Diese Seite wurde von der Cloud Translation API übersetzt.

Cloud External Key Manager

Diese Seite bietet einen Überblick über Cloud External Key Manager (Cloud EKM).

Terminologie

Externer Schlüsselmanager (EKM)

Der Schlüsselmanager, der außerhalb von Google Cloud zum Verwalten Ihrer Schlüssel verwendet wird.
Cloud External Key Manager (Cloud EKM)

Ein Google Cloud -Dienst zur Verwendung Ihrer externen Schlüssel, die in einem unterstützten EKM verwaltet werden.
Cloud EKM über das Internet

Eine Version von Cloud EKM, bei der Google Cloud über das Internet mit Ihrem externen Schlüsselverwaltungssystem kommuniziert.
Cloud EKM über eine VPC

Eine Version von Cloud EKM, in der Google Cloud über eine Virtual Private Cloud (VPC) mit Ihrem External Key Manager kommuniziert. Weitere Informationen finden Sie unter VPC-Netzwerke.
EKM-Schlüsselverwaltung über Cloud KMS

Wenn Sie Cloud EKM über eine VPC mit einem Partner für die externe Schlüsselverwaltung verwenden, der die Cloud EKM-Steuerungsebene unterstützt, können Sie den Cloud KMS-EKM-Verwaltungsmodus verwenden, um die Verwaltung externer Schlüssel bei Ihrem Partner für die externe Schlüsselverwaltung und in Cloud EKM zu vereinfachen. Weitere Informationen finden Sie auf dieser Seite unter Abgestimmte externe Schlüssel und EKM-Schlüsselverwaltung über Cloud KMS.
Crypto Space

Ein Container für Ihre Ressourcen bei Ihrem Partner für die externe Schlüsselverwaltung. Ihr Crypto Space wird durch einen eindeutigen Crypto Space-Pfad identifiziert. Das Format des Crypto Space-Pfads variiert je nach Partner für die externe Schlüsselverwaltung, z. B. v0/cryptospaces/YOUR_UNIQUE_PATH.
Partnerverwaltetes EKM

Eine Vereinbarung, bei der Ihr EKM von einem vertrauenswürdigen Partner für Sie verwaltet wird. Weitere Informationen finden Sie auf dieser Seite unter Von Partnern verwaltete EKM.
Key Access Justifications

Wenn Sie Cloud EKM mit Key Access Justifications verwenden, enthält jede Anfrage an Ihren Partner für die externe Schlüsselverwaltung ein Feld, in dem der Grund für die jeweilige Anfrage angegeben ist. Sie können Ihren Partner für die externe Schlüsselverwaltung so konfigurieren, dass Anfragen basierend auf dem bereitgestellten Key Access Justifications-Code zugelassen oder abgelehnt werden. Weitere Informationen zu Key Access Justifications finden Sie im Überblick über Key Access Justifications.

Übersicht

Mit Cloud EKM können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten, um Daten inGoogle Cloudzu schützen. Sie können inaktive Daten in unterstützten CMEK-Integrationsdiensten schützen oder die Cloud Key Management Service API direkt aufrufen.

Cloud EKM bietet mehrere Vorteile:

Schlüsselherkunft:Sie bestimmen die Position und Verteilung Ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden nie im Cache von Google Cloudoder direkt dort gespeichert. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung.
Zugriffssteuerung:Sie verwalten den Zugriff auf Ihre extern verwalteten Schlüssel in Ihrem externen Schlüsselmanager. Sie können einen extern verwalteten Schlüssel inGoogle Cloud erst verwenden, wenn Sie dem Google Cloud -Projekt Zugriff auf den Schlüssel in Ihrem externen Schlüsselverwaltungssystem gewähren. Sie können die erteilten Zugriffsrechte jederzeit entziehen.
Zentrale Schlüsselverwaltung:Sie können Ihre Schlüssel und Zugriffsrichtlinien zentral und über eine Benutzeroberfläche verwalten, unabhängig davon, ob die geschützten Daten in der Cloud oder bei Ihnen lokal gespeichert sind.

