加入 Google Workspace 適用的 Cloud HSM

本頁面說明如何啟用 Google Workspace 適用的 Cloud HSM (CHGWS)。CHGWS 是由 Cloud Key Management Service (Cloud KMS) 提供的 Google Workspace 加密金鑰服務。Google Workspace 專用 Cloud HSM 提供強化版 Google Workspace 隱私權控管機制，協助您達到 DISA IL5 等法規標準，並提升資料安全性。Cloud HSM 是符合標準的高可用性全代管金鑰管理服務，以雲端規模運作，並將硬體支援的金鑰儲存在符合 FIPS 140-2 第 3 級標準的 HSM (硬體安全性模組) 中。

事前準備

啟用 Google Workspace 適用的 Cloud HSM 之前，請先完成下列先決條件：

• 設定 Google Workspace。
• 在 Google Workspace 中啟用 Google Workspace 用戶端加密 (CSE)。
• 在 Google Workspace CSE 中設定識別資訊提供者 (IdP)。請記下 IdP 的用戶端 ID。如果您使用 Google Identity Platform，請在 Google Cloud 專案中尋找用戶端 ID。
• 選用：如要允許在網頁以外的平台應用程式 (例如行動裝置或電腦) 存取 CSE 加密內容，請在 Google Workspace 管理控制台的 IdP 設定中，新增這些平台的用戶端 ID。請記下這個 IdP 的所有用戶端 ID。如果您使用 Google Identity Platform，請在 Google Cloud 專案中找出這些用戶端 ID。如為其他身分識別提供者，請分別建立這些用戶端 ID。

申請 Google Workspace 新手指引

如要加入 Google Workspace 適用的 Cloud HSM，請提交加入要求。請提供下列資訊：

• Google Workspace ID：您的 Google Workspace ID。請按照「找出客戶 ID」一文中的操作說明，找出 Google Workspace ID。

• Google Workspace 管理員電子郵件地址：請提供以半形逗號分隔的管理員電子郵件地址清單。

• 主要識別資訊提供者 (IdP) 詳細資料：

  • IdP JSON Web Key Set (JWKS) 網址：如果是 Google Identity Platform，請使用 https://www.googleapis.com/oauth2/v3/certs。
  • JSON Web Token (JWT) 權杖簽發者：如果是 Google Identity Platform，請使用 https://accounts.google.com。
  • JWT 對象：網頁應用程式的 IdP 用戶端 ID。
  • 其他 JWT 目標對象：選填。如果已設定，請提供非網頁平台應用程式的用戶端 ID。如果是 Google Identity Platform，請使用「如果針對 CSE 使用 Google 身分」一文提供的用戶端 ID。

• 訪客 IdP 詳細資料：選填。如果您使用訪客 IdP，請完成這個部分。

  • 訪客 IdP JWKS 網址：訪客 IdP 的 JWKS 網址。
  • 訪客 JWT 憑證核發者：訪客 IdP 的 JWT 憑證核發者。
  • 訪客 JWT 對象：訪客 IdP 的網頁應用程式用戶端 ID， Google Meet 除外。
  • 訪客額外 JWT 目標對象：選用。如果您設定 Google Meet 網頁用戶端 ID 或其他非網頁平台應用程式用戶端 ID，請提供每個 ID。如果是 Google Identity Platform，請使用「如果針對 CSE 使用 Google 身分」一文提供的用戶端 ID。

• 端點位置：us-central1。

• 預計使用者人數：請提供 Google Workspace 執行個體中的預計使用者人數。

確認 IdP JWKS 網址可供公開存取。向 IdP 管理員確認 JWT 權杖簽發者和 JWT 目標對象值。

CHGWS 團隊會在 24 至 48 小時內回覆，說明 Google Workspace 設定狀態。完成新手上路程序後，請繼續設定 Cloud KMS 專案。 Google Cloud

設定 Cloud KMS 專案 Google Cloud

Google Workspace 端點的 Cloud HSM 依賴 Cloud KMS 金鑰執行加密編譯作業。設定新 Google Cloud 專案，用於存放 Cloud KMS 金鑰。

1. 建立 Google Cloud 專案。這是您的主要專案。記下專案 ID 和專案編號，您需要這些資訊才能完成設定。

2. 為您建立的專案啟用計費功能。

3. 在 Google Cloud 金鑰專案中啟用 Cloud KMS API。

   啟用 API

4. 在 Google Cloud 控制台中，按一下「終端機」「啟用 Cloud Shell」。

5. 比較專案 ID 與 Cloud Shell 提示中的專案 ID，確認您位於正確的專案中。

6. 使用 Cloud Shell 建立 Cloud HSM for Google Workspace 服務帳戶：

   gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com
   

   請記下這項指令建立的服務身分。在下一個步驟中，您會需要服務身分名稱。

7. 將「CHGWS key Service Agent」角色指派給您建立的服務帳戶：

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
       --role=roles/cloudkmskacls.serviceAgent
   

