Dieses Thema bietet einen Überblick über Cloud HSM. Außerdem erfahren Sie, wie Sie HSM-geschützte Verschlüsselungsschlüssel in Cloud Key Management Service erstellen und verwenden.
Was ist Cloud HSM?
Cloud HSM ist ein in der Cloud gehosteter HSM-Dienst (Hardware Security Module), mit dem Sie Verschlüsselungsschlüssel hosten und kryptografische Abläufe in einem Cluster von zertifizierten HSMs auf FIPS 140-2 Level 3 durchführen können. Google verwaltet den HSM-Cluster für Sie, sodass Sie sich keine Gedanken über Clustering, Skalierung oder Patching machen müssen. Da Cloud HSM Cloud KMS als Frontend verwendet, können Sie alle Features von Cloud KMS nutzen.
Schlüsselbund erstellen
Wenn Sie einen Schlüssel erstellen, fügen Sie ihn einem Schlüsselbund an einem bestimmten Google Cloud-Speicherort hinzu. Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. In diesem Thema erstellen Sie einen neuen Schlüsselbund und fügen ihm einen neuen Schlüssel hinzu.
Erstellen Sie einen Schlüsselbund an einem Google Cloud-Standort, der Cloud HSM unterstützt.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf KeyRing erstellen.
Geben Sie unter Schlüsselbundname einen Namen für den Schlüsselbund ein.
Wählen Sie unter Schlüsselbund-Speicherort einen Standort wie
"us-east1"
aus.Klicken Sie auf Erstellen.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
-
Führen Sie in Ihrer Umgebung den Befehl
gcloud kms keyrings create
aus:gcloud kms keyrings create KEY_RING \ --location LOCATION
Ersetzen Sie Folgendes:
KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag
--help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund enthält.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION
: der Cloud KMS-Speicherort des Schlüsselbunds.
Weitere Informationen finden Sie in der KeyRing.create
API-Dokumentation.
Schlüssel erstellen
Führen Sie die folgenden Schritte aus, um einen Cloud HSM-Schlüssel für den angegebenen Schlüsselbund und Speicherort zu erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.
Klicken Sie auf Schlüssel erstellen.
Wählen Sie unter Welchen Schlüsseltyp möchten Sie erstellen? die Option Generierter Schlüssel aus.
Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.
Klicken Sie auf das Drop-down-Menü Schutzstufe und wählen Sie HSM aus.
Klicken Sie auf das Drop-down-Menü Zweck und wählen Sie Symmetrisches Ver-/Entschlüsseln aus.
Übernehmen Sie die Standardwerte für Rotationszeitraum und Beginnt am.
Klicken Sie auf Erstellen.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms keys create key \ --keyring key-ring \ --location location \ --purpose "encryption" \ --protection-level "hsm"
Geben Sie für key einen Namen für den neuen Schlüssel an. Ersetzen Sie key-ring durch den Namen des vorhandenen Schlüsselbunds, in dem sich der Schlüssel befinden wird. Ersetzen Sie location durch den Cloud KMS-Speicherort für den Schlüsselbund.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
Daten verschlüsseln
Mit dem erstellten Schlüssel können Sie Text oder binären Inhalt verschlüsseln.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms encrypt \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --plaintext-file FILE_TO_ENCRYPT \ --ciphertext-file ENCRYPTED_OUTPUT
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels, den Sie für die Verschlüsselung verwenden möchten.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION
: der Cloud KMS-Speicherort, der den Schlüsselbund enthält.FILE_TO_ENCRYPT
: der Pfad zur Datei, die Sie verschlüsseln möchten.ENCRYPTED_OUTPUT
: der Pfad, unter dem Sie die verschlüsselte Ausgabe speichern möchten.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Wenn Sie JSON und die REST API verwenden, müssen Inhalte mit base64 codiert sein, bevor sie von Cloud KMS verschlüsselt werden können.
