Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud Key Management Service – Übersicht

Mit Cloud Key Management Service (Cloud KMS) können Sie CMEK-Schlüssel für die Verwendung in kompatiblen Google Cloud-Diensten und in Ihren eigenen Anwendungen erstellen und verwalten. Mit Cloud KMS haben Sie folgende Möglichkeiten:

Sie können Software- oder Hardwareschlüssel generieren, vorhandene Schlüssel in Cloud KMS importieren oder externe Schlüssel in Ihrem kompatiblen EKM-System (External Key Management) verknüpfen.
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) in Google Cloud-Produkten mit CMEK-Integration. Bei CMEK-Integrationen werden Ihre CMEK-Schlüssel verwendet, um Ihre Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) zu verschlüsseln oder zu „verpacken“. Das Umschließen von DEKs mit Schlüsselverschlüsselungsschlüsseln (KEKs) wird als Umschlagverschlüsselung bezeichnet.
Verwenden Sie Cloud KMS Autokey, um die Bereitstellung und Zuweisung zu automatisieren. Mit Autokey müssen Sie keine Schlüsselbunde, Schlüssel und Dienstkonten im Voraus bereitstellen. Stattdessen werden sie bei Bedarf im Rahmen der Ressourcenerstellung generiert.
Verwenden Sie Cloud KMS-Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge. Sie können beispielsweise die Cloud KMS API oder Clientbibliotheken verwenden, um Ihre Cloud KMS-Schlüssel für die clientseitige Verschlüsselung zu verwenden.
Verwenden Sie Cloud KMS-Schlüssel, um digitale Signaturen oder MAC-Signaturen (Message Authentication Code) zu erstellen oder zu überprüfen.

Die richtige Verschlüsselung für Ihre Anforderungen auswählen

In der folgenden Tabelle können Sie sehen, welche Art der Verschlüsselung für jeden Anwendungsfall geeignet ist. Die beste Lösung für Ihre Anforderungen kann eine Kombination aus Verschlüsselungsansätzen umfassen. Sie können beispielsweise Softwareschlüssel für Ihre am wenigsten sensiblen Daten und Hardware- oder externe Schlüssel für Ihre sensibelsten Daten verwenden. Weitere Informationen zu den in diesem Abschnitt beschriebenen Verschlüsselungsoptionen finden Sie auf dieser Seite unter Daten in Google Cloud schützen.

