Cloud Key Management Service (Cloud KMS) 可讓您建立及管理加密編譯金鑰,以便在相容的 Google Cloud 服務和自有應用程式中使用。使用 Cloud KMS,您可以執行下列操作:
- 產生軟體或硬體金鑰、將現有金鑰匯入 Cloud KMS,或在相容的外部金鑰管理 (EKM) 系統中連結外部金鑰。
- 產生 Cloud HSM 金鑰,並搭配 Google Workspace 適用的 Cloud HSM 使用,在 Google Workspace 中啟用用戶端加密 (CSE)。
- 在 Google Cloud整合 CMEK 的產品中使用客戶自行管理的加密金鑰 (CMEK)。CMEK 整合功能會使用 Cloud KMS 金鑰加密或「包裝」資料加密金鑰 (DEK)。以金鑰加密金鑰 (KEK) 包裝 DEK 的過程稱為「信封式加密」。
- 使用 Cloud KMS Autokey 自動佈建及指派金鑰。使用 Autokey 時,您不需要事先佈建金鑰環、金鑰和服務帳戶,而是會在建立資源時,視需要產生。
- 使用 Cloud KMS 金鑰進行加密和解密作業。舉例來說,您可以使用 Cloud KMS API 或用戶端程式庫,將 Cloud KMS 金鑰用於用戶端加密。
- 使用 Cloud KMS 金鑰建立或驗證數位簽章,或訊息鑑別碼 (MAC) 簽章。
根據需求選擇合適的加密方式
您可以參考下表,判斷哪種加密類型符合各用途的需求。最符合您需求的解決方案可能包含多種加密方式。 舉例來說,您可能會使用軟體金鑰處理最不敏感的資料,並使用硬體或外部金鑰處理最敏感的資料。 如要進一步瞭解本節所述的加密選項,請參閱本頁的「保護 Google Cloud中的資料」一節。
| 加密類型 | 費用 | 相容服務 | 功能 |
|---|---|---|---|
| Google-owned and Google-managed encryption keys (Google Cloud 預設加密) | 已包含 | 所有 Google Cloud 儲存客戶資料的服務 |
|
| 客戶管理加密金鑰 - 軟體 (Cloud KMS 金鑰) |
每個金鑰版本 $0.06 美元 | 40 多項服務 | |
| 客戶管理的加密金鑰 - 硬體 (Cloud HSM 金鑰) |
每個金鑰版本每月 $1.00 美元至 $2.50 美元 | 40 多項服務 | |
| 客戶自行管理的加密金鑰 - 外部 (Cloud EKM 金鑰) |
每個金鑰版本每月 $3.00 美元 | 30 多項服務 |
|
| 使用 Cloud KMS 金鑰進行用戶端加密 | 有效金鑰版本的費用取決於金鑰的防護等級。 | 在應用程式中使用用戶端程式庫 |
|
| Google Workspace 適用的 Cloud HSM | 每個執行個體的固定月費,加上有效金鑰版本和加密編譯作業的費用。 | 在 Google Workspace 中使用 Cloud HSM 金鑰進行用戶端加密 |
|
| 客戶提供的加密金鑰 | 可能會增加與 Compute Engine 或 Cloud Storage 相關的費用 |
|
|
| 機密運算 | 每個機密 VM 的額外費用;可能會增加記錄用量和相關費用 |
|
保護 Google Cloud中的資料
Google-owned and Google-managed encryption keys (Google Cloud 預設加密)
根據預設, Google Cloud 中的靜態資料會受到 Keystore ( Google Cloud的內部金鑰管理服務) 中的金鑰保護。Keystore 中的金鑰由 Google Cloud自動管理,您不需要進行任何設定。大多數服務都會自動為您輪替金鑰。金鑰儲存區支援主要金鑰版本和數量有限的舊版金鑰。主要金鑰版本用於加密新的資料加密金鑰。舊版金鑰仍可用於解密現有的資料加密金鑰。您無法查看或管理這些金鑰,也無法查看金鑰使用記錄。多位顧客的資料可能會使用相同的金鑰加密金鑰。
這項預設加密功能使用的加密模組,已通過 FIPS 140-2 第 1 級驗證。
