Dieses Dokument bietet einen Überblick über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Mit Cloud KMS CMEK erhalten Sie die Inhaberschaft und die Kontrolle über die Schlüssel, die Ihre inaktiven Daten in Google Cloud schützen.
Vergleich von CMEK und von Google-eigenen und von Google verwalteten Schlüsseln
Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel. Google-Dienste, die Ihre Schlüssel verwenden, sollen eine CMEK-Integration haben. Sie können diese CMEKs direkt oder über den Cloud KMS-Autoschlüssel (Vorschau) verwalten. Die folgenden Faktoren unterscheiden die Standardverschlüsselung inaktiver Google-Daten von vom Kunden verwalteten Schlüsseln:
| Schlüsseltyp | Vom Kunden verwaltet mit Autokey (Vorschau) | Vom Kunden verwaltet (manuell) | Von Google geführt und von Google verwaltet (Google-Standardeinstellung) |
|---|---|---|---|
| Kann Schlüsselmetadaten ansehen | Yes | Yes | Yes |
| Inhaberschaft von Schlüsseln1 | Kunde | Kunde | |
| Kann Schlüssel verwalten und steuern23 | Die Schlüsselerstellung und -zuweisung erfolgt automatisch. Die manuelle Steuerung durch Kunden wird vollständig unterstützt. | Kunde, nur manuelle Steuerung | |
| Unterstützt behördliche Anforderungen für vom Kunden verwaltete Schlüssel | Yes | Yes | Nein |
| Schlüsselfreigabe | Einzigartig für den jeweiligen Kunden | Einzigartig für den jeweiligen Kunden | Daten von mehreren Kunden verwenden in der Regel denselben Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK). |
| Steuerung der Schlüsselrotation | Yes | Yes | No |
| CMEK-Organisationsrichtlinien | Yes | Yes | Nein |
| Preise | Variiert. Weitere Informationen finden Sie unter Preise. Keine zusätzlichen Kosten für Autokey (Vorabversion) | Variiert. Weitere Informationen finden Sie unter Preise. | Kostenlos |
1 Aus rechtlichen Gründen gibt der Inhaber des Schlüssels an, wer die Rechte am Schlüssel besitzt. Schlüssel, die dem Kunden gehören, haben streng eingeschränkten Zugriff oder keinen Zugriff durch Google.
2 Steuerung von Tasten bedeutet, Einstellungen für die Art der Schlüssel und deren Verwendung festzulegen, Abweichungen zu erkennen und bei Bedarf Korrekturmaßnahmen zu planen. Sie können Ihre Schlüssel selbst verwalten, die Verwaltung der Schlüssel aber an einen Dritten delegieren.
3Die Schlüsselverwaltung umfasst die folgenden Funktionen:
- Schlüssel erstellen
- Wählen Sie das Schutzniveau der Schlüssel aus.
- Weisen Sie die Befugnis für die Verwaltung der Schlüssel zu.
- Zugriff auf Schlüssel steuern.
- Nutzung der Schlüssel steuern.
- Legen Sie den Rotationszeitraum für Schlüssel fest und ändern Sie ihn oder lösen Sie eine Rotation von Schlüsseln aus.
- Schlüsselstatus ändern.
- Schlüsselversionen löschen
Standardverschlüsselung mit Schlüsseln, die Google gehören und von Google verwaltet werden
Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und -prüfungen und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungsstandard. Die Schlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden, gehören Google und werden auch die Kontrolle darüber haben. Sie können diese Schlüssel nicht aufrufen oder verwalten und auch keine Schlüsselnutzungslogs prüfen. Daten von mehreren Kunden verwenden möglicherweise denselben Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK). Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloud finden Sie unter Standardverschlüsselung ruhender Daten.
Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Eigentümer Sie sind. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln inaktiver Daten in unterstützten Google Cloud-Diensten verwendet werden, und bietet eine kryptografische Grenze um Ihre Daten. Sie können CMEKs direkt in Cloud KMS verwalten oder die Bereitstellung und Zuweisung mit dem Cloud KMS Autokey automatisieren (Vorschau).
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung von Google verwenden können. Nachdem CMEK eingerichtet ist, führt der Ressourcendienst-Agent die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen aus. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource handhaben, kann die Ver- und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen entspricht in etwa der Verwendung der Standardverschlüsselung von Google. Weitere Informationen zur CMEK-Integration finden Sie unter Vorteile eines CMEK-integrierten Dienstes.
Sie können für jeden Schlüssel eine unbegrenzte Anzahl an Schlüsselversionen verwenden.
Informationen dazu, ob ein Dienst CMEK-Schlüssel unterstützt, finden Sie in der Liste der unterstützten Dienste.
Die Verwendung von Cloud KMS verursacht Kosten im Zusammenhang mit der Anzahl der Schlüsselversionen und kryptografischen Vorgänge mit diesen Schlüsselversionen. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise. Es ist kein Mindestkauf oder Bindung erforderlich.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS-Autoschlüssel
Der Autoschlüssel von Cloud KMS vereinfacht das Erstellen und Verwalten von CMEK-Schlüsseln durch die automatische Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung bei Bedarf generiert. Dienst-Agents, die die Schlüssel zum Verschlüsseln und Entschlüsseln verwenden, erhalten automatisch die erforderlichen IAM-Rollen (Identity and Access Management).
