本頁提供 Cloud External Key Manager (Cloud EKM) 的總覽。
術語
-
外部金鑰管理服務 (EKM)
在 Google Cloud 外部用來管理金鑰的金鑰管理工具。
-
Cloud External Key Manager (Cloud EKM)
這項 Google Cloud 服務可讓您使用透過支援的 EKM 代管的外部金鑰。
-
Cloud EKM 版本,可透過網際網路與外部金鑰管理工具 Google Cloud 通訊。
-
Cloud EKM 版本,可透過虛擬私有雲 (VPC) 與外部金鑰管理工具 Google Cloud 通訊 。詳情請參閱虛擬私有雲網路總覽。
-
透過 Cloud KMS 管理 EKM 金鑰
透過 VPC 使用 Cloud EKM 時,如果外部金鑰管理合作夥伴支援 Cloud EKM 控制平面,您可以使用 Cloud KMS EKM 管理模式,簡化在外部金鑰管理合作夥伴和 Cloud EKM 中維護外部金鑰的程序。詳情請參閱本頁面的「協調式外部金鑰」和「透過 Cloud KMS 管理 EKM 金鑰」一節。
-
外部金鑰管理合作夥伴中的資源容器。您的加密空間會以專屬的加密空間路徑識別。加密空間路徑的格式因外部金鑰管理合作夥伴而異,例如
v0/cryptospaces/YOUR_UNIQUE_PATH。 -
合作夥伴管理的 EKM
由值得信賴的合作夥伴為您管理 EKM 的安排。 詳情請參閱本頁面的「合作夥伴管理的 EKM」一節。
-
金鑰存取依據
使用 Cloud EKM 與金鑰存取依據時,向外部金鑰管理合作夥伴提出的每項要求都會包含一個欄位,用於識別各項要求的原因。您可以設定外部金鑰管理合作夥伴,根據提供的 Key Access Justifications 程式碼允許或拒絕要求。如要進一步瞭解金鑰存取依據,請參閱 金鑰存取依據總覽。
總覽
有了 Cloud EKM,您就能使用透過支援的外部金鑰管理合作夥伴代管的金鑰來保護Google Cloud中的資料。您可以透過支援的 CMEK 整合服務或直接呼叫 Cloud Key Management Service API 來保護靜態資料。
Cloud EKM 具備多項優勢:
金鑰來源:您可以控管外部管理金鑰的位置和發布情形。系統絕不會在 Google Cloud中快取或儲存外部代管金鑰。而是針對每項要求,直接與外部金鑰管理合作夥伴通訊。
存取控制:您可以在外部金鑰管理工具中,管理外部代管金鑰的存取權。如要在Google Cloud 中使用外部代管金鑰,請先在外部金鑰管理工具中授予 Google Cloud 專案金鑰存取權。您可以隨時撤銷這項存取權。
集中式金鑰管理:無論受保護的資料位於雲端或內部部署環境,您都可以透過單一使用者介面管理金鑰和存取權政策。
在所有情況下,金鑰都會保留在外部系統中,絕不會傳送給 Google。
您可以透過網際網路或透過虛擬私有雲 (VPC) 與外部金鑰管理工具通訊。Cloud EKM 的運作方式
Cloud EKM 金鑰版本包含下列部分:
- 外部金鑰內容:Cloud EKM 金鑰的外部金鑰內容是在 EKM 中建立及儲存的加密編譯內容。這項資料不會離開 EKM,也絕不會分享給 Google。
- 金鑰參照:每個 Cloud EKM 金鑰版本都包含金鑰 URI 或金鑰路徑。這是外部金鑰內容的專屬 ID,Cloud EKM 在使用金鑰要求加密編譯作業時會用到。
- 內部金鑰內容:建立對稱 Cloud EKM 金鑰時,Cloud KMS 會在 Cloud KMS 中建立額外的金鑰內容,這些內容絕不會離開 Cloud KMS。與 EKM 通訊時,這組金鑰材料會做為額外的加密層。這項內部金鑰材料不適用於非對稱簽署金鑰。
