Cloud KMS with Autokey

Cloud KMS Autokey 通过自动执行预配和分配来简化客户管理的加密密钥 (CMEK) 的创建和使用。借助 Autokey,系统会按需生成密钥环和密钥。系统会根据需要创建使用密钥加密和解密资源的服务账号,并向其授予 Identity and Access Management (IAM) 角色。Cloud KMS 管理员可以保留对 Autokey 创建的密钥的完全控制权和可见性,而无需预先规划和创建每个资源。

使用 Autokey 生成的密钥有助于您始终遵循数据安全方面的业界标准和建议做法,包括 HSM 保护级别、职责分离、密钥轮替、位置和密钥专属性。Autokey 会创建符合一般准则以及与 Cloud KMS Autokey 集成的服务 Google Cloud 所适用资源类型的特定准则的密钥。创建后,使用 Autokey 请求的密钥与具有相同设置的其他 Cloud HSM 密钥的运作方式相同。

Autokey 还可以简化 Terraform 在密钥管理方面的使用,因为它消除了需要使用受提升的密钥创建权限运行基础架构即代码的需要。

如需使用 Autokey,您必须拥有包含文件夹资源的组织资源。如需详细了解组织和文件夹资源,请参阅资源层次结构

Cloud KMS Autokey 可在所有可使用 Cloud HSM 的 Google Cloud 位置使用。如需详细了解 Cloud KMS 位置,请参阅 Cloud KMS 位置。使用 Cloud KMS Autokey 无需额外付费。使用 Autokey 创建的密钥的价格与任何其他 Cloud HSM 密钥相同。如需详细了解价格,请参阅 Cloud Key Management Service 价格

如需详细了解 Autokey,请参阅 Autokey 概览

在 Autokey 和其他加密选项之间进行选择

Cloud KMS with Autokey 就像客户管理的加密密钥的自动驾驶功能:它会根据需要代表您执行相应工作。您无需提前规划密钥,也不必创建可能永远用不到的密钥。键和键用法保持一致。您可以定义要使用 Autokey 的文件夹,并控制哪些人可以使用它。您对 Autokey 创建的密钥拥有完全的控制权。您可以将手动创建的 Cloud KMS 密钥与使用 Autokey 创建的密钥搭配使用。您可以停用 Autokey,并继续使用它创建的密钥,就像使用任何其他 Cloud KMS 密钥一样。

如果您希望在项目中实现一致的密钥使用方式、运营开销较低,并希望遵循 Google 针对密钥的建议,Cloud KMS Autokey 是一个不错的选择。

功能或能力 Google 默认加密方式 Cloud KMS Cloud KMS Autokey
加密隔离:密钥专属于一位客户的账号
客户拥有并控制密钥
开发者触发密钥预配和分配
具体性:系统会按照建议的键精细程度自动创建键
可对数据进行加密碎片化
自动遵循建议的密钥管理做法
使用符合 FIPS 140-2 3 级要求且由 HSM 支持的密钥 可选

如果您需要使用 HSM 以外的保护级别或自定义轮替周期,则可以使用 CMEK,而无需使用 Autokey。

兼容的服务

下表列出了与 Cloud KMS AutoKey 兼容的服务:

服务 受保护资源 键粒度
Artifact Registry
  • artifactregistry.googleapis.com/Repository

Autokey 会在创建制品库期间创建密钥,这些密钥用于所有存储的工件。

 每项资源一个密钥
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey 会为数据集创建默认密钥。数据集中的表、模型、查询和临时表使用数据集默认密钥。

Autokey 不会为数据集以外的 BigQuery 资源创建密钥。如需保护不属于数据集的资源,您必须在项目级别或组织级别创建自己的默认密钥。

 每项资源一个密钥
Bigtable
  • bigtable.googleapis.com/Cluster

Autokey 会为集群创建密钥。

Autokey 不会为集群以外的 Bigtable 资源创建密钥。

只有在使用 Terraform 或 Google Cloud SDK 创建资源时,Bigtable 才与 Cloud KMS Autokey 兼容。

 每个集群一个密钥
AlloyDB for PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

只有在使用 Terraform 或 REST API 创建资源时,AlloyDB for PostgreSQL 才与 Cloud KMS Autokey 兼容。

 每项资源一个密钥
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
 每项资源一个密钥
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey 不会为 Cloud SQL BackupRun 资源创建密钥。创建 Cloud SQL 实例的备份时,系统会使用主实例的客户管理密钥加密备份。

只有在使用 Terraform 或 REST API 创建资源时,Cloud SQL 才与 Cloud KMS Autokey 兼容。

 每项资源一个密钥
Cloud Storage
  • storage.googleapis.com/Bucket

存储分区中的对象会使用存储分区默认密钥。Autokey 不会为 storage.object 资源创建密钥。

 每个存储分区一个键
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

快照使用您要为其创建快照的磁盘的密钥。 Autokey 不会为 compute.snapshot 资源创建密钥。

 每项资源一个密钥
Secret Manager
  • secretmanager.googleapis.com/Secret

只有在使用 Terraform 或 REST API 创建资源时,Secret Manager 才与 Cloud KMS Autokey 兼容。

 项目中每个位置一个密钥
Spanner
  • spanner.googleapis.com/Database

只有在使用 Terraform 或 REST API 创建资源时,Spanner 才与 Cloud KMS Autokey 兼容。

 每项资源一个密钥
Dataflow
  • dataflow.googleapis.com/Job
 每项资源一个密钥

后续步骤

  • 如需详细了解 Cloud KMS Autokey 的运作方式,请参阅 Autokey 概览