 服務代理人，然後授予服務代理人金鑰建立和指派權限。
將 Autokey 使用者角色授予 Autokey 開發人員使用者。

完成這項設定後，Autokey 開發人員現在可以視需要觸發 Cloud HSM 金鑰建立作業。如要查看 Cloud KMS Autokey 的完整設定說明，請參閱「啟用 Cloud KMS Autokey」。

Autokey 開發人員使用 Cloud KMS Autokey

Autokey 設定成功後，經過授權的 Autokey 開發人員現在可以根據需求，使用為他們建立的金鑰建立受保護的資源。資源建立程序的詳細資料取決於您建立的資源，但程序會遵循以下流程：

Autokey 開發人員開始在相容的Google Cloud 服務中建立資源。在建立資源的過程中，開發人員會向 Autokey 服務代理程式要求新的金鑰。
Autokey 服務代理會收到開發人員的要求，並完成下列步驟：
1. 在所選位置的金鑰專案中建立金鑰環，除非該金鑰環已存在。
2. 在金鑰環中建立金鑰，並根據資源類型設定適當的細緻度，除非該金鑰已存在。
3. 建立每個專案和每項服務的服務帳戶，除非該服務帳戶已存在。
4. 授予每個專案和每項服務的服務帳戶金鑰加密和解密權限。
5. 請向開發人員提供重要詳細資料，以便他們完成資源建立作業。
Autokey 服務代理程式成功傳回金鑰詳細資料後，開發人員就能立即完成建立受保護的資源。

Cloud KMS Autokey 建立的金鑰具有下一個章節所述的屬性。這個建立金鑰流程可維持職務分工。Cloud KMS 管理員仍可查看 Autokey 建立的金鑰，並對這些金鑰進行控制。

如要在資料夾啟用 Autokey 後開始使用，請參閱「使用 Cloud KMS Autokey 建立受保護的資源」。

關於 Autokey 建立的金鑰

Cloud KMS Autokey 建立的金鑰具有下列屬性：

防護等級：HSM。
演算法：AES-256 GCM。
輪替週期：一年。

由 Autokey 建立金鑰後，Cloud KMS 管理員可以編輯輪替週期，以取代預設值。
權責劃分：
- 系統會自動授予服務的服務帳戶該金鑰的加密和解密權限。
- Cloud KMS 管理員權限會一如往常套用至 Autokey 建立的金鑰。Cloud KMS 管理員可以查看、更新、啟用或停用 Autokey 建立的金鑰，也可以銷毀這些金鑰。不會授予 Cloud KMS 管理員加密和解密權限。
- Autokey 開發人員只能要求建立及指派金鑰。他們無法查看或管理車鑰。
金鑰專屬性或精細程度：Autokey 建立的金鑰精細程度會因資源類型而異。如要瞭解金鑰精細程度的服務專屬詳細資料，請參閱本頁的「相容的服務」。
位置：Autokey 會在要保護的資源所在位置建立金鑰。

如果您需要在 Cloud HSM 無法使用的地區建立受 CMEK 保護的資源，就必須手動建立 CMEK。
金鑰版本狀態：使用 Autokey 要求的新建立金鑰會以啟用狀態建立為主要金鑰版本。
金鑰環命名：Autokey 建立的所有金鑰，都會在所選位置的 Autokey 專案中，以名為 autokey 的金鑰環建立。Autokey 開發人員在特定位置要求第一個金鑰時，Autokey 專案中的金鑰環就會建立。
鍵命名：Autokey 建立的鍵會遵循以下命名慣例：PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
金鑰匯出：與所有 Cloud KMS 金鑰一樣，Autokey 建立的金鑰無法匯出。
金鑰追蹤：與 CMEK 整合服務中使用的所有 Cloud KMS 金鑰一樣，Autokey 建立的金鑰也支援金鑰追蹤，因此會在 Cloud KMS 資訊主頁中追蹤。