如要使用 Cloud EKM 金鑰,Cloud EKM 會將加密作業要求傳送至 EKM。舉例來說,如要使用對稱加密金鑰加密資料,Cloud EKM 會先使用內部金鑰內容加密資料,加密資料會納入對 EKM 的要求中。 EKM 會使用外部金鑰材料,以另一層加密機制包裝加密資料,然後傳回產生的密文。如要解密使用 Cloud EKM 金鑰加密的資料,必須同時擁有外部金鑰內容和內部金鑰內容。
如果貴機構已啟用金鑰存取依據,外部金鑰管理合作夥伴會記錄您提供的存取依據,並僅針對外部金鑰管理合作夥伴金鑰存取依據政策允許的依據原因代碼完成要求。如要建立及管理 Cloud EKM 金鑰,必須在 Cloud KMS 和 EKM 中進行相應變更。 對於手動管理的外部金鑰和協調式外部金鑰,系統會以不同方式處理這些相應的變更。透過網際網路存取的所有外部金鑰都必須手動管理。透過虛擬私有雲網路存取的外部金鑰可手動管理或協調,視 EKM 連線的 EKM 管理模式而定。手動 EKM 管理模式用於手動管理金鑰。Cloud KMS EKM 管理模式用於協調外部金鑰。如要進一步瞭解 EKM 管理模式,請參閱本頁面的「手動管理外部金鑰」和「協調式外部金鑰」一節。
下圖顯示 Cloud KMS 在金鑰管理模型中的位置。本圖以 Compute Engine 和 BigQuery 為例,您也可以查看支援 Cloud EKM 金鑰的服務完整清單。
手動管理的外部金鑰
本節將概略說明 Cloud EKM 如何搭配手動管理的外部金鑰運作。
- 在支援的外部金鑰管理合作夥伴系統中建立或使用現有金鑰。這個金鑰具有專屬 URI 或金鑰路徑。
- 在外部金鑰管理合作夥伴系統中,授予 Google Cloud 專案使用金鑰的存取權。
- 在 Google Cloud 專案中,使用外部代管金鑰的 URI 或金鑰路徑,建立 Cloud EKM 金鑰版本。
- 您必須在 EKM 和 Cloud EKM 之間手動管理金鑰輪替等維護作業。舉例來說,金鑰版本輪替或金鑰版本銷毀作業必須直接在 EKM 和 Cloud KMS 中完成。
在 Google Cloud中,金鑰會與其他 Cloud KMS 和 Cloud HSM 金鑰一起顯示,防護等級為 EXTERNAL 或 EXTERNAL_VPC。Cloud EKM 金鑰和外部金鑰管理合作夥伴金鑰會共同保護您的資料。外部金鑰內容絕不會向 Google 透露。
協調外部金鑰
本節將概述 Cloud EKM 如何搭配協調式外部金鑰運作。
您設定 EKM 連線時,請將 EKM 管理模式設為 Cloud KMS。設定期間,您必須授權 EKM 存取虛擬私有雲網路,並授權Google Cloud 專案服務帳戶存取 EKM 中的加密空間。EKM 連線會使用 EKM 的主機名稱和加密空間路徑,識別 EKM 中的資源。
您可以在 Cloud KMS 中建立外部金鑰。使用透過虛擬私有雲連線的 EKM 建立 Cloud EKM 金鑰,並啟用 Cloud KMS EKM 管理模式時,系統會自動執行下列步驟:
- Cloud EKM 會將金鑰建立要求傳送至 EKM。
- EKM 會建立要求的金鑰內容。這項外部金鑰內容會保留在 EKM 中,絕不會傳送給 Google。
- EKM 會將金鑰路徑傳回 Cloud EKM。
- Cloud EKM 會使用 EKM 提供的金鑰路徑,建立 Cloud EKM 金鑰版本。
您可以從 Cloud KMS 啟動協調式外部金鑰的維護作業。舉例來說,用於對稱式加密的協調式外部金鑰可以按照設定的時間表自動輪替。Cloud EKM 會在 EKM 中協調建立新的金鑰版本。您也可以使用Google Cloud 控制台、gcloud CLI、Cloud KMS API 或 Cloud KMS 用戶端程式庫,從 Cloud KMS 觸發 EKM 中的金鑰版本建立或銷毀作業。
