關於 Cloud KMS
什麼是 Cloud KMS?這項產品有什麼功能?
Cloud Key Management Service (Cloud KMS) 是雲端託管型金鑰管理服務,能讓您比照內部部署方式,管理雲端服務加密作業。您可以產生、使用、輪替及銷毀加密編譯金鑰。 Cloud KMS 整合了身分與存取權管理 (IAM) 和 Cloud 稽核記錄,因此您可以管理個別金鑰的權限,並監控金鑰的使用狀況。
是否可以儲存密鑰?
Cloud KMS 會儲存金鑰和金鑰的相關中繼資料,但沒有一般資料儲存 API。建議您使用 Secret Manager 儲存及存取機密資料,以便在 Google Cloud中使用。
是否有服務水準協議 (SLA)?
有,請參閱 Cloud KMS 服務水準協議。
如何提供產品意見回饋?
請透過下列電子郵件與工程團隊聯絡:cloudkms-feedback@google.com。
如何提供說明文件意見回饋?
查看 Cloud KMS 說明文件時,按一下靠近頁面右上角的 [Send feedback] (提供意見)。畫面上隨即會開啟意見回饋表單。
如果需要協助,有哪些支援選項?
我們邀請使用者在 Stack Overflow 中提問。除了活躍的 Stack Overflow 社群之外,我們的團隊還會主動監控帶有 google-cloud-kms 標記的 Stack Overflow 貼文並回答問題。
我們還根據您的需求提供了多種等級的支援。如要進一步瞭解支援選項,請參閱我們的 Google Cloud 支援方案。
Cloud KMS 是否有任何配額?
可以,如需瞭解配額相關資訊 (包括查看或要求額外配額),請參閱「Cloud KMS 配額」。
金鑰、金鑰環或金鑰版本數量沒有限制。此外,每個金鑰環的金鑰數量和每個金鑰的金鑰版本數量也沒有限制。
哪些國家/地區可以使用 Cloud KMS?
您可以在支援 Google Cloud 服務的任何國家/地區使用 Cloud KMS。
金鑰
Cloud KMS 會產生哪些類型的金鑰?
請參閱金鑰用途與演算法一文。
金鑰是否儲存在 HSM 中?
防護等級為 HSM 的金鑰會儲存在硬體安全性模組 (HSM) 中。
防護等級為 SOFTWARE 的金鑰會儲存在軟體中。
具備 HSM 的金鑰絕不會保留在 HSM 外。
金鑰遵循哪些標準?
在 Cloud KMS 中產生的金鑰,以及使用這些金鑰執行的加密編譯作業,均遵循聯邦資訊處理標準 (FIPS) 出版品 針對加密編譯模組的安全性要求 140-2。
防護等級為
SOFTWARE的金鑰及其執行的加密編譯作業均符合 FIPS 140-2 第 1 級的規範。防護等級為
HSM的金鑰及其執行的加密編譯作業均符合 FIPS 140-2 第 3 級的規範。如果金鑰是在 Cloud KMS 之外產生,然後再匯入,則有 FIPS 規定的客戶必須負責確保金鑰是以符合 FIPS 的方式產生。
金鑰內容是如何產生的?
Cloud KMS 軟體保護的金鑰使用 Google 的通用加密編譯程式庫和 Google 建立的隨機號碼產生器 (RNG) 產生。HSM 保護的金鑰由 HSM 安全產生,HSM 已經過驗證,符合 FIPS 140-2 第 3 級。
系統會使用哪個程式庫來產生金鑰內容?
Cloud KMS 金鑰是使用 Google 的通用加密編譯程式庫所產生,這個程式庫採用 BoringSSL 來實作加密編譯演算法。詳情請參閱 Google 的通用加密編譯程式庫一文。
金鑰是否受地理位置限制?
金鑰屬於地區,但不受該地區限制。詳情請參閱 Cloud KMS 位置一文。
是否可以自動刪除金鑰?
否。
是否可以自動輪替金鑰?
是的,如果是用於對稱式加密的金鑰,請參閱自動輪替:設定金鑰的輪替週期一文。
用於非對稱加密或非對稱簽署的金鑰則不行。如需更多資訊,請參閱「非對稱金鑰輪替的考量事項」。
金鑰輪替是否會重新加密資料?如果不會重新加密,原因是什麼?