In allen Fällen befindet sich der Schlüssel im externen System und wird niemals an Google gesendet.

Sie können mit Ihrem External Key Manager über das Internet oder über eine Virtual Private Cloud (VPC) kommunizieren.

Funktionsweise von Cloud EKM

Cloud EKM-Schlüsselversionen bestehen aus folgenden Teilen:

Externes Schlüsselmaterial: Das externe Schlüsselmaterial eines Cloud EKM-Schlüssels ist kryptografisches Material, das in Ihrem EKM erstellt und gespeichert wird. Dieses Material verlässt Ihr EKM nicht und wird niemals mit Google geteilt.
Schlüsselreferenz: Jede Cloud EKM-Schlüsselversion enthält entweder einen Schlüssel-URI oder einen Schlüsselpfad. Dies ist ein eindeutiger Bezeichner für das externe Schlüsselmaterial, das Cloud EKM verwendet, wenn kryptografische Vorgänge mit dem Schlüssel angefordert werden.
Internes Schlüsselmaterial: Wenn ein symmetrischer Cloud EKM-Schlüssel erstellt wird, erstellt Cloud KMS zusätzliches Schlüsselmaterial in Cloud KMS, das Cloud KMS nie verlässt. Dieses Schlüsselmaterial wird als zusätzliche Verschlüsselungsebene für die Kommunikation mit Ihrem EKM verwendet. Dieses interne Schlüsselmaterial gilt nicht für asymmetrische Signaturschlüssel.

Damit Ihre Cloud EKM-Schlüssel verwendet werden können, sendet Cloud EKM Anfragen für kryptografische Vorgänge an Ihr EKM. Wenn Sie beispielsweise Daten mit einem symmetrischen Verschlüsselungsschlüssel verschlüsseln möchten, verschlüsselt Cloud EKM die Daten zuerst mit dem internen Schlüsselmaterial. Die verschlüsselten Daten sind in einer Anfrage an das EKM enthalten. EKM verschlüsselt die verschlüsselten Daten mit einer weiteren Verschlüsselungsebene unter Verwendung des externen Schlüsselmaterials und gibt dann den resultierenden Chiffretext zurück. Daten, die mit einem Cloud EKM-Schlüssel verschlüsselt wurden, können nur entschlüsselt werden, wenn sowohl das externe als auch das interne Schlüsselmaterial vorhanden ist.

Wenn in Ihrer Organisation Key Access Justifications aktiviert ist, zeichnet Ihr Partner für die externe Schlüsselverwaltung die angegebene Zugriffsbegründung auf und führt die Anfrage nur für Begründungscodes aus, die durch Ihre Richtlinie für Key Access Justifications beim Partner für die externe Schlüsselverwaltung zulässig sind.

Das Erstellen und Verwalten von Cloud EKM-Schlüsseln erfordert entsprechende Änderungen sowohl in Cloud KMS als auch im EKM. Diese entsprechenden Änderungen werden für manuell verwaltete externe Schlüssel und für abgestimmte externe Schlüssel unterschiedlich behandelt. Alle externen Schlüssel, auf die über das Internet zugegriffen wird, werden manuell verwaltet. Auf externe Schlüssel, auf die über ein VPC-Netzwerk zugegriffen wird, kann je nach EKM-Verwaltungsmodus der EKM-Verbindung manuell zugegriffen oder der Zugriff koordiniert werden. Der EKM-Verwaltungsmodus Manuell wird für manuell verwaltete Schlüssel verwendet. Der EKM-Verwaltungsmodus Cloud KMS wird für koordinierte externe Schlüssel verwendet. Weitere Informationen zu EKM-Verwaltungsmodi finden Sie auf dieser Seite unter Manuell verwaltete externe Schlüssel und Koordinierte externe Schlüssel.

Das folgende Diagramm zeigt, wie Cloud KMS in das Schlüsselverwaltungsmodell passt. In diesem Diagramm werden Compute Engine und BigQuery als zwei Beispiele verwendet. Hier finden Sie die vollständige Liste der Dienste, die Cloud EKM-Schlüssel unterstützen.

