加入 Cloud HSM for Google Workspace

本页介绍了如何为 Google Workspace (CHGWS) 启用 Cloud HSM，这是 Cloud Key Management Service (Cloud KMS) 提供的 Google Workspace 加密密钥服务。Cloud HSM for Google Workspace 可为 Google Workspace 提供增强的隐私权控制功能，帮助您达到 DISA IL5 等监管标准，并提升数据安全性。Cloud HSM 是一项符合标准、高度可用且全代管式密钥管理服务，以云规模运行，并使用存储在符合 FIPS 140-2 Level 3 标准的 HSM（硬件安全模块）中的硬件支持的密钥。

准备工作

在为 Google Workspace 启用 Cloud HSM 之前，请先完成以下前提条件：

• 设置 Google Workspace。
• 在 Google Workspace 中启用 Google Workspace 客户端加密功能 (CSE)。
• 在 Google Workspace CSE 中配置身份提供商 (IdP)。记下 IdP 的客户端 ID。如果您使用 Google Identity Platform，请在 Google Cloud 项目中查找客户端 ID。
• 可选：如果您允许在除 Web 以外的平台应用（例如移动应用或桌面应用）上访问 CSE 加密的内容，请在 Google Workspace 管理控制台的 IdP 设置中添加这些平台的客户端 ID。记下此 IdP 的所有客户端 ID。如果您使用 Google Identity Platform，请在您的 Google Cloud 项目中查找这些客户端 ID。对于其他身份提供方，请分别创建这些客户端 ID。

申请 Google Workspace 新手入门

如需加入 Cloud HSM for Google Workspace，请提交加入申请。请提供以下信息：

• Google Workspace ID：您的 Google Workspace ID。按照查找客户 ID 中的说明查找您的 Google Workspace ID。

• Google Workspace 管理员电子邮件地址：提供以英文逗号分隔的管理员电子邮件地址列表。

• 主要身份提供方 (IdP) 详细信息：

  • IdP JSON Web 密钥集 (JWKS) 网址：对于 Google Identity Platform，请使用 https://www.googleapis.com/oauth2/v3/certs。
  • JSON Web 令牌 (JWT) 令牌颁发者：对于 Google Identity Platform，请使用 https://accounts.google.com。
  • JWT 受众群体：IdP 的 Web 应用客户端 ID。
  • 其他 JWT 受众群体：可选。如果已配置，请为非 Web 平台应用提供客户端 ID。对于 Google Identity Platform，请使用如果您要为 CSE 使用 Google 身份中提供的客户端 ID。

• 访客 IdP 详细信息：可选。如果您使用的是 Guest IdP，请完成此部分。

  • 访客 IdP JWKS 网址：访客 IdP 的 JWKS 网址。
  • Guest JWT token issuer：您的 Guest IdP 的 JWT 令牌颁发者。
  • 访客 JWT 受众群体：访客 IdP 的 Web 应用客户端 ID（Google Meet 除外）。
  • 访客的其他 JWT 受众群体：可选。如果您配置了 Google Meet Web 客户端 ID 或其他非 Web 平台应用客户端 ID，请为每个 ID 提供客户端 ID。对于 Google Identity Platform，请使用如果您要为 CSE 使用 Google 身份中提供的客户端 ID。

• 端点位置：us-central1。

• 预期用户数量：提供 Google Workspace 实例中的预期用户数量。

验证您的 IdP JWKS 网址是否可公开访问。与 IdP 管理员确认 JWT 令牌颁发者和 JWT 受众群体值。

CHGWS 团队会在 24 至 48 小时内回复您，告知您 Google Workspace 设置状态。成功完成初始配置后，继续为 Cloud KMS 设置 Google Cloud 项目。

为 Cloud KMS 设置 Google Cloud 项目

Google Workspace 端点的 Cloud HSM 依赖于 Cloud KMS 密钥进行加密操作。设置一个新 Google Cloud 项目来托管 Cloud KMS 密钥。

1. 创建 Google Cloud 项目。这是您的密钥项目。记下项目 ID 和项目编号；您需要这些信息才能完成设置。

2. 为创建的项目启用结算功能。

3. 在您的 Google Cloud 密钥项目中启用 Cloud KMS API。

   启用 API

4. 在 Google Cloud 控制台中，依次点击终端 激活 Cloud Shell。

5. 将您的项目 ID 与 Cloud Shell 提示中的项目 ID 进行比较，验证您是否位于正确的项目中。

6. 使用 Cloud Shell 创建 Cloud HSM for Google Workspace 服务账号：

   gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com
   

   记下此命令创建的服务身份。在下一步中，您需要用到服务身份名称。

7. 将 CHGWS key Service Agent 角色授予您创建的服务账号：

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
       --role=roles/cloudkmskacls.serviceAgent
   