在 Google Cloud中,金鑰會與其他 Cloud KMS 和 Cloud HSM 金鑰一起顯示,防護等級為 EXTERNAL_VPC。Cloud EKM 金鑰和外部金鑰管理合作夥伴金鑰會共同保護您的資料。外部金鑰內容絕不會向 Google 透露。
透過 Cloud KMS 管理 EKM 金鑰
透過使用 Cloud KMS 的 EKM 金鑰管理功能,EKM 連線可協調外部金鑰。如果 EKM 支援 Cloud EKM 控制平面,您就能透過 Cloud KMS 啟用 EKM 金鑰管理功能,為 EKM 連線建立協調的外部金鑰。啟用 Cloud KMS 的 EKM 金鑰管理功能後,Cloud EKM 可以在 EKM 中要求下列變更:
建立金鑰:在 Cloud KMS 中使用相容的 EKM 連線建立外部代管金鑰時,Cloud EKM 會將金鑰建立要求傳送至 EKM。成功後,EKM 會建立新的金鑰和金鑰內容,並傳回金鑰路徑,供 Cloud EKM 用來存取金鑰。
輪替金鑰:在 Cloud KMS 中使用相容的 EKM 連線輪替外部管理金鑰時,Cloud EKM 會將輪替要求傳送至 EKM。成功後,EKM 會建立新的金鑰內容,並傳回金鑰路徑,供 Cloud EKM 用來存取新的金鑰版本。
銷毀金鑰:在 Cloud KMS 中,使用相容的 EKM 連線銷毀外部管理金鑰的金鑰版本時,Cloud KMS 會安排銷毀 Cloud KMS 中的金鑰版本。如果未在排定刪除期間結束前還原金鑰版本,Cloud EKM 會刪除金鑰的加密資料,並向 EKM 傳送刪除要求。
即使 EKM 尚未刪除金鑰版本,Cloud KMS 中的金鑰版本刪除後,使用該版本加密的資料也無法解密。您可以在 Cloud KMS 中查看金鑰詳細資料,確認 EKM 是否已成功銷毀金鑰版本。
透過 Cloud KMS 管理 EKM 中的金鑰時,金鑰材料仍會保留在 EKM 中。未經明確授權,Google 無法向 EKM 發出任何金鑰管理要求。 Google 無法在外部金鑰管理合作夥伴系統中變更權限或金鑰存取依據政策。 如果您在 EKM 中撤銷 Google 的權限,在 Cloud KMS 中嘗試的金鑰管理作業就會失敗。
相容性
支援的金鑰管理員
您可以將外部金鑰儲存在下列外部金鑰管理合作夥伴系統中:
支援透過 Cloud EKM 使用 CMEK 的服務
下列服務支援與 Cloud KMS 整合,使用外部 (Cloud EKM) 金鑰:
- Agent Assist
- PostgreSQL 適用的 AlloyDB
- Apigee API Hub
- 應用程式整合
- Artifact Registry
- GKE 備份
- BigQuery
- Bigtable
- Cloud Composer
- Cloud Data Fusion
- Cloud Healthcare API
- Cloud Logging: 記錄檔路由器中的資料 和 Logging 儲存空間中的資料
- Cloud Run
- Cloud Run functions
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Workstations
- Compute Engine: 永久磁碟、 快照、 自訂映像檔、 和機器映像檔
- 對話式洞察
- 資料庫移轉服務: MySQL 遷移 - 寫入資料庫的資料、 PostgreSQL 遷移 - 寫入資料庫的資料、 PostgreSQL 至 AlloyDB 遷移 - 寫入資料庫的資料、 SQL Server 遷移 - 寫入資料庫的資料、 以及 Oracle 至 PostgreSQL 的靜態資料
- Dataflow
- Dataform
- Dataplex Universal Catalog