Verschlüsselungstyp	Kosten	Kompatible Dienste	Features
Von Google gehörende und von Google verwaltete Schlüssel (Google Cloud-Standardverschlüsselung)	Enthalten	Alle Google Cloud-Dienste, in denen Kundendaten gespeichert werden	Keine Konfiguration erforderlich. Verschlüsselt automatisch Kundendaten, die in einem Google Cloud-Dienst gespeichert sind. Die meisten Dienste rotieren Schlüssel automatisch. Unterstützt die Verschlüsselung mit AES-256. Validiert gemäß FIPS 140-2 Level 1.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Software (Cloud KMS-Schlüssel)	0,06 $ pro Schlüsselversion	Mehr als 40 Dienste	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Symmetrische Schlüssel werden automatisch rotiert. Unterstützt mehrere gängige Algorithmen. Validiert gemäß FIPS 140-2 Level 1. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – Hardware (Cloud HSM-Schlüssel)	1,00 bis 2,50 $ pro Schlüsselversion und Monat	Mehr als 40 Dienste	Optional über Cloud KMS Autokey verwaltet. Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Symmetrische Schlüssel werden automatisch rotiert. Unterstützt mehrere gängige Algorithmen. Validierung gemäß FIPS 140-2 Level 3. Schlüssel sind für jeden Kunden eindeutig.
Vom Kunden verwaltete Verschlüsselungsschlüssel – extern (Cloud EKM-Schlüssel)	3,00 $ pro Schlüsselversion und Monat	Über 30 Dienste	Sie steuern IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Schlüssel werden nie an Google gesendet. Das Schlüsselmaterial befindet sich bei einem kompatiblen Anbieter für die externe Schlüsselverwaltung (EKM). Kompatible Google Cloud-Dienste stellen über das Internet oder eine Virtual Private Cloud (VPC) eine Verbindung zu Ihrem EKM-Anbieter her. Unterstützt symmetrische Schlüssel für die Verschlüsselung und Entschlüsselung. Rotieren Sie Ihre Schlüssel manuell in Abstimmung mit Cloud EKM und Ihrem EKM-Anbieter. Je nach EKM gemäß FIPS 140-2 Level 2 oder FIPS 140-2 Level 3 validiert Schlüssel sind für jeden Kunden eindeutig.
Clientseitige Verschlüsselung mit Cloud KMS-Schlüsseln	Die Kosten für aktive Schlüsselversionen hängen vom Schutzniveau des Schlüssels ab.	Clientbibliotheken in Ihren Anwendungen verwenden	Sie steuern den Zeitplan für die automatische Schlüsselrotation, IAM-Rollen und -Berechtigungen und aktivieren, deaktivieren oder löschen Schlüsselversionen. Unterstützt symmetrische und asymmetrische Schlüssel für Verschlüsselung, Entschlüsselung, Signatur und Signaturvalidierung. Die Funktionalität variiert je nach Schutzniveau des Schlüssels.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel	Die Kosten für die Compute Engine oder Cloud Storage können steigen.	Compute Engine Cloud Storage	Sie stellen bei Bedarf wichtige Materialien zur Verfügung. Schlüsselmaterial befindet sich im Arbeitsspeicher. Google speichert Ihre Schlüssel nicht dauerhaft auf seinen Servern.
Confidential Computing	Zusätzliche Kosten für jede vertrauliche VM; kann die Protokollnutzung und die damit verbundenen Kosten erhöhen	Compute Engine GKE Dataproc	Bietet die Verschlüsselung bei der Verwendung für VMs, die mit sensiblen Daten oder Arbeitslasten umgehen. Google kann nicht auf die Schlüssel zugreifen.

Daten in Google Cloud schützen

Zu Google gehörende und von Google verwaltete Schlüssel (Standardverschlüsselung von Google Cloud)

Standardmäßig werden ruhende Daten in Google Cloud durch Schlüssel im Schlüsselspeicher geschützt, dem internen Schlüsselverwaltungsdienst von Google. Schlüssel im Keystore werden automatisch von Google verwaltet. Sie müssen nichts konfigurieren. Bei den meisten Diensten werden die Schlüssel automatisch für Sie rotiert. Der Schlüsselspeicher unterstützt eine Hauptschlüsselversion und eine begrenzte Anzahl älterer Schlüsselversionen. Die primäre Schlüsselversion wird zum Verschlüsseln neuer Datenverschlüsselungsschlüssel verwendet. Ältere Schlüsselversionen können weiterhin zum Entschlüsseln vorhandener Datenverschlüsselungsschlüssel verwendet werden. Sie können diese Schlüssel nicht aufrufen oder verwalten und auch keine Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Verschlüsselungsschlüssel verwendet werden.

Bei dieser Standardverschlüsselung werden kryptografische Module verwendet, die FIPS 140-2 Level 1-konform sind.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs)

Cloud KMS-Schlüssel, die zum Schutz Ihrer Ressourcen in CMEK-integrierten Diensten verwendet werden, sind vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Sie können CMEKs besitzen und verwalten und die Aufgaben zum Erstellen und Zuweisen von Schlüsseln an Cloud KMS Autokey delegieren. Weitere Informationen zur Automatisierung der Bereitstellung für CMEKs finden Sie unter Cloud Key Management Service mit Autokey.

Sie können Ihre Cloud KMS-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:

Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Sie können Daten, die durch Ihre Schlüssel geschützt sind, bei Offboarding oder zur Behebung von Sicherheitsvorfällen selektiv löschen (Crypto-Shredding).
Erstellen Sie spezielle Schlüssel für einzelne Mieter, die eine kryptografische Grenze um Ihre Daten herum festlegen.
Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Sie erfüllen aktuelle oder zukünftige Bestimmungen, die eines dieser Ziele erfordern.