Diagramm zur Ver- und Entschlüsselung mit Cloud EKM

Wenn Sie Cloud EKM verwenden, erfahren Sie mehr über Überlegungen und Einschränkungen.

Manuell verwaltete externe Schlüssel

Dieser Abschnitt bietet einen umfassenden Überblick darüber, wie Cloud EKM mit einem manuell verwalteten externen Schlüssel funktioniert.

Sie erstellen oder verwenden einen vorhandenen Schlüssel in einem unterstützten Partnersystem für die externe Schlüsselverwaltung. Dieser Schlüssel hat einen eindeutigen URI oder Schlüsselpfad.
Sie erteilen Ihrem Google Cloud Projekt Zugriff auf den Schlüssel im Partnersystem für die externe Schlüsselverwaltung.
Erstellen Sie in Ihrem Google Cloud -Projekt eine Cloud EKM-Schlüsselversion mit dem URI oder Schlüsselpfad für den extern verwalteten Schlüssel.
Wartungsvorgänge wie die Schlüsselrotation müssen manuell zwischen Ihrem EKM und Cloud EKM verwaltet werden. Beispielsweise müssen Vorgänge zur Schlüsselversionsrotation oder zum Löschen von Schlüsselversionen sowohl direkt in Ihrem EKM als auch in Cloud KMS abgeschlossen werden.

In Google Cloudwird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der Schutzstufe EXTERNAL oder EXTERNAL_VPC angezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Das externe Schlüsselmaterial wird Google niemals zugänglich gemacht.

Abgestimmte externe Schlüssel

Dieser Abschnitt bietet einen Überblick darüber, wie Cloud EKM mit koordinierten externen Schlüsseln funktioniert.

Sie richten eine EKM-Verbindung ein und legen den EKM-Verwaltungsmodus auf Cloud KMS fest. Bei der Einrichtung müssen Sie Ihrem EKM Zugriff auf Ihr VPC-Netzwerk und demGoogle Cloud -Projektdienstkonto Zugriff auf Ihren Kryptobereich in Ihrem EKM gewähren. Für Ihre EKM-Verbindung wird der Hostname Ihres EKM und ein crypto space path (Kryptobereichspfad) verwendet, der Ihre Ressourcen in Ihrem EKM identifiziert.
Sie erstellen einen externen Schlüssel in Cloud KMS. Wenn Sie einen Cloud EKM-Schlüssel über eine EKM-über-VPC-Verbindung mit aktiviertem EKM-Verwaltungsmodus Cloud KMS erstellen, werden die folgenden Schritte automatisch ausgeführt:
1. Cloud EKM sendet eine Anfrage zur Schlüsselerstellung an Ihr EKM.
2. Ihr EKM erstellt das angeforderte Schlüsselmaterial. Dieses externe Schlüsselmaterial verbleibt im EKM und wird niemals an Google gesendet.
3. Ihr EKM gibt einen Schlüsselpfad an Cloud EKM zurück.
4. Cloud EKM erstellt Ihre Cloud EKM-Schlüsselversion mit dem von Ihrem EKM bereitgestellten Schlüsselpfad.
Wartungsvorgänge für koordinierte externe Schlüssel können über Cloud KMS initiiert werden. Beispielsweise können koordinierte externe Schlüssel, die für die symmetrische Verschlüsselung verwendet werden, nach einem festgelegten Zeitplan automatisch rotiert werden. Die Erstellung neuer Schlüsselversionen wird in Ihrem EKM von Cloud EKM koordiniert. Sie können das Erstellen oder Löschen von Schlüsselversionen in Ihrem EKM auch über Cloud KMS auslösen. Dazu können Sie dieGoogle Cloud -Konsole, die gcloud CLI, die Cloud KMS API oder Cloud KMS-Clientbibliotheken verwenden.

In Google Cloudwird der Schlüssel neben Ihren anderen Cloud KMS- und Cloud HSM-Schlüsseln mit der SchutzstufeEXTERNAL_VPCangezeigt. Der Cloud EKM-Schlüssel und der Schlüssel des Partners für die externe Schlüsselverwaltung schützen gemeinsam Ihre Daten. Das externe Schlüsselmaterial wird Google niemals zugänglich gemacht.

