本页比较了 Cloud KMS 中支持的不同保护级别:
- 软件
- 具有
SOFTWARE保护级别的 Cloud KMS 密钥用于在软件中执行的加密操作。Cloud KMS 密钥可由 Google 生成,也可导入。 - 硬件
- 保护级别为
HSM的 Cloud HSM 密钥存储在 Google 拥有的硬件安全模块 (HSM) 中。使用这些密钥的加密操作在我们的 HSM 中执行。您可以像使用 Cloud KMS 密钥一样使用 Cloud HSM 密钥。Cloud HSM 密钥可由 Google 生成,也可导入。 - 通过互联网在外部进行
- 保护级别为
EXTERNAL的 Cloud EKM 密钥在您的外部密钥管理 (EKM) 系统中生成和存储。Cloud EKM 会存储额外的加密材料以及指向您的唯一密钥的路径,该路径用于通过互联网访问您的密钥。 - 通过 VPC 从外部访问
- 保护级别为
EXTERNAL_VPC的 Cloud EKM 密钥在您的外部密钥管理 (EKM) 系统中生成和存储。Cloud EKM 会存储额外的加密材料以及指向您的唯一密钥的路径,该密钥用于通过虚拟私有云 (VPC) 网络访问您的密钥。
具有所有这些保护级别的密钥共享以下功能:
将您的密钥用于集成客户管理的加密密钥 (CMEK) 的Google Cloud 服务。
将密钥与 Cloud KMS API 或客户端库搭配使用,无需任何基于密钥保护级别的专用代码。
使用 Identity and Access Management (IAM) 角色控制对密钥的访问权限。
控制每个密钥版本在 Cloud KMS 中是处于启用状态还是处于停用状态。
审核日志中会记录密钥操作。可以启用数据访问日志记录。
软件保护级别
Cloud KMS 使用 BoringCrypto 模块 (BCM) 来执行软件密钥的所有加密操作。BCM 通过了 FIPS 140-2 验证。Cloud KMS 软件密钥使用 BCM 经过 FIPS 140-2 1 级验证的加密原语。
软件保护级别是成本最低的保护级别。 对于没有特定监管要求需要更高 FIPs 140-2 验证级别的用例,软件密钥是不错的选择。硬件保护级别
Cloud HSM 可帮助您在Google Cloud中执行工作负载的监管要求。利用 Cloud HSM,您可以在经 FIPS 140-2 3 级 验证的 HSM 中生成加密密钥并执行加密操作。该服务采用全代管式,这让您可以保护最敏感的工作负载,而无需担心管理 HSM 集群的运营开销。Cloud HSM 在 HSM 模块之上提供了一个抽象层。借助此抽象层,您可以在 CMEK 集成或 Cloud KMS API/客户端库中使用密钥,而无需使用特定于 HSM 的代码。
硬件密钥版本价格更高,但与软件密钥相比,可提供显著的安全优势。 每个 Cloud HSM 密钥都有一条证明语句,其中包含有关密钥的认证信息。 此证明及其关联的证书链可用于验证声明的真实性以及密钥和 HSM 的属性。外部保护级别
Cloud External Key Manager (Cloud EKM) 密钥是指您在支持的外部密钥管理 (EKM) 合作伙伴服务中管理并在Google Cloud 服务以及 Cloud KMS API 和客户端库中使用的密钥。Cloud EKM 密钥可以由软件或硬件提供支持,具体取决于您的 EKM 提供商。您可以在集成 CMEK 的服务中使用 Cloud EKM 密钥,也可以使用 Cloud KMS API 和客户端库。
Cloud EKM 保护级别是最昂贵的。 使用 Cloud EKM 密钥时,您可以确保 Google Cloud 无法访问您的密钥材料。如需查看哪些与 CMEK 集成的服务支持 Cloud EKM 密钥,请参阅 CMEK 集成并应用仅显示 EKM 兼容服务过滤条件。
通过互联网进行的外部保护级别
您可以在 Cloud KMS 支持的所有位置(但 nam-eur-asia1 和 global 除外)通过互联网使用 Cloud EKM 密钥。
通过 VPC 实现的外部保护级别
您可以通过 VPC 网络使用 Cloud EKM 密钥,以提高外部密钥的可用性。更高的可用性意味着 Cloud EKM 密钥及其保护的资源变得不可用的可能性更低。
您可以在 Cloud KMS 支持的大多数区域位置通过 VPC 网络使用 Cloud EKM 密钥。 多区域位置不支持通过 VPC 网络使用 Cloud EKM。