Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità sulle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa.
L'utilizzo di chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione HSM, la separazione delle responsabilità, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per i servizi che si integrano con Cloud KMS Autokey. Google Cloud Una volta create, le chiavi richieste utilizzando Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati di creazione delle chiavi.
Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per saperne di più sulle risorse di organizzazione e cartella, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le Google Cloud località in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. Non è previsto alcun costo aggiuntivo per l'utilizzo di Autokey di Cloud KMS. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Per saperne di più su Autokey, consulta la panoramica di Autokey.
Scegliere tra Autokey e altre opzioni di crittografia
Cloud KMS con Autokey è come un pilota automatico per le chiavi di crittografia gestite dal cliente: esegue il lavoro per tuo conto, su richiesta. Non devi pianificare le chiavi in anticipo o creare chiavi che potrebbero non essere mai necessarie. Le chiavi e il loro utilizzo sono coerenti. Puoi definire le cartelle in cui vuoi che venga utilizzato Autokey e controllare chi può utilizzarlo. Mantieni il controllo completo delle chiavi create da Autokey. Puoi utilizzare le chiavi Cloud KMS create manualmente insieme a quelle create utilizzando Autokey. Puoi disattivare Autokey e continuare a utilizzare le chiavi che ha creato nello stesso modo in cui utilizzeresti qualsiasi altra chiave Cloud KMS.
Cloud KMS Autokey è una buona scelta se vuoi un utilizzo coerente delle chiavi nei progetti, con un basso overhead operativo e vuoi seguire i consigli di Google per le chiavi.
| Funzionalità | Crittografia predefinita di Google | Cloud KMS | Autokey di Cloud KMS |
|---|---|---|---|
| Isolamento crittografico: le chiavi sono esclusive di un account cliente | No | Sì | Sì |
| Il cliente possiede e controlla le chiavi | No | Sì | Sì |
| Lo sviluppatore attiva il provisioning e l'assegnazione delle chiavi | Sì | No | Sì |
| Specificità: le chiavi vengono create automaticamente con la granularità consigliata | No | No | Sì |
| Consente di eliminare i dati in modo sicuro | No | Sì | Sì |
| Si allinea automaticamente alle pratiche di gestione delle chiavi consigliate | No | No | Sì |
| Utilizza chiavi supportate da HSM conformi allo standard FIPS 140-2 di livello 3 | No | Facoltativo | Sì |
Se devi utilizzare un livello di protezione diverso da HSM o un periodo di rotazione personalizzato,
puoi utilizzare CMEK senza Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità della chiave |
|---|---|---|
| Artifact Registry |
Autokey crea chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati. |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare chiavi predefinite personalizzate a livello di progetto o organizzazione. |
Una chiave per risorsa |
| Bigtable |
Autokey crea chiavi per i cluster. Autokey non crea chiavi per le risorse Bigtable diverse dai cluster. Bigtable è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o Google Cloud SDK. |
Una chiave per cluster |
| AlloyDB per PostgreSQL |
AlloyDB per PostgreSQL è compatibile solo con Cloud KMS Autokey quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Run |
|
Una chiave per risorsa |
| Cloud SQL |
Autokey non crea chiavi per le risorse Cloud SQL
Cloud SQL è compatibile con Autokey di Cloud KMS solo quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Storage |
Gli oggetti all'interno di un
bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per le risorse |
Una chiave per risorsa |
| Pub/Sub |
|
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile solo con Cloud KMS Autokey quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Spanner |
Spanner è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Dataflow |
|
Una chiave per risorsa |
Passaggi successivi
- Per scoprire di più sul funzionamento di Autokey di Cloud KMS, consulta la panoramica di Autokey.