Erstellen Sie eine POST
-Anfrage und geben Sie die entsprechenden Projekt- und Schlüsselinformationen an. Außerdem geben Sie den zu verschlüsselnden base64-codierten Text im Feld plaintext
des Anfragetexts an, um Daten zu verschlüsseln.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME:encrypt" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data "{\"plaintext\": \"PLAINTEXT_TO_ENCRYPT\"}"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund und den Schlüssel enthält, die Sie für die Verschlüsselung verwenden möchten.LOCATION
: der Cloud KMS-Speicherort, der den Schlüsselbund enthält.KEY_RING
: der Schlüsselbund, der den Schlüssel enthält, den Sie für die Verschlüsselung verwenden möchten.KEY_NAME
: Der Name des Schlüssels, den Sie für die Verschlüsselung verwenden möchten.PLAINTEXT_TO_ENCRYPT
: Die Klartextdaten, die Sie verschlüsseln möchten. Der Klartext muss base64-codiert sein, bevor du die Methodeencrypt
aufrufst.
Hier ein Beispiel für eine Nutzlast mit base64-codierten Daten:
{ "plaintext": "U3VwZXIgc2VjcmV0IHRleHQgdGhhdCBtdXN0IGJlIGVuY3J5cHRlZAo=", }
Geheimtext entschlüsseln
Um verschlüsselten Inhalt zu entschlüsseln, müssen Sie den gleichen Schlüssel verwenden, mit dem auch der Inhalt verschlüsselt wurde.
gcloud
Wenn Sie Cloud KMS in der Befehlszeile verwenden möchten, müssen Sie zuerst die neueste Version der Google Cloud CLI installieren oder ein Upgrade ausführen.
gcloud kms decrypt \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --ciphertext-file FILE_TO_DECRYPT \ --plaintext-file DECRYPTED_OUTPUT
Ersetzen Sie Folgendes:
KEY_NAME
: Der Name des Schlüssels, den Sie für die Entschlüsselung verwenden möchten.KEY_RING
: der Name des Schlüsselbunds, der den Schlüssel enthältLOCATION
: der Cloud KMS-Speicherort, der den Schlüsselbund enthält.FILE_TO_DECRYPT
: der Pfad zur Datei, die Sie entschlüsseln möchten.DECRYPTED_OUTPUT
: der Pfad, unter dem Sie die entschlüsselte Ausgabe speichern möchten.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help
aus.
C#
Um diesen Code auszuführen, müssen Sie zuerst eine C#-Entwicklungsumgebung einrichten und das Cloud KMS C# SDK installieren.
Go
Um diesen Code auszuführen, müssen Sie zuerst eine Go-Entwicklungsumgebung einrichten und das Cloud KMS Go SDK installieren.
Java
Um diesen Code auszuführen, müssen Sie zuerst eine Java-Entwicklungsumgebung einrichten und das Cloud KMS Java SDK installieren.
Node.js
Um diesen Code auszuführen, richten Sie zuerst eine Node.js-Entwicklungsumgebung ein und installieren Sie das Cloud KMS Node.js SDK.
PHP
Um diesen Code auszuführen, müssen Sie zuerst PHP in Google Cloud verwenden lernen und das Cloud KMS PHP SDK installieren.
Python
Um diesen Code auszuführen, müssen Sie zuerst eine Python-Entwicklungsumgebung einrichten und das Cloud KMS Python SDK installieren.
Ruby
Um diesen Code auszuführen, müssen Sie zuerst eine Ruby-Entwicklungsumgebung einrichten und das Cloud KMS Ruby SDK installieren.
API
In diesen Beispielen wird curl als HTTP-Client verwendet, um die Verwendung der API zu demonstrieren. Weitere Informationen zur Zugriffssteuerung finden Sie unter Auf die Cloud KMS API zugreifen.
Der vom Cloud KMS im JSON-Dokument zurückgegebene entschlüsselte Text ist Base64-codiert.
Erstellen Sie eine POST
-Anfrage und geben Sie das entsprechende Projekt und die Schlüsselinformationen sowie den zu entschlüsselnden verschlüsselten Text (Geheimtext) im Feld ciphertext
des Anfragetexts an, um verschlüsselte Daten zu entschlüsseln.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME:decrypt" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --data "{\"ciphertext\": \"ENCRYPTED_DATA\"}"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Projekts, das den Schlüsselbund und den Schlüssel enthält, die Sie für die Entschlüsselung verwenden möchten.LOCATION
: der Cloud KMS-Speicherort, der den Schlüsselbund enthält.KEY_RING
: Der Schlüsselbund, der den Schlüssel enthält, den Sie für die Entschlüsselung verwenden möchten.KEY_NAME
: Der Name des Schlüssels, den Sie für die Entschlüsselung verwenden möchten.ENCRYPTED_DATA
: die verschlüsselten Daten, die Sie entschlüsseln möchten.