EKM-Schlüsselverwaltung über Cloud KMS

Koordinierte externe Schlüssel werden durch EKM-Verbindungen ermöglicht, die die EKM-Schlüsselverwaltung von Cloud KMS verwenden. Wenn Ihr EKM die Cloud EKM-Steuerungsebene unterstützt, können Sie die EKM-Schlüsselverwaltung über Cloud KMS für Ihre EKM-Verbindungen aktivieren, um koordinierte externe Schlüssel zu erstellen. Wenn die EKM-Schlüsselverwaltung über Cloud KMS aktiviert ist, kann Cloud EKM die folgenden Änderungen in Ihrem EKM anfordern:

Schlüssel erstellen: Wenn Sie einen extern verwalteten Schlüssel in Cloud KMS über eine kompatible EKM-Verbindung erstellen, sendet Cloud EKM Ihre Anfrage zum Erstellen des Schlüssels an Ihren EKM. Wenn der Vorgang erfolgreich ist, erstellt Ihr EKM den neuen Schlüssel und das neue Schlüsselmaterial und gibt den Schlüsselpfad zurück, den Cloud EKM für den Zugriff auf den Schlüssel verwenden kann.
Schlüssel rotieren: Wenn Sie einen extern verwalteten Schlüssel in Cloud KMS über eine kompatible EKM-Verbindung rotieren, sendet Cloud EKM Ihre Rotationsanfrage an Ihr EKM. Wenn der Vorgang erfolgreich ist, erstellt Ihr EKM neues Schlüsselmaterial und gibt den Schlüsselpfad zurück, den Cloud EKM für den Zugriff auf die neue Schlüsselversion verwendet.
Schlüssel löschen: Wenn Sie eine Schlüsselversion für einen extern verwalteten Schlüssel in Cloud KMS über eine kompatible EKM-Verbindung löschen, plant Cloud KMS das Löschen der Schlüsselversion in Cloud KMS. Wenn die Schlüsselversion nicht vor Ablauf des Zeitraums Zum Löschen vorgemerkt wiederhergestellt wird, löscht Cloud EKM seinen Teil des kryptografischen Materials des Schlüssels und sendet eine Löschanfrage an Ihr EKM.

Daten, die mit dieser Schlüsselversion verschlüsselt wurden, können nicht mehr entschlüsselt werden, nachdem die Schlüsselversion in Cloud KMS gelöscht wurde, auch wenn das EKM die Schlüsselversion noch nicht gelöscht hat. Sie können prüfen, ob das EKM die Schlüsselversion erfolgreich gelöscht hat, indem Sie sich die Details des Schlüssels in Cloud KMS ansehen.

Wenn Schlüssel in Ihrem EKM über Cloud KMS verwaltet werden, befindet sich das Schlüsselmaterial weiterhin in Ihrem EKM. Google kann ohne ausdrückliche Genehmigung keine Schlüsselverwaltungsanfragen an Ihr EKM senden. Google kann Berechtigungen oder Richtlinien für Key Access Justifications in Ihrem Partnersystem für die externe Schlüsselverwaltung nicht ändern. Wenn Sie die Berechtigungen von Google in Ihrem EKM widerrufen, schlagen Schlüsselverwaltungsvorgänge fehl, die in Cloud KMS ausgeführt werden.