客戶自行管理的加密金鑰 (CMEK)
在整合 CMEK 的服務中,用於保護資源的 Cloud KMS 金鑰是客戶管理加密金鑰 (CMEK)。 您可以擁有及控管 CMEK,同時將金鑰建立和指派工作委派給 Cloud KMS Autokey。如要進一步瞭解如何自動佈建 CMEK,請參閱「Cloud Key Management Service with Autokey」。
您可以在相容服務中使用 Cloud KMS 金鑰,達成下列目標:
擁有加密金鑰。
控管及管理加密金鑰,包括選擇位置、保護等級、建立、存取控管、輪換、使用和銷毀。
在停用服務或補救安全事件時,有選擇性地刪除金鑰保護資料的權限 (加密清除)。
建立專用的單一租戶金鑰,在資料周圍建立加密界線。
符合現行或未來法規對這些目標的要求。
搭配整合 CMEK 的服務使用 Cloud KMS 金鑰時,您可以透過機構政策確保 CMEK 的使用方式符合政策規定。舉例來說,您可以設定組織政策,確保相容的 Google Cloud 資源使用 Cloud KMS 金鑰進行加密。機構政策也可以指定金鑰資源必須位於哪個專案中。
提供的功能和防護等級取決於金鑰的防護等級:
軟體金鑰:您可以在 Cloud KMS 中產生軟體金鑰,並在所有 Google Cloud 位置使用。您可以建立自動輪替的對稱式金鑰,或手動輪替的非對稱式金鑰。客戶管理的軟體金鑰使用通過 FIPS 140-2 第 1 級驗證的軟體密碼編譯模組。您也可以控管輪替週期、Identity and Access Management (IAM) 角色和權限,以及管理金鑰的機構政策。您可以在許多相容 Google Cloud的資源上使用軟體金鑰。
匯入的軟體金鑰 - 您可以匯入在其他位置建立的軟體金鑰,以便在 Cloud KMS 中使用。您可以匯入新的金鑰版本,手動輪替匯入的金鑰。您可以使用 IAM 角色和權限,以及機構政策,控管匯入金鑰的使用情形。
硬體金鑰和 Cloud HSM - 您可以在 FIPS 140-2 第 3 級硬體安全性模組 (HSM) 的叢集中產生硬體金鑰。您可以控管輪替週期、IAM 角色和權限,以及管理金鑰的機構政策。使用 Cloud HSM 建立 HSM 金鑰時, Google Cloud會管理 HSM 叢集,因此您不必擔心這類問題。您可以將 HSM 金鑰用於許多相容 Google Cloud的資源,也就是支援軟體金鑰的服務。如要達到最高等級的安全法規遵循,請使用硬體金鑰。
外部金鑰和 Cloud EKM - 您可以使用外部金鑰管理工具 (EKM) 中的金鑰。透過 Cloud EKM,您可以使用支援的金鑰管理工具持有的金鑰,保護Google Cloud 資源。 您可以透過網際網路或虛擬私有雲 (VPC) 連線至 EKM。 部分 Google Cloud 支援 Cloud KMS 金鑰的服務不支援 Cloud EKM 金鑰。
Cloud KMS 金鑰
您可以使用 Cloud KMS 用戶端程式庫或 Cloud KMS API,在自訂應用程式中使用 Cloud KMS 金鑰。您可以使用用戶端程式庫和 API 加密及解密資料、簽署資料,以及驗證簽章。
Cloud HSM 金鑰
您可以在 Google Workspace 適用的 Cloud HSM 中使用 Cloud HSM 金鑰,管理 Google Workspace 用戶端加密 (CSE) 功能所用的金鑰。您可以加入 Google Workspace 適用的 Cloud HSM。
客戶提供的加密金鑰 (CSEK)
Cloud Storage 和 Compute Engine 可以使用客戶提供的加密金鑰 (CSEK)。 使用客戶提供的加密金鑰時,您會儲存金鑰內容,並在需要時提供給 Cloud Storage 或 Compute Engine。 Google Cloud 不會以任何方式儲存 CSEK。機密運算
在 Compute Engine、GKE 和 Dataproc 中,您可以使用機密運算平台加密使用中的資料。機密運算可確保資料在處理期間保持私密和加密狀態。