   更改下列內容：

   • PROJECT_ID：金鑰專案的專案 ID。
   • PROJECT_NUMBER：金鑰專案的專案編號。

管理 CHGWS 服務端點

以下各節說明如何設定及管理 CHGWS 端點。

設定 Cloud KMS 金鑰

為 CHGWS 金鑰服務端點設定 Cloud KMS 資源。

1. 在 us-central1 區域中建立金鑰環：

   gcloud kms keyrings create KEY_RING --location us-central1
   

   將 KEY_RING 替換為您要用於 CHGWS 金鑰環的名稱，例如 CHGWS_KEY_RING。

2. 建立 Cloud HSM 金鑰：

   gcloud kms keys create KEY_NAME \
   --protection-level "hsm" \
   --keyring KEY_RING \
   --location us-central1 \
   --purpose "encryption" \
   --rotation-period ROTATION_PERIOD \
   --next-rotation-time NEXT_ROTATION_TIME
   

   更改下列內容：

   • KEY_NAME：您要使用的金鑰名稱，例如 CHGWS_KEY_RING。
   • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY。
   • ROTATION_PERIOD：您要輪替金鑰的頻率，例如 7d。
   • NEXT_ROTATION_TIME：下次金鑰輪替的日期和時間，例如 2024-03-20T01:00:00。

要求建立端點

如要要求建立端點，請提交端點建立要求。請提供下列資訊：

• Workspace ID：<var>GOOGLE_WORKSPACE_ID</var>
• Google Cloud 專案 ID：PROJECT_ID
• Google Cloud 專案編號：PROJECT_NUMBER
• Cloud KMS 金鑰環名稱：KEY_RING
• Cloud KMS 金鑰環位置：us-central1
• Cloud KMS 金鑰名稱：KEY_NAME
• CHGWS 基準網址：選填。啟用金鑰遷移作業的網址清單。如果這是您第一次為這個 Google Workspace 設定 CHGWS，請將這個欄位留空。

端點可用後，CHGWS 團隊會在 24 至 48 小時內回覆，並提供 CHGWS 端點網址。

在 Google Workspace CSE 中設定 CHGWS 端點

設定 Google Workspace CSE，使用您建立端點 CHGWS 時產生的 CHGWS 網址。請按照「新增及管理金鑰服務以進行用戶端加密」一文的說明操作。

遷移端點

CHGWS 可讓您彈性地將金鑰服務移至 CHGWS 或從 CHGWS 移出。如要開始 CHGWS 遷移作業，請提交遷移要求。請在要求中附上以下資訊：

• 端點 ID：CHGWS 的端點 ID。
• CHGWS 基本網址：啟用 CHGWS 金鑰遷移的網址清單。
  • 如要遷移至 Google Workspace 適用的 Cloud HSM，請提供您要遷移的每個 CHGWS 端點基本網址。
  • 如果您要從 Cloud HSM for Google Workspace 遷移，請提供要遷移的 CHGWS 端點基本網址。

如果要在兩個不同的 Cloud HSM for Google Workspace 端點之間遷移，請提交兩份個別要求：一份來自先前的端點，另一份前往新的端點。

CHGWS 團隊會在 24 到 48 小時內回覆，通知您端點已準備好遷移。

刪除或停用端點

系統不直接支援對 Google Workspace 端點的 Cloud HSM 執行刪除或停用作業。不過，您可以停用所有備份 Cloud KMS 金鑰版本，藉此停用 Google Workspace 端點的 Cloud HSM。

• 針對支援端點的每個 Cloud KMS 金鑰版本，執行下列指令：

  gcloud kms keys versions disable KEY_VERSION --keyring \
      KEY_RING --location us-central1 --key KEY_NAME
  

  更改下列內容：

  • KEY_VERSION：要停用的金鑰版本，例如 1。
  • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY_RING。
  • KEY_NAME：金鑰名稱，例如 CHGWS_KEY。

啟用端點

如果您停用所有支援的 Cloud KMS 金鑰版本，導致 CHGWS 端點遭到停用，可以重新啟用 CHGWS 端點。如要重新啟用端點，請使用下列 gcloud CLI 指令，啟用所有有效版本的備份 Cloud KMS 金鑰：

• 針對支援端點的每個 Cloud KMS 金鑰版本，執行下列指令：

  gcloud kms keys versions enable KEY_VERSION \
      --keyring KEY_RING --location us-central1 --key KEY_NAME
  

  更改下列內容：

  • KEY_VERSION：要停用的金鑰版本，例如 1。
  • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY_RING。
  • KEY_NAME：金鑰名稱，例如 CHGWS_KEY。

後續步驟

• 進一步瞭解 Cloud Key Management Service。
• 瞭解如何新增及管理金鑰服務以進行用戶端加密。