金鑰輪替不會自動重新加密資料。解密資料時,Cloud KMS 知道該使用哪個金鑰版本進行解密。只要未停用或銷毀金鑰版本,Cloud KMS 就能解密以該金鑰保護的資料。
為什麼無法刪除金鑰或金鑰環?
為了防止資源名稱衝突,請不要刪除金鑰環和金鑰資源。金鑰版本也不得刪除,但金鑰版本內容可以刪除,這樣就無法再使用這些資源。詳情請參閱「物件生命週期」一文。計費依據為有效金鑰版本的數量;如果您銷毀所有有效金鑰版本內容,則剩餘的金鑰環、金鑰和金鑰版本不會產生費用。
是否可以匯出金鑰?
不可以。根據設計,無法從 Cloud KMS 匯出金鑰。這類金鑰的所有加密與解密作業都必須在 Cloud KMS 中完成,這樣的設計不僅可以預防資料外洩與濫用,也能讓 Cloud KMS 在有人使用金鑰時產生並稽核追蹤記錄。
是否可以匯入金鑰?
可以,但僅能匯入防護等級為 HSM 或 SOFTWARE 的金鑰。詳情請參閱「匯入金鑰」。
除了 Cloud KMS 以外,下列產品也支援客戶提供的加密金鑰 (CSEK) 功能。
| 產品 | CSEK 主題 |
|---|---|
| Compute Engine | 使用由客戶提供的加密金鑰來加密磁碟 |
| Cloud Storage | 使用客戶提供的加密金鑰 |
銷毀金鑰版本之後多久可以復原?
在您安排銷毀金鑰版本的 30 天之後,系統才會實際銷毀金鑰版本。您可以自訂金鑰版本刪除前等待的時間長度。在這段時間內,您可以視需要還原金鑰版本。
是否可以在刪除排程金鑰之前變更期間?
可以,您可以設定金鑰刪除前可使用的時間長度。請注意,您只能在建立金鑰時設定時間長度。
對金鑰進行變更時,多久可以生效?
Cloud KMS 資源的某些作業具有同步一致性,而其他資源則具有最終一致性,因此變更可能需要最多 3 小時才能生效。 詳情請參閱 Cloud KMS 資源一致性一文。
為什麼金鑰處於 PENDING_GENERATION 狀態?
由於產生金鑰內容的 CPU 成本,建立非對稱式簽署或非對稱式加密金鑰版本可能會花費幾分鐘的時間。硬體安全性模組 (HSM) 保護的金鑰版本也需要一些時間。當新建立的金鑰版本準備就緒時,其狀態會自動變更為 ENABLED。
授權與驗證
如何向 Cloud KMS API 驗證?
用戶端驗證的方式可能會因執行程式碼的平台而稍有不同。詳情請參閱存取 API 一文。
應使用哪些 IAM 角色?
如要實施最低權限原則,請確保機構中的使用者與服務帳戶只具有執行預期職務所需的權限。詳情請參閱權責劃分一文。
移除 IAM 權限需要多久?
移除權限會在一小時內生效。
其他
什麼是其他已驗證資料,什麼時候可以使用?
其他已驗證資料 (AAD) 是您傳送到 Cloud KMS 做為加密或解密要求一部分的任何字串。AAD 可做為完整性檢查使用,並且可協助避免資料遭受「混淆代理攻擊」。詳情請參閱其他已驗證資料一文。
系統是否預設啟用資料存取記錄?如何啟用資料存取記錄?
根據預設,系統不會啟用資料存取記錄,詳情請參閱「啟用資料存取記錄」。
Cloud KMS 金鑰和服務帳戶金鑰之間有什麼關係?
服務帳戶金鑰可用於在Google Cloud中進行服務對服務驗證。服務帳戶金鑰與 Cloud KMS 金鑰無關。
Cloud KMS 金鑰和 API 金鑰之間有什麼關係?
API 金鑰是一種簡易加密字串,可在呼叫不需要存取私人使用者資料的特定 API 時使用。API 金鑰可追蹤與專案配額和帳單相關聯的 API 要求。API 金鑰與 Cloud KMS 金鑰無關。
您是否有其他關於 Cloud HSM 所使用的 HSM 的詳細資料?
所有 HSM 裝置均由 Marvell (前身為 Cavium) 製造。裝置的 FIPS 憑證位於 NIST 網站。