- Dataproc: VM 磁碟上的 Dataproc 叢集資料 和 VM 磁碟上的 Dataproc 無伺服器資料
- Dataproc Metastore
- Dialogflow CX
- Document AI
- Eventarc Standard
- Filestore
- Firestore
- Google Cloud Managed Service for Apache Kafka
- Google Distributed Cloud
- Google Kubernetes Engine: VM 磁碟上的資料 和應用程式層級密鑰
- Integration Connectors
- Looker (Google Cloud Core)
- Memorystore for Redis
- 遷移至虛擬機器: 從 VMware、AWS 和 Azure VM 來源遷移的資料 和從磁碟和機器映像檔來源遷移的資料
- 參數管理工具
- Pub/Sub
- Secret Manager
- Secure Source Manager
- Spanner
- Speaker ID (受限的 Google Analytics)
- Speech-to-Text
- Vertex AI
- Vertex AI Workbench 執行個體
- 工作流程
注意事項
使用 Cloud EKM 金鑰時,Google 無法控管外部金鑰管理合作夥伴系統中外部管理金鑰的可用性。如果您遺失在 Google Cloud外部管理的金鑰,Google 無法復原您的資料。
選擇 Cloud EKM 金鑰位置時,請詳閱外部金鑰管理合作夥伴和區域的相關指南。
-
透過網際網路與外部服務通訊可能會導致可靠性、可用性和延遲問題。如果應用程式對這類風險的容許度較低,請考慮使用 Cloud HSM 或 Cloud KMS 儲存金鑰材料。
如果外部金鑰無法使用,Cloud KMS 會傳回
FAILED_PRECONDITION錯誤,並在PreconditionFailure錯誤詳細資料中提供詳細資訊。啟用資料稽核記錄,保留所有與 Cloud EKM 相關錯誤的記錄。錯誤訊息包含詳細資訊,可協助您找出錯誤來源。常見錯誤的例子是外部金鑰管理合作夥伴未在合理時間內回應要求。
您必須與外部金鑰管理合作夥伴簽訂支援合約。 Google Cloud 支援團隊只能協助解決Google Cloud 服務問題,無法直接協助解決外部系統問題。有時您必須與雙方的支援團隊合作,才能排解互通性問題。
Cloud EKM 可搭配Bare Metal Rack HSM 使用,建立與 Cloud KMS 整合的單一租戶 HSM 解決方案。如要瞭解詳情,請選擇支援單一租戶 HSM 的 Cloud EKM 合作夥伴,並查看 Bare Metal Rack HSM 的需求條件。
在外部金鑰管理工具中啟用稽核記錄,擷取 EKM 金鑰的存取和使用情形。
限制
- 使用 API 或 Google Cloud CLI 建立 Cloud EKM 金鑰時,該金鑰不得有初始金鑰版本。使用Google Cloud 控制台建立的 Cloud EKM 金鑰不適用這項限制。
- 手動管理的外部金鑰不支援自動輪替。
- 除了 Cloud KMS 作業配額外,Cloud EKM 作業也受特定配額限制。
對稱式加密金鑰
- 只有下列項目支援對稱式加密金鑰:
- 支援整合式服務的客戶代管加密金鑰 (CMEK)。
- 使用 Cloud KMS 直接進行對稱加密和解密。
- 如果資料是透過 Cloud EKM 使用外部管理的金鑰加密,就必須使用 Cloud EKM 才能解密。
非對稱簽署金鑰
- 非對稱簽署金鑰僅限使用部分 Cloud KMS 演算法。
- 非對稱簽署金鑰僅支援下列用途:
