本頁列出可與 Cloud KMS 整合的 Google Cloud 服務。這類服務通常屬於下列其中一個類別:
客戶代管的加密金鑰 (CMEK) 整合可讓您使用自有及管理的 Cloud KMS 金鑰,加密該服務中的靜態資料。如要解密以 CMEK 金鑰保護的資料,必須先取得該金鑰的存取權。
符合 CMEK 規範的服務不會儲存資料,或只會短時間儲存資料,例如在批次處理期間。這類資料會使用僅存在於記憶體中的暫時性金鑰加密,且絕不會寫入磁碟。當不再需要資料時,系統會從記憶體清除暫時性金鑰,且資料永遠無法再次存取。符合 CMEK 規範的服務輸出內容可能會儲存在與 CMEK 整合的服務中,例如 Cloud Storage。
您的應用程式可以透過其他方式使用 Cloud KMS。舉例來說,您可以直接加密應用程式資料,再傳輸或儲存資料。
如要進一步瞭解如何保護 Google Cloud 中的靜態資料,以及客戶自行管理的加密金鑰 (CMEK) 的運作方式,請參閱「客戶自行管理的加密金鑰 (CMEK)」。
CMEK 整合
下表列出與 Cloud KMS 整合的服務。 這份清單中的所有服務都支援軟體和硬體 (HSM) 金鑰。 使用外部 Cloud EKM 金鑰時,與 Cloud KMS 整合的產品會顯示在「支援 EKM」下方。
| 服務 | 受 CMEK 保護 | 支援 EKM | 主題 |
|---|---|---|---|
| Agent Assist | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| AI Applications | 靜態資料 | 否 | 客戶管理的加密金鑰 |
| AlloyDB for PostgreSQL | 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Anti Money Laundering AI | AML AI 執行個體資源中的資料 | 否 | 使用客戶管理的加密金鑰 (CMEK) 加密資料 |
| Apigee | 靜態資料 | 否 | CMEK 簡介 |
| Apigee API 中心 | 靜態資料 | 有 | 加密 |
| 應用程式整合 | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Artifact Registry | 存放區中的資料 | 有 | 啟用客戶管理的加密金鑰 |
| GKE 備份 | Backup for GKE 中的資料 | 有 | 關於 Backup for GKE CMEK 加密 |
| BigQuery | BigQuery 中的資料 | 有 | 使用 Cloud KMS 金鑰保護資料 |
| Bigtable | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Cloud Composer | 環境資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Data Fusion | 環境資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Healthcare API | Cloud Healthcare API 資料集 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Cloud Logging | 記錄路由器中的資料 | 有 | 管理保護記錄路由器資料的金鑰 |
| Cloud Logging | 記錄儲存空間中的資料 | 有 | 管理保護記錄儲存空間資料的金鑰 |
| Cloud Run | 容器映像檔 | 有 | 將客戶管理的加密金鑰與 Cloud Run 搭配使用 |
| Cloud Run 函式 | Cloud Run functions 中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud SQL | 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Storage | 儲存空間 bucket 中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Tasks | 工作主體和標題 (靜止狀態) | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Workstations | VM 磁碟上的資料 | 有 | 加密工作站資源 |
| Colab Enterprise | 執行階段和筆記本檔案 | 否 | 使用客戶自行管理的加密金鑰 |
| Compute Engine | 永久磁碟 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 快照 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 自訂映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 機器映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| 對話式洞察 | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| 資料庫移轉服務同質移轉 | MySQL 遷移作業 - 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| 資料庫移轉服務同質移轉 | PostgreSQL 遷移作業 - 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| 資料庫移轉服務同質移轉 | PostgreSQL 遷移至 AlloyDB - 寫入資料庫的資料 | 有 | 關於 CMEK |
| 資料庫移轉服務同質移轉 | SQL Server 遷移作業 - 寫入資料庫的資料 | 有 | 關於 CMEK |
| 資料庫遷移服務異質遷移 | 從 Oracle 遷移至 PostgreSQL 的靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) 進行持續遷移 |
| Dataflow | 管道狀態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Dataform | 存放區中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Dataplex Universal Catalog | 靜態資料 | 有 | 客戶管理的加密金鑰 |
