Cloud KMS-Schlüssel in Google Cloud verwenden

Auf dieser Seite wird erläutert, wie Sie vom Kunden verwaltete Cloud KMS-Verschlüsselungsschlüssel in anderen Google Cloud -Diensten verwenden, um Ihre Ressourcen zu schützen. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Wenn ein Dienst CMEK unterstützt, hat er eine CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Eine Liste der Dienste mit CMEK-Integrationen finden Sie auf dieser Seite unter CMEK für unterstützte Dienste aktivieren.

Hinweise

Bevor Sie Cloud KMS-Schlüssel in anderen Google Cloud -Diensten verwenden können, benötigen Sie eine Projektressource, die Ihre Cloud KMS-Schlüssel enthält. Wir empfehlen, ein separates Projekt für Ihre Cloud KMS-Ressourcen zu verwenden, das keine anderen Google Cloud Ressourcen enthält.

CMEK-Integrationen

CMEK-Integration aktivieren

Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligenGoogle Cloud -Dienst. Einen Link zur CMEK-Dokumentation für jeden Dienst finden Sie auf dieser Seite unter CMEK für unterstützte Dienste aktivieren. Für jeden Dienst müssen Sie in etwa so vorgehen:

  1. Erstellen Sie einen Schlüsselbund oder wählen Sie einen vorhandenen aus. Der Schlüsselbund sollte sich geografisch so nah wie möglich an den Ressourcen befinden, die Sie schützen möchten.

  2. Erstellen Sie einen Schlüssel im ausgewählten Schlüsselbund oder wählen Sie einen vorhandenen Schlüssel aus. Achten Sie darauf, dass das Schutzniveau, der Zweck und der Algorithmus für den Schlüssel für die Ressourcen, die Sie schützen möchten, geeignet sind. Dieser Schlüssel ist der CMEK-Schlüssel.

  3. Rufen Sie die Ressourcen-ID für den CMEK-Schlüssel ab. Sie benötigen diese Ressourcen-ID später.

  4. Weisen Sie dem Dienstkonto für den Dienst die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel zu.

Nachdem Sie den Schlüssel erstellt und die erforderlichen Berechtigungen zugewiesen haben, können Sie einen Dienst erstellen oder konfigurieren, der Ihren CMEK-Schlüssel verwendet.

Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden

In den folgenden Schritten wird Secret Manager als Beispiel verwendet. Die genauen Schritte zur Verwendung eines Cloud KMS-CMEK-Schlüssels in einem bestimmten Dienst finden Sie in der Liste der CMEK-integrierten Dienste.

In Secret Manager können Sie einen CMEK verwenden, um ruhende Daten zu schützen.

  1. Rufen Sie in der Google Cloud Console die Seite Secret Manager auf.

    Zu Secret Manager

  2. Klicken Sie auf Secret erstellen, um ein Secret zu erstellen.

  3. Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.

  4. Gehen Sie im Feld Verschlüsselungsschlüssel so vor:

    1. Optional: So verwenden Sie einen Schlüssel in einem anderen Projekt:

      1. Klicken Sie auf Projekt wechseln.
      2. Geben Sie den vollständigen oder einen Teil des Projektnamens in die Suchleiste ein und wählen Sie das Projekt aus.
      3. Klicken Sie auf Auswählen, um die verfügbaren Schlüssel für das ausgewählte Projekt aufzurufen.

    2. Optional: Wenn Sie verfügbare Schlüssel nach Standort, Schlüsselbund, Name oder Schutzniveau filtern möchten, geben Sie Suchbegriffe in die Filterleiste  ein.

    3. Wählen Sie einen Schlüssel aus der Liste der verfügbaren Schlüssel im ausgewählten Projekt aus. Anhand der angezeigten Details zu Speicherort, Schlüsselbund und Schutzstufe können Sie sicher sein, dass Sie den richtigen Schlüssel auswählen.

    4. Wenn der Schlüssel, den Sie verwenden möchten, nicht in der Liste angezeigt wird, klicken Sie auf Schlüssel manuell eingeben und geben Sie die Ressourcen-ID des Schlüssels ein.

  5. Schließen Sie die Konfiguration des Secrets ab und klicken Sie dann auf Secret erstellen. Secret Manager erstellt das Secret und verschlüsselt es mit dem angegebenen CMEK-Schlüssel.

CMEK für unterstützte Dienste aktivieren

Suchen Sie zuerst den gewünschten Dienst in der folgenden Tabelle, um CMEK zu aktivieren. Sie können Suchbegriffe in das Feld eingeben, um die Tabelle zu filtern. Alle Dienste in dieser Liste unterstützen Software- und Hardwareschlüssel (HSM). Produkte, die in Cloud KMS integriert werden, wenn externe Cloud EKM-Schlüssel verwendet werden, sind in der Spalte EKM supported (EKM wird unterstützt) angegeben.

Folgen Sie der Anleitung für jeden Dienst, für den Sie CMEK-Schlüssel aktivieren möchten.