   替换以下内容：

   • PROJECT_ID：您的密钥项目的项目 ID。
   • PROJECT_NUMBER：您的密钥项目的项目编号。

管理 CHGWS 服务端点

以下部分介绍了如何设置和管理 CHGWS 端点。

设置 Cloud KMS 密钥

为 CHGWS 密钥服务端点设置 Cloud KMS 资源。

1. 在 us-central1 区域中创建密钥环：

   gcloud kms keyrings create KEY_RING --location us-central1
   

   将 KEY_RING 替换为您要用于 CHGWS 密钥环的名称，例如 CHGWS_KEY_RING。

2. 创建 Cloud HSM 密钥：

   gcloud kms keys create KEY_NAME \
   --protection-level "hsm" \
   --keyring KEY_RING \
   --location us-central1 \
   --purpose "encryption" \
   --rotation-period ROTATION_PERIOD \
   --next-rotation-time NEXT_ROTATION_TIME
   

   替换以下内容：

   • KEY_NAME：您要用于密钥的名称，例如 CHGWS_KEY_RING。
   • KEY_RING：密钥环的名称，例如 CHGWS_KEY。
   • ROTATION_PERIOD：您希望轮换密钥的频率，例如 7d。
   • NEXT_ROTATION_TIME：下次密钥轮换发生的时间和日期，例如 2024-03-20T01:00:00。

请求创建端点

如需请求创建端点，请提交端点创建请求。请提供以下信息：

• 工作区 ID：<var>GOOGLE_WORKSPACE_ID</var>
• Google Cloud 项目 ID：PROJECT_ID
• Google Cloud 项目编号：PROJECT_NUMBER
• Cloud KMS 密钥环名称：KEY_RING
• Cloud KMS 密钥环位置：us-central1
• Cloud KMS 密钥名称：KEY_NAME
• CHGWS 基准网址：可选。用于启用密钥迁移的网址列表。如果您是首次为此 Google Workspace 设置 CHGWS，请将此字段留空。

在 CHGWS 端点可用后，CHGWS 团队会在 24 到 48 小时内回复，并提供 CHGWS 端点网址。

在 Google Workspace CSE 中配置 CHGWS 端点

配置 Google Workspace CSE 以使用创建端点 CHGWS 时生成的 CHGWS 网址。按照添加和管理密钥服务以启用客户端加密功能中的说明进行操作。

迁移端点

CHGWS 可让您灵活地将密钥服务迁移到 CHGWS 或从 CHGWS 迁移。如需开始 CHGWS 迁移，请提交迁移请求。在请求中，请提供以下信息：

• 端点 ID：CHGWS 的端点 ID。
• CHGWS 基本网址：用于启用 CHGWS 密钥迁移的网址列表。
  • 如果您迁移到 Cloud HSM for Google Workspace，请提供您要迁移的每个 CHGWS 端点的基本网址。
  • 如果您要从 Cloud HSM for Google Workspace 迁移，请提供要迁移到的 CHGWS 端点的基本网址。

如果您要在两个不同的 Cloud HSM for Google Workspace 端点之间迁移，请提交两份单独的请求：一份从之前的端点提交，另一份向新的端点提交。

CHGWS 团队会在 24 到 48 小时内回复您，告知您端点已准备好进行迁移。

删除或停用端点

不支持直接对 Cloud HSM for Google Workspace 端点执行删除或停用操作。不过，您可以通过停用所有后备 Cloud KMS 密钥版本来停用 Google Workspace 专用 Cloud HSM 端点。

• 对于支持端点的每个 Cloud KMS 密钥版本，请运行以下命令：

  gcloud kms keys versions disable KEY_VERSION --keyring \
      KEY_RING --location us-central1 --key KEY_NAME
  

  替换以下内容：

  • KEY_VERSION：要停用的密钥的版本，例如 1。
  • KEY_RING：密钥环的名称，例如 CHGWS_KEY_RING。
  • KEY_NAME：密钥的名称，例如 CHGWS_KEY。

启用端点

如果您已通过停用支持 Cloud KMS 密钥的所有密钥版本来停用 CHGWS 端点，则可以重新启用该 CHGWS 端点。如需重新启用端点，请使用以下 gcloud CLI 命令启用支持 Cloud KMS 密钥的所有有效版本：

• 对于支持端点的每个 Cloud KMS 密钥版本，请运行以下命令：

  gcloud kms keys versions enable KEY_VERSION \
      --keyring KEY_RING --location us-central1 --key KEY_NAME
  

  替换以下内容：

  • KEY_VERSION：要停用的密钥的版本，例如 1。
  • KEY_RING：密钥环的名称，例如 CHGWS_KEY_RING。
  • KEY_NAME：密钥的名称，例如 CHGWS_KEY。

后续步骤

• 详细了解 Cloud Key Management Service。
• 了解如何添加和管理密钥服务以启用客户端加密功能。