| Dataproc | VM 磁碟上的 Dataproc 叢集資料 | 有 | 客戶管理的加密金鑰 |
| Dataproc | VM 磁碟上的 Dataproc 無伺服器資料 | 有 | 客戶管理的加密金鑰 |
| Dataproc Metastore | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Datastream | 傳輸中的資料 | 否 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Dialogflow CX | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Document AI | 靜態資料和使用中的資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Eventarc Advanced (預先發布版) | 靜態資料 | 否 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Eventarc Standard | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Filestore | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰來加密資料 |
| Firestore | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Gemini Code Assist | 靜態資料 | 否 | 使用客戶自行管理的加密金鑰來加密資料 |
| Google Agentspace - NotebookLM Enterprise | 靜態資料 | 否 | 客戶管理的加密金鑰 |
| Google Agentspace Enterprise | 靜態資料 | 否 | 客戶管理的加密金鑰 |
| Google Cloud Managed Service for Apache Kafka | 與主題相關的資料 | 有 | 設定訊息加密機制 |
| Google Cloud NetApp Volumes | 靜態資料 | 否 | 建立 CMEK 政策 |
| Google Distributed Cloud | 邊緣節點資料 | 有 | 本機儲存空間安全性 |
| Google Kubernetes Engine | VM 磁碟上的資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Google Kubernetes Engine | 應用程式層密鑰 | 有 | 應用程式層密鑰加密 |
| Integration Connectors | 靜態資料 | 有 | 加密方法 |
| Looker (Google Cloud Core) | 靜態資料 | 有 | 為 Looker (Google Cloud Core) 啟用 CMEK |
| Memorystore for Redis | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Migrate to Virtual Machines | 從 VMware、AWS 和 Azure VM 來源遷移的資料 | 有 | 使用 CMEK 加密遷移期間儲存的資料 |
| Migrate to Virtual Machines | 從磁碟和機器映像檔來源遷移的資料 | 有 | 使用 CMEK 加密目標磁碟和機器映像檔中的資料 |
| Parameter Manager | 參數版本酬載 | 有 | 為 Parameter Manager 啟用客戶自行管理的加密金鑰 |
| Pub/Sub | 與主題相關的資料 | 有 | 設定訊息加密機制 |
| Secret Manager | 密鑰酬載 | 有 | 為 Secret Manager 啟用客戶管理的加密金鑰 |
| Secure Source Manager | 執行個體 | 有 | 使用客戶自行管理的加密金鑰來加密資料 |
| Spanner | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Speaker ID (受限的 Google Analytics) | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Speech-to-Text | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Vertex AI | 與資源相關聯的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Vertex AI Workbench 代管型筆記本 | 靜態使用者資料 | 否 | 客戶管理的加密金鑰 |
| Vertex AI Workbench 使用者管理的筆記本 | VM 磁碟上的資料 | 否 | 客戶管理的加密金鑰 |
| Vertex AI Workbench 執行個體 | VM 磁碟上的資料 | 有 | 客戶管理的加密金鑰 |
| 工作流程 | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
符合 CMEK 規範的服務
下表列出不使用客戶管理加密金鑰 (CMEK) 的服務,因為這些服務不會長期儲存資料。如要進一步瞭解這些服務為何符合 CMEK 規範,請參閱「CMEK 法規遵循」。
| 服務 | 主題 |
|---|---|
| API Gateway | API Gateway 中的 CMEK 法規遵循情況 |
| Cloud Build | Cloud Build 中的 CMEK 法規遵循情況 |
| Container Registry | 使用受 CMEK 保護的儲存空間值區 |
| Cloud Vision | Vision API 中的 CMEK 法規遵循情況 |
| Storage 移轉服務 | 客戶自行管理的加密金鑰 |
與 Cloud KMS 的其他整合
這些頁面討論如何將 Cloud KMS 與其他Google Cloud 服務搭配使用。
| 產品 | 主題 |
|---|---|
| 任何服務 | 加密應用程式資料,再傳輸或儲存 |
| Cloud Build | 先將資源加密,再加入建構作業 |
| Sensitive Data Protection | 建立已包裝金鑰 |