Kompatibilität

Unterstützte Schlüsselmanager

Sie können externe Schlüssel in den folgenden Partnersystemen für die externen Schlüsselverwaltung speichern:

Zur Zeit unterstützt:
- Fortanix
- Futurex
- Thales

Dienste, die CMEK mit Cloud EKM unterstützen

Die folgenden Dienste unterstützen die Integration in Cloud KMS für externe (Cloud EKM-)Schlüssel:

Agent Assist
AlloyDB for PostgreSQL
Apigee API-Hub
Application Integration
Artifact Registry
Sicherung für GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Healthcare API
Cloud Logging: Daten im Log-Router und Daten im Logging-Speicher
Cloud Run
Cloud Run Functions
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Nichtflüchtige Speicher, Snapshots, Benutzerdefinierte Images, und Maschinen-Images
Dialogorientierte Insights
Database Migration Service: MySQL-Migrationen – In Datenbanken geschriebene Daten, PostgreSQL-Migrationen – In Datenbanken geschriebene Daten, PostgreSQL-zu-AlloyDB-Migrationen – In Datenbanken geschriebene Daten, SQL Server-Migrationen – In Datenbanken geschriebene Daten, und Oracle-zu-PostgreSQL-Daten im Ruhezustand
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Dataproc-Clusterdaten auf VM-Laufwerken und Dataproc Serverless-Daten auf VM-Laufwerken
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service for Apache Kafka
Google Distributed Cloud
Google Kubernetes Engine: Daten auf VM-Laufwerken und Secrets auf Anwendungsebene
Integration Connectors
Looker (Google Cloud Core)
Memorystore for Redis
Migrate to Virtual Machines: Von VMware-, AWS- und Azure-VM-Quellen migrierte Daten und Von Laufwerk- und Maschinenimage-Quellen migrierte Daten
Parameter Manager
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (Eingeschränkte allgemeine Verfügbarkeit)
Speech-to-Text
Vertex AI
Vertex AI Workbench-Instanzen
Workflows

Hinweise

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn Sie Schlüssel verlieren, die Sie außerhalb von Google Cloudverwalten, kann Google Ihre Daten nicht wiederherstellen.
Lesen Sie die Richtlinien zu Partner für die externe Schlüsselverwaltung und Regionen für die Wahl der Speicherorte Ihrer Cloud EKM-Schlüssel.
Lesen Sie das Service Level Agreement (SLA).
Wenn Sie mit einem externen Dienst über das Internet kommunizieren, kann das zu Problemen hinsichtlich Zuverlässigkeit, Verfügbarkeit und Latenz führen. Bei Anwendungen, die eine geringe Toleranz für diese Risiken haben, sollten Sie Cloud HSM oder Cloud KMS zum Speichern Ihres Schlüsselmaterials in Betracht ziehen.
- Wenn kein externer Schlüssel verfügbar ist, gibt Cloud KMS den Fehler FAILED_PRECONDITION zurück und stellt Einzelheiten in den Fehlerdetails PreconditionFailure bereit.
  
  Audit-Logging von Daten aktivieren, um alle Fehler im Zusammenhang mit Cloud EKM zu erfassen. Fehlermeldungen enthalten detaillierte Informationen, anhand derer Sie die Ursache des Fehlers ermitteln können. Ein Beispiel für einen häufigen Fehler ist, wenn ein Partner für die externe Schlüsselverwaltung auf eine Anfrage nicht innerhalb eines angemessenen Zeitraums antwortet.
- Sie benötigen einen Supportvertrag mit dem Partner für die externe Schlüsselverwaltung. DerGoogle Cloud -Support kann nur bei Problemen mitGoogle Cloud -Diensten helfen und bei Problemen mit externen Systemen nicht direkt behilflich sein. Manchmal müssen Sie mit dem Support beider Seiten zusammenarbeiten, um Interoperabilitätsprobleme zu beheben.
Cloud EKM kann mit Bare Metal Rack HSM verwendet werden, um eine Einzelmandanten-HSM-Lösung zu erstellen, die in Cloud KMS eingebettet ist. Weitere Informationen finden Sie unter Anforderungen an Bare Metal Rack-HSMs.
Aktivieren Sie das Audit-Logging in Ihrem externen Schlüsselverwaltungssystem, um den Zugriff auf Ihre EKM-Schlüssel und deren Verwendung zu erfassen.

