本頁面會比較 Cloud KMS 支援的不同防護等級:
- 軟體
- 防護等級為
SOFTWARE的 Cloud KMS 金鑰,可用於在軟體中執行的加密編譯作業。Cloud KMS 金鑰可由 Google 產生或匯入。 - 硬體
- 防護等級為
HSM的 Cloud HSM 金鑰會儲存在 Google 擁有的硬體安全性模組 (HSM) 中。使用這些金鑰的加密編譯作業會在我們的 HSM 中執行。您可以使用 Cloud HSM 金鑰,就像使用 Cloud KMS 金鑰一樣。Cloud HSM 金鑰可由 Google 產生或匯入。 - 透過網際網路進行外部通話
- 防護等級為
EXTERNAL的 Cloud EKM 金鑰會產生並儲存在外部金鑰管理 (EKM) 系統中。Cloud EKM 會儲存額外的加密編譯資料和專屬金鑰的路徑,用於透過網際網路存取金鑰。 - 透過虛擬私有雲連線的外部系統
- 保護層級為
EXTERNAL_VPC的 Cloud EKM 金鑰會在外部金鑰管理 (EKM) 系統中產生及儲存。Cloud EKM 會儲存額外的加密素材和專屬金鑰的路徑,用於透過虛擬私有雲 (VPC) 網路存取金鑰。
具有上述所有保護層級的金鑰都具備下列功能:
將金鑰用於整合客戶自行管理的加密金鑰 (CMEK) 的Google Cloud 服務。
搭配 Cloud KMS API 或用戶端程式庫使用金鑰,不必根據金鑰的保護層級編寫任何專用程式碼。
使用 Identity and Access Management (IAM) 角色控管金鑰存取權。
從 Cloud KMS 控制每個金鑰版本是否為「已啟用」或「已停用」。
稽核記錄會擷取重要作業。您可以啟用資料存取記錄。
軟體保護等級
Cloud KMS 會使用 BoringCrypto 模組 (BCM) 執行軟體金鑰的所有加密編譯作業。BCM 已通過 FIPS 140-2 驗證。Cloud KMS 軟體金鑰使用 BCM 通過 FIPS 140-2 第 1 級驗證的加密編譯基元。
軟體防護等級是最低廉的防護等級。 如果用途沒有特定法規要求,需要更高的 FIPs 140-2 驗證等級,軟體金鑰就是不錯的選擇。硬體防護等級
Cloud HSM 可協助您在Google Cloud中,確保工作負載符合法規。您可以使用 Cloud HSM 產生加密金鑰,並在 FIPS 140-2 第 3 級驗證的 HSM 中執行密碼編譯作業。這項服務為全代管,因此您不必擔心管理 HSM 叢集會產生額外的費用,就能保護最機密的工作負載。Cloud HSM 會在 HSM 模組上提供抽象層。這項抽象化功能可讓您在 CMEK 整合或 Cloud KMS API/用戶端程式庫中使用金鑰,不必使用 HSM 專屬程式碼。
硬體金鑰版本較貴,但相較於軟體金鑰,可提供實質的安全防護。 每個 Cloud HSM 金鑰都有認證聲明,內含金鑰的認證資訊。 這項認證和相關聯的憑證鏈結可用於驗證聲明、金鑰和 HSM 屬性的真實性。外部防護等級
Cloud External Key Manager (Cloud EKM) 金鑰是指您在支援的外部金鑰管理 (EKM) 合作夥伴服務中管理,並在Google Cloud 服務和 Cloud KMS API 與用戶端程式庫中使用的金鑰。Cloud EKM 金鑰可由軟體或硬體支援,視您的 EKM 供應商而定。您可以在整合 CMEK 的服務中使用 Cloud EKM 金鑰,也可以使用 Cloud KMS API 和用戶端程式庫。
Cloud EKM 防護等級的費用最高。 使用 Cloud EKM 金鑰時,您可以放心, Google Cloud 無法存取您的金鑰內容。如要查看哪些整合 CMEK 的服務支援 Cloud EKM 金鑰,請參閱「CMEK 整合」一文,並套用「僅顯示與 EKM 相容的服務」篩選器。
透過網際網路進行外部防護的等級
您可以在 Cloud KMS 支援的所有位置透過網際網路使用 Cloud EKM 金鑰,但 nam-eur-asia1 和 global 除外。
虛擬私有雲外部保護層級
您可以在虛擬私有雲網路上使用 Cloud EKM 金鑰,提高外部金鑰的可用性。可用性提高代表 Cloud EKM 金鑰和受其保護的資源較不會無法使用。
在 Cloud KMS 支援的大多數區域位置,您都可以透過虛擬私有雲網路使用 Cloud EKM 金鑰。 無法在多區域位置,透過虛擬私有雲網路使用 Cloud EKM。