Wenn Sie Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden, können Sie mithilfe von Organisationsrichtlinien dafür sorgen, dass CMEKs wie in den Richtlinien angegeben verwendet werden. Sie können beispielsweise eine Organisationsrichtlinie festlegen, die dafür sorgt, dass Ihre kompatiblen Google Cloud-Ressourcen Ihre Cloud KMS-Schlüssel zur Verschlüsselung verwenden. In Organisationsrichtlinien kann auch festgelegt werden, in welchem Projekt sich die wichtigen Ressourcen befinden müssen.

Die Funktionen und das Schutzniveau hängen vom Schutzniveau des Schlüssels ab:

Softwareschlüssel: Sie können Softwareschlüssel in Cloud KMS generieren und an allen Google Cloud-Standorten verwenden. Sie können symmetrische Schlüssel mit automatischer Rotation oder asymmetrische Schlüssel mit manueller Rotation erstellen. Für vom Kunden verwaltete Softwareschlüssel werden kryptografische Softwaremodule verwendet, die gemäß FIPS 140-2 Level 1 validiert sind. Außerdem haben Sie die Kontrolle über die Rotationsperiode, die IAM-Rollen und -Berechtigungen (Identity and Access Management) sowie die Organisationsrichtlinien, die für Ihre Schlüssel gelten. Sie können Ihre Softwareschlüssel mit über 40 kompatiblen Google Cloud-Ressourcen verwenden.
Importierte Softwareschlüssel: Sie können Softwareschlüssel, die Sie an anderer Stelle erstellt haben, für die Verwendung in Cloud KMS importieren. Sie können neue Schlüsselversionen importieren, um importierte Schlüssel manuell zu rotieren. Sie können IAM-Rollen, Berechtigungen und Organisationsrichtlinien verwenden, um die Verwendung Ihrer importierten Schlüssel zu steuern.
Hardwareschlüssel und Cloud HSM: Sie können Hardwareschlüssel in einem Cluster von FIPS 140-2 Level 3-zertifizierten Hardwaresicherheitsmodulen (HSMs) generieren. Sie haben die Kontrolle über die Rotationsdauer, IAM-Rollen und -Berechtigungen sowie die Organisationsrichtlinien, die für Ihre Schlüssel gelten. Wenn Sie HSM-Schlüssel mit Cloud HSM erstellen, verwaltet Google die HSM-Cluster, damit Sie das nicht tun müssen. Sie können Ihre HSM-Schlüssel mit über 40 kompatiblen Google Cloud-Ressourcen verwenden – denselben Diensten, die auch Softwareschlüssel unterstützen. Verwenden Sie Hardwareschlüssel, um die höchste Sicherheitsanforderungen zu erfüllen.
Externe Schlüssel und Cloud EKM: Sie können Schlüssel verwenden, die sich in einem externen Schlüsselmanager (EKM) befinden. Mit Cloud EKM können Sie Schlüssel verwenden, die in einem unterstützten Schlüsselmanager gespeichert sind, um Ihre Google Cloud-Ressourcen zu schützen. Sie können eine Verbindung zu Ihrem EKM über das Internet oder über eine Virtual Private Cloud (VPC) herstellen. Einige Google Cloud-Dienste, die Software- oder Hardwareschlüssel unterstützen, unterstützen keine Cloud EKM-Schlüssel.

Cloud KMS-Schüssel

Sie können Ihre Cloud KMS-Schlüssel in benutzerdefinierten Anwendungen mithilfe der Cloud KMS-Clientbibliotheken oder der Cloud KMS API verwenden. Mit den Clientbibliotheken und der API können Sie Daten verschlüsseln und entschlüsseln, signieren und Signaturen validieren.

Vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs)

Cloud Storage und Compute Engine können vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEKs) verwenden. Bei vom Kunden bereitgestellten Verschlüsselungsschlüsseln speichern Sie das Schlüsselmaterial und stellen es bei Bedarf Cloud Storage oder Compute Engine zur Verfügung. Google speichert Ihre CSEKs in keiner Weise.

Confidential Computing

In Compute Engine, GKE und Dataproc können Sie die Confidential Computing-Plattform verwenden, um Ihre aktiven Daten zu verschlüsseln. Mit Confidential Computing bleiben Ihre Daten auch während der Verarbeitung vertraulich und verschlüsselt.