使用 Autokey 的 Cloud KMS

Cloud KMS Autokey 可自動執行佈建及指派作業,簡化客戶自行管理的加密金鑰 (CMEK) 的建立和使用流程。Autokey 會視情況產生金鑰環和金鑰。系統會建立使用金鑰加密及解密資源的服務帳戶,並視需要授予身分和存取權管理 (IAM) 角色。Cloud KMS 管理員可保留 Autokey 建立的金鑰的完整控管權限和可見度,無需事先規劃及建立各項資源。

使用 Autokey 產生的金鑰,有助於您持續遵循業界標準和資料安全性建議做法,包括 HSM 防護等級、權責劃分、金鑰輪替、位置和金鑰專用原則等。Autokey 建立的金鑰會遵循一般規範,以及與 Cloud KMS Autokey 整合的 Google Cloud 服務所需的資源類型規範。建立後,使用 Autokey 要求的金鑰會與其他設定相同的 Cloud HSM 金鑰相同。

Autokey 還可簡化 Terraform 的金鑰管理用途,讓您不必以提升的金鑰建立權限執行基礎架構即程式碼。

如要使用 Autokey,您必須擁有包含資料夾資源的機構資源。如要進一步瞭解機構和資料夾資源,請參閱「資源階層」。

您可以在所有提供 Cloud HSM 的 Google Cloud 位置使用 Cloud KMS Autokey。如要進一步瞭解 Cloud KMS 位置,請參閱「Cloud KMS 位置」一文。使用 Cloud KMS Autokey 無須額外付費。使用 Autokey 建立的金鑰價格與其他 Cloud HSM 金鑰相同。如要進一步瞭解定價,請參閱「Cloud Key Management Service 定價」。

如要進一步瞭解 Autokey,請參閱「Autokey 總覽」。

選擇 Autokey 或其他加密選項

使用 Autokey 的 Cloud KMS 就像客戶自行管理的加密金鑰的自動駕駛系統,可視需要代您執行作業。您不需要事先規劃金鑰,也不需要建立可能永遠用不到的金鑰。金鑰和金鑰用途一致。您可以定義要使用 Autokey 的資料夾,並控制可使用 Autokey 的使用者。您可以完全控管 Autokey 建立的金鑰。您可以使用手動建立的 Cloud KMS 金鑰,以及使用 Autokey 建立的金鑰。您可以停用 Autokey,並繼續使用其建立的金鑰,方法與使用其他 Cloud KMS 金鑰相同。

如果您希望在各個專案中使用一致的金鑰,且希望遵循 Google 針對金鑰提出的建議,並且希望降低營運成本,那麼 Cloud KMS Autokey 就是不錯的選擇。

功能 Google 預設加密機制 Cloud KMS Cloud KMS Autokey
加密隔離:金鑰專屬於單一客戶帳戶
客戶擁有及控管金鑰
開發人員觸發金鑰佈建和指派作業
特定性:系統會自動以建議的鍵精細度建立鍵
讓您加密分割資料
自動配合建議的金鑰管理做法
使用符合 FIPS 140-2 第 3 級的 HSM 保護金鑰 選用

如果您需要使用 HSM 以外的保護等級或自訂輪替週期,可以使用 CMEK 而無需使用 Autokey。

相容的服務

下表列出與 Cloud KMS Autokey 相容的服務:

服務 受保護的資源 按鍵精細程度
Artifact Registry
  • artifactregistry.googleapis.com/Repository

Autokey 會在建立存放區時建立金鑰,用於所有儲存的構件。

 每項資源一個金鑰
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey 會為資料集建立預設鍵。資料集內的資料表、模型、查詢和臨時資料表會使用資料集的預設鍵。

Autokey 不會為資料集以外的 BigQuery 資源建立金鑰。如要保護非資料集一部分的資源,您必須在專案或機構層級建立自己的預設金鑰。

 每項資源一個金鑰
Bigtable
  • bigtable.googleapis.com/Cluster

Autokey 會為叢集建立金鑰。

Autokey 不會為叢集以外的 Bigtable 資源建立金鑰。

只有在使用 Terraform 或 Google Cloud SDK 建立資源時,Bigtable 才與 Cloud KMS Autokey 相容。

 每個叢集一個鍵
AlloyDB for PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

只有在使用 Terraform 或 REST API 建立資源時,AlloyDB for PostgreSQL 才與 Cloud KMS Autokey 相容。

 每項資源一個金鑰
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
 每項資源一個金鑰
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey 不會為 Cloud SQL BackupRun 資源建立金鑰。建立 Cloud SQL 執行個體的備份時,系統會使用主要執行個體的客戶管理金鑰對備份進行加密。

只有在使用 Terraform 或 REST API 建立資源時,Cloud SQL 才與 Cloud KMS Autokey 相容。

 每項資源一個金鑰
Cloud Storage
  • storage.googleapis.com/Bucket

儲存空間值區中的物件會使用值區預設金鑰。Autokey 不會為 storage.object 資源建立金鑰。

 每個值區一個鍵
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

快照會使用您要建立快照的磁碟金鑰。Autokey 不會為 compute.snapshot 資源建立金鑰。

 每項資源一個金鑰
Secret Manager
  • secretmanager.googleapis.com/Secret

只有在使用 Terraform 或 REST API 建立資源時,Secret Manager 才與 Cloud KMS Autokey 相容。

 專案中每個位置一個金鑰
Spanner
  • spanner.googleapis.com/Database

只有在使用 Terraform 或 REST API 建立資源時,Spanner 才與 Cloud KMS Autokey 相容。

 每項資源一個金鑰
Dataflow
  • dataflow.googleapis.com/Job
 每項資源一個金鑰

後續步驟

  • 如要進一步瞭解 Cloud KMS Autokey 的運作方式,請參閱「Autokey 簡介」。