Dienst Durch CMEK geschützt EKM-Unterstützung Thema
Agent Assist Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
AI Applications Ruhende Daten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
AlloyDB for PostgreSQL Daten, die in Datenbanken geschrieben werden Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Anti Money Laundering AI Daten in AML AI-Instanzressourcen Nein Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln
Apigee Ruhende Daten Nein Einführung in CMEK
Apigee API-Hub Ruhende Daten Ja Verschlüsselung
Application Integration Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Artifact Registry Daten in Repositories Ja Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren
Backup for GKE Daten in Sicherung für GKE Ja Informationen zur Sicherung für GKE-CMEK-Verschlüsselung
BigQuery Daten in BigQuery Ja Daten mit Cloud KMS-Schlüsseln schützen
Bigtable Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud Composer Umgebungsdaten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Data Fusion Umgebungsdaten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Healthcare API Cloud Healthcare API-Datasets Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Cloud Logging Daten im Log-Router Ja Schlüssel verwalten, die Log Router-Daten schützen
Cloud Logging Daten im Logging-Speicher Ja Schlüssel verwalten, die Protokollspeicherdaten schützen
Cloud Run Container-Image Ja Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud Run verwenden
Cloud Run-Funktionen Daten in Cloud Run Functions Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud SQL Daten, die in Datenbanken geschrieben werden Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Storage Daten in Storage-Buckets Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Cloud Tasks Aufgabentext und ‑header im Ruhezustand Ja Kundenverwaltete Verschlüsselungsschlüssel verwenden
Cloud Workstations Daten auf VM-Laufwerken Ja Arbeitsstationsressourcen verschlüsseln
Colab Enterprise Laufzeiten und Notebookdateien Nein Kundenverwaltete Verschlüsselungsschlüssel verwenden
Compute Engine Nichtflüchtige Speicher Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Compute Engine Snapshots Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Compute Engine Benutzerdefinierte Images Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Compute Engine Maschinen-Images Ja Ressourcen mit Cloud KMS-Schlüsseln schützen
Dialogorientierte Insights Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Homogene Migrationen mit dem Database Migration Service MySQL-Migrationen – Daten, die in Datenbanken geschrieben werden Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Homogene Migrationen mit dem Database Migration Service PostgreSQL-Migrationen – In Datenbanken geschriebene Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Homogene Migrationen mit dem Database Migration Service Migrationen von PostgreSQL zu AlloyDB – In Datenbanken geschriebene Daten Ja Informationen zu CMEK
Homogene Migrationen mit dem Database Migration Service SQL Server-Migrationen – In Datenbanken geschriebene Daten Ja Informationen zu CMEK
Heterogene Migrationen mit dem Database Migration Service Ruhende Daten von Oracle zu PostgreSQL Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) für kontinuierliche Migrationen verwenden
Dataflow Pipeline-Zustandsdaten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dataform Daten in Repositories Ja Kundenverwaltete Verschlüsselungsschlüssel verwenden
Dataplex Universal Catalog Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Dataproc Daten von Dataproc-Clustern auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Dataproc Dataproc Serverless-Daten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Dataproc Metastore Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Datastream Daten während der Übertragung Nein Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Dialogflow CX Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Document AI Ruhende und aktive Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Eventarc Advanced (Vorschau) Ruhende Daten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Eventarc Standard Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Filestore Ruhende Daten Ja Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Firestore Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Gemini Code Assist Ruhende Daten Nein Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Google Agentspace – NotebookLM Enterprise Ruhende Daten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Google Agentspace Enterprise Ruhende Daten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Von Google verwalteter Dienst für Apache Kafka Mit Themen verknüpfte Daten Ja Nachrichtenverschlüsselung konfigurieren
Google Cloud NetApp Volumes Ruhende Daten Nein CMEK-Richtlinie erstellen
Google Distributed Cloud Daten zu Edge-Knoten Ja Sicherheit des lokalen Speichers
Google Kubernetes Engine Daten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Google Kubernetes Engine Secrets auf Anwendungsebene Ja Verschlüsselung von Secrets auf Anwendungsebene
Integration Connectors Ruhende Daten Ja Verschlüsselungsmethoden
Looker (Google Cloud Core) Ruhende Daten Ja CMEK für Looker (Google Cloud Core) aktivieren
Memorystore for Redis Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Migrate to Virtual Machines Daten, die aus VMware-, AWS- und Azure-VM-Quellen migriert wurden Ja Während der Migration gespeicherte Daten mit CMEK verschlüsseln
Migrate to Virtual Machines Aus Laufwerks- und Maschinen-Image-Quellen migrierte Daten Ja CMEK zum Verschlüsseln von Daten auf Ziellaufwerken und Maschinen-Images verwenden
Parameter Manager Nutzlasten für Parameterversionen Ja Vom Kunden verwaltete Verschlüsselungsschlüssel für Parameter Manager aktivieren
Pub/Sub Mit Themen verknüpfte Daten Ja Nachrichtenverschlüsselung konfigurieren
Secret Manager Secret-Nutzlasten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren
Secure Source Manager Instanzen Ja Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln
Spanner Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Speaker ID (eingeschränkte allgemeine Verfügbarkeit) Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Speech-to-Text Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Vertex AI Mit Ressourcen verknüpfte Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden
Von Vertex AI Workbench verwaltete Notebooks Ruhende Nutzerdaten Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Vertex AI Workbench: Nutzerverwaltete Notebooks Daten auf VM-Laufwerken Nein Vom Kunden verwaltete Verschlüsselungsschlüssel
Vertex AI Workbench-Instanzen Daten auf VM-Laufwerken Ja Vom Kunden verwaltete Verschlüsselungsschlüssel
Workflows Ruhende Daten Ja Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden