Esta página foi traduzida pela API Cloud Translation.

Visão geral do Cloud Key Management Service

Com o Cloud Key Management Service (Cloud KMS), você cria e gerencia chaves criptográficas para uso em serviços Google Cloud compatíveis e em seus próprios aplicativos. Com o Cloud KMS, é possível fazer o seguinte:

Gere chaves de software ou hardware, importe chaves atuais para o Cloud KMS ou vincule chaves externas no seu sistema de gerenciamento de chaves externas (EKM) compatível.
Gere chaves do Cloud HSM e use-as com o Cloud HSM para Google Workspace para ativar a criptografia no lado do cliente (CSE) no Google Workspace.
Use chaves de criptografia gerenciadas pelo cliente (CMEKs) em produtos do Google Cloud com integração de CMEK. As integrações da CMEK usam suas chaves do Cloud KMS para criptografar ou "encapsular" suas chaves de criptografia de dados (DEKs). O encapsulamento de DEKs com chaves de criptografia de chaves (KEKs) é chamado de criptografia de envelope.
Use o Autokey do Cloud KMS para automatizar o provisionamento e a atribuição. Com ele, não é preciso provisionar keyrings, chaves e contas de serviço com antecedência. Em vez disso, eles são gerados sob demanda como parte da criação de recursos.
Use chaves do Cloud KMS para operações de criptografia e descriptografia. Por exemplo, é possível usar a API ou as bibliotecas de cliente do Cloud KMS para usar as chaves do Cloud KMS na criptografia do lado do cliente.
Use chaves do Cloud KMS para criar ou verificar assinaturas digitais ou assinaturas de código de autenticação de mensagens (MAC).

Escolher a criptografia certa para suas necessidades

Use a tabela a seguir para identificar qual tipo de criptografia atende às suas necessidades em cada caso de uso. A melhor solução para suas necessidades pode incluir uma combinação de abordagens de criptografia. Por exemplo, você pode usar chaves de software para os dados menos sensíveis e chaves de hardware ou externas para os dados mais sensíveis. Para mais informações sobre as opções de criptografia descritas nesta seção, consulte Proteção de dados no Google Cloud nesta página.

Tipo de criptografia	Custo	Serviços compatíveis	Recursos
Google-owned and Google-managed encryption keys (criptografia padrão doGoogle Cloud )	Incluído	Todos os serviços Google Cloud que armazenam dados de clientes	Não é necessário configurar. Criptografa automaticamente os dados do cliente salvos em qualquer serviço do Google Cloud . A maioria dos serviços faz a rotação automática das chaves. Aceita criptografia usando AES-256. Validação FIPS 140-2 Nível 1.
Chaves de criptografia gerenciadas pelo cliente: software (chaves do Cloud KMS)	US$ 0,06 por versão de chave	Mais de 40 serviços	Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves. Suporta chaves simétricas e assimétricas para criptografia e descriptografia. Faz a rotação automática de chaves simétricas. Compatível com vários algoritmos comuns. Validação FIPS 140-2 Nível 1. As chaves são exclusivas para um cliente.
Chaves de criptografia gerenciadas pelo cliente - hardware (chaves do Cloud HSM)	US$ 1,00 a US $2,50 por versão de chave por mês	Mais de 40 serviços	Gerenciamento opcional pelo Cloud KMS Autokey. Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves. Suporta chaves simétricas e assimétricas para criptografia e descriptografia. Faz a rotação automática de chaves simétricas. Compatível com vários algoritmos comuns. Validação FIPS 140-2 Nível 3. As chaves são exclusivas para um cliente.
Chaves de criptografia gerenciadas pelo cliente - externas (chaves do Cloud EKM)	US$ 3,00 por versão de chave por mês	Mais de 30 serviços	Você controla as funções e permissões do IAM, além de ativar, desativar ou destruir versões de chaves. As chaves nunca são enviadas ao Google. O material da chave reside em um provedor de gerenciamento de chaves externas (EKM) compatível. Os serviços compatíveis Google Cloud se conectam ao provedor de EKM pela Internet ou por uma nuvem privada virtual (VPC). Aceita chaves simétricas para criptografia e descriptografia. Faça a rotação manual das chaves em coordenação com o Cloud EKM e seu provedor de EKM. FIPS 140-2 Nível 2 ou FIPS 140-2 Nível 3 validado, dependendo do EKM. As chaves são exclusivas para um cliente.
Criptografia do lado do cliente usando chaves do Cloud KMS	O custo das versões de chaves ativas depende do nível de proteção da chave.	Usar bibliotecas de cliente nos seus aplicativos	Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves. Suporta chaves simétricas e assimétricas para criptografia, descriptografia, assinatura e validação de assinatura. A funcionalidade varia de acordo com o nível de proteção da chave.
Cloud HSM para Google Workspace	Taxa mensal fixa para cada instância, além do custo das versões ativas de chaves e das operações criptográficas.	Usar chaves do Cloud HSM para criptografia do lado do cliente no Google Workspace	Você controla a programação de rotação automática de chaves, os papéis e permissões do IAM e pode ativar, desativar ou destruir versões de chaves. Use chaves simétricas para criptografia e descriptografia.
Chaves de criptografia fornecidas pelo cliente	Pode aumentar os custos associados ao Compute Engine ou ao Cloud Storage	Compute Engine Cloud Storage	Você fornece materiais importantes quando necessário. O material da chave fica na memória. O Google não armazena permanentemente suas chaves nos nossos servidores.
Computação confidencial	Custo adicional para cada VM confidencial. Pode aumentar o uso de registros e os custos associados.	Compute Engine GKE Dataproc	Fornece criptografia em uso para VMs que processam dados ou cargas de trabalho sensíveis. As chaves não podem ser acessadas pelo Google.

Como proteger dados em Google Cloud

Google-owned and Google-managed encryption keys (criptografia padrãoGoogle Cloud )

Por padrão, os dados em repouso no Google Cloud são protegidos por chaves no Keystore,o serviço interno de gerenciamento de chaves do Google Cloud. As chaves no Keystore são gerenciadas automaticamente pelo Google Cloud, sem necessidade de configuração da sua parte. A maioria dos serviços faz a rotação automática das chaves para você. O keystore oferece suporte a uma versão de chave primária e a um número limitado de versões de chave mais antigas. A versão chave primária é usada para criptografar novas chaves de criptografia de dados. As versões de chave mais antigas ainda podem ser usadas para descriptografar chaves de criptografia de dados atuais. Não é possível ver, gerenciar ou analisar os registros de uso dessas chaves. Os dados de vários clientes podem usar a mesma chave de criptografia de chaves.

Essa criptografia padrão usa módulos criptográficos validados como compatíveis com o FIPS 140-2 Nível 1.

Chaves de criptografia gerenciadas pelo cliente (CMEKs)

As chaves do Cloud KMS usadas para proteger seus recursos em serviços integrados à CMEK são chaves de criptografia gerenciadas pelo cliente (CMEKs). Você pode ter e controlar as CMEKs, delegando a criação e atribuição de chaves à chave automática do Cloud KMS. Para saber mais sobre como automatizar o provisionamento de CMEKs, consulte Cloud Key Management Service com Autokey.

Você pode usar as chaves do Cloud KMS em serviços compatíveis para ajudar a atingir as seguintes metas:

Ter suas próprias chaves de criptografia.
Controle e gerencie suas chaves de criptografia, incluindo escolha de local, nível de proteção, criação, controle de acesso, rotação, uso e destruição.
Exclua seletivamente os dados protegidos pelas suas chaves em caso de desvinculação ou para corrigir eventos de segurança (destruição criptografada).
Crie chaves dedicadas de locatário único que estabelecem um limite criptográfico em torno dos seus dados.
Registre o acesso administrativo e aos dados às chaves de criptografia.
Atender a regulamentações atuais ou futuras que exigem qualquer uma dessas metas.

Ao usar chaves do Cloud KMS com serviços integrados à CMEK, é possível usar políticas da organização para garantir que as CMEKs sejam usadas conforme especificado nas políticas. Por exemplo, é possível definir uma política da organização que garanta que seus recursos compatíveis Google Cloud usem as chaves do Cloud KMS para criptografia. As políticas da organização também podem especificar em qual projeto os recursos principais precisam estar.

Os recursos e o nível de proteção fornecidos dependem do nível de proteção da chave:

Chaves de software: é possível gerar chaves de software no Cloud KMS e usá-las em todos os locais do Google Cloud . É possível criar chaves simétricas com rotação automática ou chaves assimétricas com rotação manual. As chaves de software gerenciadas pelo cliente usam módulos de criptografia de software validados pelo FIPS 140-2 Nível 1. Você também tem controle sobre o período de rotação, os papéis e permissões do Identity and Access Management (IAM) e as políticas da organização que regem suas chaves. É possível usar as chaves de software com muitos recursos Google Cloud compatíveis.
Chaves de software importadas: é possível importar chaves de software criadas em outro lugar para uso no Cloud KMS. É possível importar novas versões de chave para alternar manualmente as chaves importadas. É possível usar papéis e permissões do IAM e políticas da organização para controlar o uso das chaves importadas.
Chaves de hardware e Cloud HSM: é possível gerar chaves de hardware em um cluster de módulos de segurança de hardware (HSMs) FIPS 140-2 Nível 3. Você tem controle sobre o período de rotação, os papéis e permissões do IAM e as políticas da organização que regem suas chaves. Quando você cria chaves de HSM usando o Cloud HSM,o Google Cloud gerencia os clusters de HSM para você. É possível usar as chaves do HSM com muitos recursos Google Cloud compatíveis, os mesmos serviços que aceitam chaves de software. Para o nível mais alto de conformidade com a segurança, use chaves de hardware.
Chaves externas e Cloud EKM: é possível usar chaves que residem em um gerenciador de chaves externas (EKM). Com o Cloud EKM, você usa chaves armazenadas em um gerenciador de chaves compatível para proteger seus recursos doGoogle Cloud . É possível se conectar ao EKM pela Internet ou por uma nuvem privada virtual (VPC). Alguns serviços do Google Cloud que são compatíveis com chaves do Cloud KMS não são compatíveis com chaves do Cloud EKM.

Para saber mais sobre quais locais do Cloud KMS oferecem suporte a quais níveis de proteção, consulte Locais do Cloud KMS.

Chaves do Cloud KMS

É possível usar as chaves do Cloud KMS em aplicativos personalizados com as bibliotecas de cliente do Cloud KMS ou a API Cloud KMS. As bibliotecas de cliente e a API permitem criptografar e descriptografar dados, assinar dados e validar assinaturas.

Chaves do Cloud HSM

Você pode usar as chaves do Cloud HSM no Cloud HSM para Google Workspace e gerenciar as chaves usadas para criptografia do lado do cliente (CSE) no Google Workspace. É possível integrar o Cloud HSM ao Google Workspace.

Chaves de criptografia fornecidas pelo cliente (CSEKs)

O Cloud Storage e o Compute Engine podem usar chaves de criptografia fornecidas pelo cliente (CSEKs). Com as chaves de criptografia fornecidas pelo cliente, você armazena o material de chave e o fornece ao Cloud Storage ou ao Compute Engine quando necessário. Google Cloud não armazena suas CMEKs de forma alguma.

Computação confidencial

No Compute Engine, no GKE e no Dataproc, é possível usar a plataforma de computação confidencial para criptografar seus dados em uso. A Computação confidencial garante que seus dados permaneçam privados e criptografados mesmo durante o processamento.