本頁面說明如何在其他 Google Cloud 服務中使用 Cloud KMS 客戶自行管理的加密金鑰,以保護您的資源。如需更多資訊,請參閱「客戶管理的加密金鑰 (CMEK)」。
如果服務支援 CMEK,就表示該服務具有 CMEK 整合功能。部分服務 (例如 GKE) 提供多個 CMK 整合功能,可保護與服務相關的不同類型資料。如需 CMEK 整合服務的清單,請參閱本頁的「為支援的服務啟用 CMEK」。
事前準備
您必須先建立專案資源,才能在其他 Google Cloud 服務中使用 Cloud KMS 金鑰。建議您為 Cloud KMS 資源使用不含任何其他 Google Cloud 資源的專案。
CMEK 整合
準備啟用 CMEK 整合
如要瞭解啟用 CMEK 的具體步驟,請參閱相關Google Cloud 服務的說明文件。您可以在本頁的「為支援的服務啟用 CMEK」中,找到各項服務的 CMEK 說明文件連結。針對每項服務,您可以按照下列步驟操作:
建立金鑰環或選取現有金鑰環。鑰匙圈應盡可能位於要保護的資源附近。
在所選金鑰環中建立金鑰,或選取現有的金鑰。請確認金鑰的防護等級、用途和演算法,是否適合您要保護的資源。這個金鑰就是 CMEK 金鑰。
取得 CMEK 金鑰的資源 ID。您稍後會需要這個資源 ID。
將 CMEK 金鑰的 CryptoKey Encrypter/Decrypter IAM 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 授予服務的服務帳戶。
建立金鑰並指派必要權限後,您就可以建立或設定服務,以便使用 CMEK 金鑰。
搭配 CMEK 整合服務使用 Cloud KMS 金鑰
以下步驟以 Secret Manager 為例。如要瞭解在特定服務中使用 Cloud KMS CMEK 金鑰的確切步驟,請在CMEK 整合服務清單中找出該服務。
在 Secret Manager 中,您可以使用 CMEK 保護靜態資料。
前往 Google Cloud 控制台的「Secret Manager」頁面。
如要建立密鑰,請按一下「Create Secret」(建立密鑰)。
在「Encryption」區段中,選取「Use a customer-managed encryption key (CMEK)」(使用客戶管理的加密金鑰 (CMEK))。
在「Encryption key」方塊中,執行以下操作:
選用:如要在其他專案中使用金鑰,請執行下列操作:
- 按一下「切換專案」。
- 在搜尋列中輸入完整或部分專案名稱,然後選取專案。
- 如要查看所選專案的可用鍵,請按一下「選取」。
選用:如要依位置、金鑰環、名稱或防護等級篩選可用金鑰,請在 篩選列中輸入搜尋字詞。
從所選專案的可用金鑰清單中選取金鑰。您可以參考顯示的位置、金鑰環和防護等級詳細資料,確保選擇正確的金鑰。
如果清單中沒有您要使用的金鑰,請按一下「手動輸入金鑰」,然後輸入金鑰的資源 ID
完成密鑰設定,然後按一下「建立密鑰」。Secret Manager 會建立機密金鑰,並使用指定的 CMEK 金鑰加密。
為支援的服務啟用 CMEK
如要啟用 CMEK,請先在下表中找出所需服務。您可以在欄位中輸入搜尋字詞,以便篩選表格。 這份清單中的所有服務都支援軟體和硬體 (HSM) 金鑰。 使用外部 Cloud EKM 金鑰時,與 Cloud KMS 整合的產品會在「支援 EKM」欄中標示。
請按照各服務的操作說明啟用 CMEK 金鑰。
| 服務 | 使用 CMEK 保護 | 支援 EKM | 主題 |
|---|---|---|---|
| Agent Assist | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| AI Applications | 靜態資料 | 否 | 客戶管理的加密金鑰 |
| AlloyDB for PostgreSQL | 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Anti Money Laundering AI | AML AI 例項資源中的資料 | 否 | 使用客戶管理的加密金鑰 (CMEK) 加密資料 |
| Apigee | 靜態資料 | 否 | CMEK 簡介 |
| Apigee API 中心 | 靜態資料 | 有 | 加密 |
| 應用程式整合 | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Artifact Registry | 存放區中的資料 | 有 | 啟用客戶自行管理的加密金鑰 |
| GKE 備份 | GKE 備份中的資料 | 有 | 關於 GKE 備份的 CMEK 加密機制 |
| BigQuery | BigQuery 中的資料 | 有 | 使用 Cloud KMS 金鑰保護資料 |
| Bigtable | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Cloud Composer | 環境資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Data Fusion | 環境資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Healthcare API | Cloud Healthcare API 資料集 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Cloud Logging | 記錄路由器中的資料 | 有 | 管理用於保護 Log Router 資料的金鑰 |
| Cloud Logging | 記錄儲存空間中的資料 | 有 | 管理用於保護記錄儲存空間資料的金鑰 |
| Cloud Run | 容器映像檔 | 有 | 使用客戶管理的加密金鑰搭配 Cloud Run |
| Cloud Run 函式 | Cloud Run 函式中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud SQL | 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Storage | 儲存空間值區中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Tasks | 工作主體和標頭的靜態狀態 | 有 | 使用客戶自行管理的加密金鑰 |
| Cloud Workstations | VM 磁碟上的資料 | 有 | 加密工作站資源 |
| Colab Enterprise | 執行階段和筆記本檔案 | 否 | 使用客戶自行管理的加密金鑰 |