- 在 Cloud EKM 金鑰上設定非對稱簽署演算法後,就無法修改。
- 簽署必須在
data欄位進行。
外部金鑰管理員和區域
Cloud EKM 必須能夠快速存取金鑰,才能避免發生錯誤。建立 Cloud EKM 金鑰時,請選擇與外部金鑰管理合作夥伴金鑰位置相近的Google Cloud 位置。請參閱外部金鑰管理合作夥伴的說明文件,瞭解他們支援哪些位置。
- 透過網際網路使用 Cloud EKM:適用於 Cloud KMS 可用的多數 Google Cloud位置,包括區域和多區域位置。
- 透過 VPC 使用 Cloud EKM:適用於 Cloud KMS 支援的大部分區域位置。無法在多區域位置,透過虛擬私有雲使用 Cloud EKM。
部分位置 (包括 global 和 nam-eur-asia1) 無法使用 Cloud EKM。如要瞭解哪些位置支援 Cloud EKM,請參閱 Cloud KMS 位置。
多區域使用
在多地區使用外部代管金鑰時,金鑰的中繼資料會儲存在多地區內的數個資料中心。這項中繼資料包含與外部金鑰管理合作夥伴通訊所需的資訊。如果應用程式從多區域中的一個資料中心容錯移轉至另一個資料中心,新的資料中心會啟動金鑰要求。新資料中心的網路特性可能與先前的資料中心不同,包括與外部金鑰管理合作夥伴的距離,以及發生逾時的可能性。如果所選外部金鑰管理員可為多區域的所有區域提供低延遲服務,我們建議您只在這種情況下搭配 Cloud EKM 使用多區域。
合作夥伴管理的 EKM
合作夥伴管理的 EKM 可讓您透過值得信賴的主權合作夥伴使用 Cloud EKM,由合作夥伴為您管理 EKM 系統。使用合作夥伴管理的 EKM 時,合作夥伴會建立及管理您在 Cloud EKM 中使用的金鑰。合作夥伴會確保您的 EKM 符合主權規定。
與主權合作夥伴完成新手上路程序後,合作夥伴會在 Google Cloud 和您的 EKM 中佈建資源。這些資源包括用於管理 Cloud EKM 金鑰的 Cloud KMS 專案,以及為從 Cloud KMS 管理 EKM 金鑰而設定的 EKM 連線。合作夥伴會根據您的資料落地規定,在 Google Cloud 位置建立資源。
每個 Cloud EKM 金鑰都包含 Cloud KMS 中繼資料,可讓 Cloud EKM 將要求傳送至 EKM,使用從未離開 EKM 的外部金鑰材料執行加密編譯作業。對稱式 Cloud EKM 金鑰也包含 Cloud KMS 內部金鑰內容,這些內容絕不會離開 Google Cloud。如要進一步瞭解 Cloud EKM 金鑰的內部和外部,請參閱本頁面的「Cloud EKM 的運作方式」一節。
如要進一步瞭解合作夥伴代管的 EKM,請參閱「設定合作夥伴代管的 Cloud KMS」。
監控 Cloud EKM 使用情況
您可以使用 Cloud Monitoring 監控 EKM 連線。下列指標可協助您瞭解 EKM 使用情況:
cloudkms.googleapis.com/ekm/external/request_latenciescloudkms.googleapis.com/ekm/external/request_count
如要進一步瞭解這些指標,請參閱 cloudkms 指標。您可以建立資訊主頁來追蹤這些指標。如要瞭解如何設定資訊主頁來監控 EKM 連線,請參閱「監控 EKM 使用情形」。
取得支援
如果 Cloud EKM 發生問題,請與支援團隊聯絡。
後續步驟
開始使用 API。
建立 EKM 連線,透過虛擬私有雲使用 EKM。
瞭解 Cloud KMS 中的記錄。記錄以作業為基礎,並會同時套用至防護等級為 HSM 與「軟體」的金鑰。
如要瞭解如何設定與 Cloud EKM 整合的外部金鑰管理工具 (EKM) 服務部署作業,請參閱可靠部署 Cloud EKM 服務的參考架構。