強制執行 Autokey

如要強制在資料夾中使用 Autokey，您可以結合 IAM 存取控管機制和 CMEK 組織政策。這項功能會移除 Autokey 服務代理人以外的使用者金鑰建立權限，然後要求所有資源都必須使用 Autokey 金鑰專案的 CMEK 進行保護。如需強制使用 Autokey 的詳細操作說明，請參閱「強制使用 Autokey」。

相容的服務

下表列出與 Cloud KMS Autokey 相容的服務：

服務	受保護的資源	按鍵精細程度
Artifact Registry	`artifactregistry.googleapis.com/Repository` Autokey 會在建立存放區時建立金鑰，用於所有儲存的構件。	每項資源一個金鑰
BigQuery	`bigquery.googleapis.com/Dataset` Autokey 會為資料集建立預設鍵。資料集內的資料表、模型、查詢和臨時資料表會使用資料集的預設鍵。 Autokey 不會為資料集以外的 BigQuery 資源建立金鑰。如要保護非資料集一部分的資源，您必須在專案或機構層級建立自己的預設金鑰。	每項資源一個金鑰
Bigtable	`bigtable.googleapis.com/Cluster` Autokey 會為叢集建立金鑰。 Autokey 不會為叢集以外的 Bigtable 資源建立金鑰。只有在使用 Terraform 或 Google Cloud SDK 建立資源時，Bigtable 才與 Cloud KMS Autokey 相容。	每個叢集一個鍵
AlloyDB for PostgreSQL	`alloydb.googleapis.com/Cluster` `alloydb.googleapis.com/Backup` 只有在使用 Terraform 或 REST API 建立資源時，AlloyDB for PostgreSQL 才與 Cloud KMS Autokey 相容。	每項資源一個金鑰
Cloud Run	`run.googleapis.com/Service` `run.googleapis.com/Job`	每項資源一個金鑰
Cloud SQL	`sqladmin.googleapis.com/Instance` Autokey 不會為 Cloud SQL `BackupRun` 資源建立金鑰。建立 Cloud SQL 執行個體的備份時，系統會使用主要執行個體的客戶管理金鑰對備份進行加密。只有在使用 Terraform 或 REST API 建立資源時，Cloud SQL 才與 Cloud KMS Autokey 相容。	每項資源一個金鑰
Cloud Storage	`storage.googleapis.com/Bucket` 儲存空間值區中的物件會使用值區預設金鑰。Autokey 不會為 `storage.object` 資源建立金鑰。	每個值區一個鍵
Compute Engine	`compute.googleapis.com/Disk` `compute.googleapis.com/Image` `compute.googleapis.com/Instance` `compute.googleapis.com/MachineImage` 快照會使用您要建立快照的磁碟金鑰。Autokey 不會為 `compute.snapshot` 資源建立金鑰。	每項資源一個金鑰
Secret Manager	`secretmanager.googleapis.com/Secret` 只有在使用 Terraform 或 REST API 建立資源時，Secret Manager 才與 Cloud KMS Autokey 相容。	專案中每個位置一個金鑰
Spanner	`spanner.googleapis.com/Database` 只有在使用 Terraform 或 REST API 建立資源時，Spanner 才與 Cloud KMS Autokey 相容。	每項資源一個金鑰
Dataflow	`dataflow.googleapis.com/Job`	每項資源一個金鑰

限制

gcloud CLI 不適用於 Autokey 資源。
金鑰句柄不在 Cloud Asset Inventory 中。

後續步驟

如要開始使用 Cloud KMS Autokey，安全性管理員必須啟用 Cloud KMS Autokey。
如要使用已啟用的 Cloud KMS Autokey，開發人員可以使用 Autokey 建立受 CMEK 保護的資源。
瞭解 CMEK 最佳做法。

Autokey 簡介 透過集合功能整理內容 你可以依據偏好儲存及分類內容。