Achtung :Wenn Sie Cloud EKM-Schlüssel verwenden, besteht das Risiko, dass der Schlüssel nicht mehr verfügbar ist. Je nachdem, welche Dienste Sie verwenden, kann dies zu schwerwiegenden Fehlern oder nicht zugänglichen Daten führen. Wenn Sie beispielsweise einen externen CMEK-Schlüssel zum Verschlüsseln von Google Kubernetes Engine-Secrets auf Anwendungsebene verwenden, können Ihre Knoten nicht mehr verfügbar sein, wenn sie die Secrets nicht entschlüsseln können. Wenn Sie nicht auf den externen Schlüssel zugreifen können, kann dies auch zu dauerhaftem Datenverlust führen. Wenn beispielsweise der CMEK-Schlüssel, der zum Verschlüsseln einer Spanner-Datenbank verwendet wird, länger als 30 Tage nicht verfügbar ist, wird die Datenbank von Spanner automatisch gelöscht. Wenn die aktuelle Schlüsselversion nicht verfügbar ist, können Sie die Daten nicht wiederherstellen, indem Sie zu einer neuen Schlüsselversion rotieren. Für eine bessere Verfügbarkeit sollten Sie Cloud EKM anstelle von VPC- oder Cloud HSM-Schlüsseln verwenden.

Beschränkungen

Wenn Sie einen Cloud EKM-Schlüssel mit der API oder der Google Cloud CLI erstellen, darf er keine anfängliche Schlüsselversion haben. Dies gilt nicht für Cloud EKM-Schlüssel, die mit derGoogle Cloud Consoleerstellt wurden.
Die automatische Rotation wird für manuell verwaltete externe Schlüssel nicht unterstützt.
Für Cloud-EKM-Vorgänge gelten zusätzlich zu den Kontingenten für Cloud KMS-Vorgänge bestimmte Kontingente.

Symmetrische Verschlüsselungsschlüssel

Symmetrische Verschlüsselungsschlüssel werden nur für die folgenden Elemente unterstützt:
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) in unterstützten Integrationsdiensten.
- Symmetrische Ver- und Entschlüsselung direkt mit Cloud KMS.
Daten, die von Cloud EKM mithilfe eines extern verwalteten Schlüssels verschlüsselt wurden, können ohne Cloud EKM nicht entschlüsselt werden.

Asymmetrische Signaturschlüssel

Asymmetrische Signierschlüssel sind auf eine Teilmenge von Cloud KMS-Algorithmen beschränkt.
Asymmetrische Signaturschlüssel werden nur für die folgenden Anwendungsfälle unterstützt:
- Asymmetrische Signierung direkt mit Cloud KMS.
- Benutzerdefinierter Signaturschlüssel mit Zugriffsgenehmigung.
Sobald ein asymmetrischer Signaturalgorithmus für einen Cloud EKM-Schlüssel festgelegt wurde, kann er nicht mehr geändert werden.
Die Unterschrift muss im Feld data erfolgen.

Externe Schlüsselmanager und Regionen

Cloud EKM muss Ihre Schlüssel schnell erreichen können, um einen Fehler zu vermeiden. Wählen Sie beim Erstellen eines Cloud EKM-Schlüssels einenGoogle Cloud -Standort aus, der sich in der Nähe des Standorts befindet, an dem sich der Schlüssel des Partners für die externe Schlüsselverwaltung befindet. Sehen Sie in der Dokumentation des Partners für die externe Schlüsselverwaltung nach, welche Standorte er unterstützt.

Cloud EKM über das Internet: Verfügbar an den meisten Google CloudStandorten, an denen Cloud KMS verfügbar ist, einschließlich regionaler und multiregionaler Standorte.
Cloud EKM über eine VPC: verfügbar an den meisten regionalen Standorten, an denen Cloud KMS verfügbar ist. Cloud EKM über eine VPC ist an multiregionalen Standorten nicht verfügbar.

Einige Standorte, darunter global und nam-eur-asia1, sind für Cloud EKM nicht verfügbar. Informationen dazu, an welchen Standorten Cloud EKM unterstützt wird, finden Sie unter Cloud KMS-Standorte.