Hier ein Beispiel für eine Nutzlast mit base64-codierten Daten:
{ "ciphertext": "CiQAhMwwBo61cHas7dDgifrUFs5zNzBJ2uZtVFq4ZPEl6fUVT4kSmQ...", }
Nächste Schritte
Beim Verschlüsselungsbeispiel in diesem Thema wurde ein symmetrischer Schlüssel mit dem Schutzniveau HSM verwendet. Führen Sie die Schritte unter Daten mit einem asymmetrischen Schlüssel verschlüsseln und entschlüsseln mit diesen Änderungen aus, um eine Codierung mit einem asymmetrischen Schlüssel mit dem Schutzniveau HSM durchzuführen:
- Erstellen Sie den Schlüsselbund in einer der unterstützten Regionen für Cloud HSM.
- Erstellen Sie den Schlüssel mit dem Schutzniveau HSM.
Folgen Sie der Anleitung unter Signaturen erstellen und überprüfen mit diesen Änderungen, um einen asymmetrischen Schlüssel mit dem Schutzniveau HSM für Elliptische-Kurven-Signaturen oder RSA-Signaturen zu verwenden:
- Erstellen Sie den Schlüsselbund in einer der unterstützten Regionen für Cloud HSM.
- Erstellen Sie den Schlüssel mit dem Schutzniveau HSM.
Mit der Verwendung der API beginnen.
Die Cloud KMS API-Referenz ansehen.
Anleitungen zu den ersten Schritten beim Erstellen und Rotieren von Schlüsseln und beim Einrichten von Berechtigungen lesen.
Mehr über die Konzepte Objekthierarchie, Schlüsselstatus und Schlüsselrotation erfahren.
Weitere Informationen zu Logging in Cloud KMS. Beachten Sie, dass das Logging auf Vorgängen basiert und für Schlüssel mit beiden Schutzniveaus, HSM und SOFTWARE, gilt.
Weitere Informationen dazu, wie Cloud HSM Ihre Daten schützt, finden Sie im Whitepaper zur Cloud HSM-Architektur.
Bekannte Einschränkungen
Die Nachrichtengröße ist auf 8 KiB (im Gegensatz zu 64 KiB für Cloud KMS-Softwareschlüssel) für vom Nutzer bereitgestellten Klartext und Geheimtext, einschließlich der zusätzlichen authentifizierten Daten, beschränkt.
Cloud HSM ist möglicherweise in bestimmten Multi- oder Dual-Regionen nicht verfügbar. Weitere Informationen finden Sie unter Unterstützte Regionen für Cloud HSM.
Wenn Sie Cloud HSM-Schlüssel mit Integrationen für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Key integrations, CMEK-Integrationen) in anderen Google Cloud-Diensten verwenden, müssen die Standorte, die Sie für die Dienste verwenden, genau mit den Speicherorten Ihrer Cloud HSM-Schlüssel übereinstimmen. Dies gilt für regionale, dualregionale und multiregionale Standorte.
Weitere Informationen zu CMEK-Integrationen finden Sie im entsprechenden Abschnitt des Artikels Verschlüsselung inaktiver Daten.
Derzeit kann durch Schlüsselvorgänge für asymmetrische Schlüssel, die in Cloud HSM gespeichert sind, eine im Vergleich zum Verwenden von Cloud KMS-Softwareschlüsseln beträchtlich höhere Latenz hervorgerufen werden.
Bare Metal Rack HSM
Google Cloud bietet zusätzliche HSM-Optionen, z. B. Einzelmandantenfähigkeit. Bare-Metal-Rack-HSM stehen Kunden zur Verfügung, um ihre eigenen HSM in dem von Google bereitgestellten Bereich zu hosten. Weitere Informationen erhalten Sie von Ihrem Kundenbetreuer.