| Compute Engine | 永久磁碟 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 快照 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 自訂映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Compute Engine | 機器映像檔 | 有 | 使用 Cloud KMS 金鑰保護資源 |
| Conversational Insights | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| 資料庫移轉服務的同質遷移作業 | MySQL 遷移作業 - 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| 資料庫移轉服務的同質遷移作業 | PostgreSQL 遷移作業 - 寫入資料庫的資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| 資料庫移轉服務的同質遷移作業 | PostgreSQL 到 AlloyDB 遷移作業 - 資料寫入資料庫 | 有 | 關於 CMEK |
| 資料庫移轉服務的同質遷移作業 | SQL Server 遷移作業 - 寫入資料庫的資料 | 有 | 關於 CMEK |
| 資料庫移轉服務的異質遷移作業 | 從 Oracle 遷移至 PostgreSQL 的靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) 進行持續遷移 |
| Dataflow | 管道狀態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Dataform | 存放區中的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Dataplex 通用目錄 | 靜態資料 | 有 | 客戶管理的加密金鑰 |
| Dataproc | Dataproc 會將 VM 磁碟上的資料分組 | 有 | 客戶管理的加密金鑰 |
| Dataproc | 虛擬機器磁碟上的 Dataproc 無伺服器資料 | 有 | 客戶管理的加密金鑰 |
| Dataproc Metastore | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Datastream | 傳輸中的資料 | 否 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Dialogflow CX | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Document AI | 靜態資料和使用中的資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Eventarc Advanced (預先發布版) | 靜態資料 | 否 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Eventarc Standard | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Filestore | 靜態資料 | 有 | 使用客戶管理的加密金鑰加密資料 |
| Firestore | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Gemini Code Assist | 靜態資料 | 否 | 使用客戶管理的加密金鑰加密資料 |
| Google Agentspace - NotebookLM Enterprise | 靜態資料 | 否 | 客戶管理的加密金鑰 |
| Google Agentspace Enterprise | 靜態資料 | 否 | 客戶管理的加密金鑰 |
| Google Cloud Managed Service for Apache Kafka | 與主題相關聯的資料 | 有 | 設定訊息加密機制 |
| Google Cloud NetApp Volumes | 靜態資料 | 否 | 建立 CMEK 政策 |
| Google Distributed Cloud | 邊緣節點的資料 | 有 | 本機儲存空間安全性 |
| Google Kubernetes Engine | VM 磁碟上的資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |
| Google Kubernetes Engine | 應用程式層密鑰 | 有 | 應用程式層密鑰加密 |
| Integration Connectors (預先發布版) | 靜態資料 | 有 | 加密方法 |
| Looker (Google Cloud Core) | 靜態資料 | 有 | 為 Looker (Google Cloud Core) 啟用 CMEK |
| Memorystore for Redis | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Migrate to Virtual Machines | 從 VMware、AWS 和 Azure VM 來源遷移的資料 | 有 | 使用 CMEK 加密遷移期間儲存的資料 |
| Migrate to Virtual Machines | 從磁碟和機器映像檔來源遷移的資料 | 有 | 使用 CMEK 加密目標磁碟和機器映像檔中的資料 |
| Parameter Manager | 參數版本酬載 | 有 | 為參數管理工具啟用客戶管理的加密金鑰 |
| Pub/Sub | 與主題相關聯的資料 | 有 | 設定訊息加密機制 |
| Secret Manager | 密鑰酬載 | 有 | 為 Secret Manager 啟用客戶管理的加密金鑰 |
| Secure Source Manager | 執行個體 | 有 | 使用客戶管理的加密金鑰加密資料 |
| Spanner | 靜態資料 | 有 | 客戶管理的加密金鑰 (CMEK) |
| Speaker ID (受限 GA) | 靜態資料 | 有 | 使用客戶管理的加密金鑰 |
| Speech-to-Text | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Vertex AI | 與資源相關聯的資料 | 有 | 使用客戶自行管理的加密金鑰 |
| Vertex AI Workbench 代管型筆記本 | 靜態使用者資料 | 否 | 客戶管理的加密金鑰 |
| Vertex AI Workbench 使用者自行管理的筆記本 | VM 磁碟上的資料 | 否 | 客戶管理的加密金鑰 |
| Vertex AI Workbench 執行個體 | VM 磁碟上的資料 | 有 | 客戶管理的加密金鑰 |
| 工作流程 | 靜態資料 | 有 | 使用客戶自行管理的加密金鑰 (CMEK) |