In mehreren Regionen verwenden

Wenn Sie einen extern verwalteten Schlüssel in mehreren Regionen verwenden, stehen die Metadaten des Schlüssels in mehreren Rechenzentren innerhalb dieser Regionen zur Verfügung. Diese Metadaten enthalten die für die Kommunikation mit dem Partner für die externe Schlüsselverwaltung erforderlichen Informationen. Wird bei Ihrer Anwendung innerhalb dieser Regionen von einem Rechenzentrum zu einem anderen ein Failover durchgeführt, werden vom neuen Rechenzentrum Schlüsselanfragen initiiert. Das neue Rechenzentrum verfügt möglicherweise über andere Netzwerkmerkmale als das vorherige, einschließlich der Entfernung zum Partner für die externe Schlüsselverwaltung und der Wahrscheinlichkeit von Zeitüberschreitungen. Wir empfehlen, nur dann mehrere Regionen mit Cloud EKM zu verwenden, wenn Ihr ausgewählter externer Schlüsselmanager eine geringe Latenz für alle Bereiche dieser Mehrfachregion bietet.

Von Partnern verwalteter EKM

Mit Partner-managed EKM können Sie Cloud EKM über einen vertrauenswürdigen souveränen Partner verwenden, der Ihr EKM-System für Sie verwaltet. Bei der EKM-Verwaltung durch Partner erstellt und verwaltet Ihr Partner die Schlüssel, die Sie in Cloud EKM verwenden. Der Partner sorgt dafür, dass Ihr EKM den Anforderungen an die Souveränität entspricht.

Wenn Sie mit Ihrem souveränen Partner zusammenarbeiten, stellt der Partner Ressourcen in der Google Cloud und Ihrem EKM bereit. Zu diesen Ressourcen gehören ein Cloud KMS-Projekt zur Verwaltung Ihrer Cloud EKM-Schlüssel und eine EKM-Verbindung, die für die EKM-Schlüsselverwaltung über Cloud KMS konfiguriert ist. Ihr Partner erstellt Ressourcen an Google Cloud -Standorten gemäß Ihren Anforderungen an den Datenstandort.

Jeder Cloud EKM-Schlüssel enthält Cloud KMS-Metadaten, mit denen Cloud EKM Anfragen an Ihr EKM senden kann, um kryptografische Vorgänge mit dem externen Schlüsselmaterial auszuführen, das Ihr EKM nie verlässt. Symmetrische Cloud EKM-Schlüssel enthalten auch internes Cloud KMS-Schlüsselmaterial, das Google Cloudniemals verlässt. Weitere Informationen zur internen und externen Seite von Cloud EKM-Schlüsseln finden Sie auf dieser Seite unter Funktionsweise von Cloud EKM.

Weitere Informationen zu von Partnern verwalteten EKM finden Sie unter Von Partnern verwaltete Cloud KMS-Schlüssel konfigurieren.

Cloud EKM-Nutzung überwachen

Sie können Ihre EKM-Verbindung mit Cloud Monitoring überwachen. Die folgenden Messwerte können Ihnen helfen, die Nutzung von EKM nachzuvollziehen:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Weitere Informationen zu diesen Messwerten finden Sie unter cloudkms-Messwerte. Sie können ein Dashboard erstellen, um diese Messwerte im Blick zu behalten. Informationen zum Einrichten eines Dashboards zum Überwachen Ihrer EKM-Verbindung finden Sie unter EKM-Nutzung überwachen.

Support

Wenn mit Cloud EKM ein Problem auftritt, wenden Sie sich an den Support.

Nächste Schritte

Mit der Verwendung der API beginnen.
Cloud EKM über das Internet einrichten
EKM-Verbindung erstellen, um EKM über VPC zu verwenden.
Lesen Sie die Cloud KMS API-Referenz.
Weitere Informationen zu Logging in Cloud KMS. Das Logging basiert auf Vorgängen und gilt für Schlüssel mit HSM- und Softwareschutzlevel.
Unter Referenzarchitekturen für die zuverlässige Bereitstellung von Cloud EKM-Diensten finden Sie Empfehlungen zum Konfigurieren einer EKM-Dienstbereitstellung (External Key Manager), die in Cloud EKM integriert ist.