Die Verwendung von Schlüsseln, die von Autokey generiert werden, kann helfen, die Branchenstandards und empfohlenen Praktiken für die Datensicherheit konsistent einzuhalten, einschließlich der Ausrichtung von Schlüssel-Daten-Standorten, der Schlüsselspezifität, dem Schutzniveau des Hardware-Sicherheitsmoduls (HSM), dem Schlüsselrotationsplan und der Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die in Autokey eingebunden werden. Mit Autokey erstellte Schlüssel funktionieren identisch mit anderen Cloud HSM-Schlüsseln (Cloud HSM) mit denselben Einstellungen, einschließlich Unterstützung für gesetzliche Anforderungen für vom Kunden verwaltete Schlüssel. Weitere Informationen zum Autokey finden Sie unter Autokey – Übersicht.
Wann werden vom Kunden verwaltete Schlüssel verwendet?
Sie können manuell oder von Autokey erstellte CMEK-Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:
Sie sind Inhaber Ihrer Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Wahl des Standorts, des Schutzniveaus, der Erstellung, der Zugriffssteuerung, der Rotation, der Verwendung und des Löschens.
Generieren oder verwalten Sie Ihr Schlüsselmaterial außerhalb von Google Cloud.
Legen Sie die Richtlinie fest, wo Ihre Schlüssel verwendet werden müssen.
Löschen Sie Daten, die durch Ihre Schlüssel geschützt sind, selektiv für das Offboarding oder die Behebung von Sicherheitsvorfällen (Krypto-Shredding).
Verwenden Sie eindeutige Schlüssel für einen Kunden, die eine kryptografische Grenze um Ihre Daten bilden.
Erstellen Sie eindeutige Schlüssel für einen Kunden, um eine kryptografische Grenze für Ihre Daten zu setzen.
Log-Verwaltungs- und Datenzugriff auf Verschlüsselungsschlüssel
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.
Was ein CMEK-integrierter Dienst bietet
Wie die Standardverschlüsselung von Google ist CMEK die serverseitige, symmetrische Umschlagverschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google besteht darin, dass beim CMEK-Schutz ein vom Kunden kontrollierter Schlüssel verwendet wird. CMEK-Schlüssel, die manuell oder automatisch mit Autokey erstellt werden, funktionieren während der Dienstintegration gleich.
Cloud-Dienste mit einer CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellt haben, um Ihre Ressourcen zu schützen.
In Cloud KMS eingebundene Dienste verwenden die symmetrische Verschlüsselung.
Sie können das Schutzniveau des Schlüssels festlegen.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Cloud KMS-Systemgrenze.
Ihre symmetrischen Schlüssel werden im Umschlagverschlüsselungsmodell zum Verschlüsseln und Entschlüsseln verwendet.
CMEK-integrierte Dienste verfolgen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadatenfeld, das den Namen des Schlüssels enthält, mit dem sie verschlüsselt werden. Im Allgemeinen ist dies für den Kunden in den Ressourcenmetadaten sichtbar.
Schlüssel-Tracking gibt an, welche Ressourcen durch einen Schlüssel geschützt werden.
Schlüssel können nach Projekt aufgelistet werden.
CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff
Das Hauptkonto, das Ressourcen im CMEK-integrierten Dienst erstellt oder anzeigt, benötigt den Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK, der zum Schutz der Ressource verwendet wird, nicht.
Jede Projektressource hat ein spezielles Dienstkonto, das als Dienst-Agent bezeichnet wird und die Ver- und Entschlüsselung mit vom Kunden verwalteten Schlüsseln ausführt. Nachdem Sie dem Dienst-Agent Zugriff auf einen CMEK gewährt haben, verwendet dieser Dienst-Agent diesen Schlüssel, um die Ressourcen Ihrer Wahl zu schützen.
Wenn ein Anforderer auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung zum Entschlüsseln mit dem Schlüssel hat und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, sorgt der Dienst-Agent für die Verschlüsselung und Entschlüsselung des Schlüssels. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Zugriff für Anforderer erforderlich. Da der Dienst-Agent die Ver- und Entschlüsselung im Hintergrund ausführt, ähnelt der Zugriff auf Ressourcen der Nutzer mit der Standardverschlüsselung von Google.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie den Autokey verwenden möchten, wird ein einmaliger Einrichtungsprozess durchgeführt. Sie können einen Ordner auswählen, in dem Sie mit der Autokey-Unterstützung arbeiten möchten, und ein verknüpftes Schlüsselprojekt, in dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEK-Schlüsseln sind für Autokey die folgenden Einrichtungsschritte nicht erforderlich:
Schlüsseladministratoren müssen Schlüsselbunde oder Schlüssel nicht manuell erstellen und den Dienst-Agents, die Daten verschlüsseln und entschlüsseln, keine Berechtigungen zuweisen. Der Cloud KMS-Dienst-Agent führt diese Aktionen in seinem Namen aus.
Entwickler müssen vor der Ressourcenerstellung keine Schlüssel im Voraus anfordern. Sie können bei Bedarf Schlüssel selbst über Autokey anfordern, wobei die Aufgabentrennung weiterhin aufrechterhalten wird.
Wenn Sie den Autokey verwenden, besteht nur ein Schritt: Der Entwickler fordert die Schlüssel im Rahmen der Ressourcenerstellung an. Die zurückgegebenen Schlüssel sind für den vorgesehenen Ressourcentyp konsistent.
Die mit dem Autokey erstellten CMEK-Schlüssel verhalten sich bei den folgenden Funktionen auf dieselbe Weise wie manuell erstellte Schlüssel:
CMEK-integrierte Dienste verhalten sich identisch.
Der Schlüsseladministrator kann weiterhin alle Schlüssel überwachen, die über das Cloud KMS-Dashboard und das Tracking der Schlüsselnutzung erstellt und verwendet werden.
Organisationsrichtlinien funktionieren mit dem Autokey genauso wie mit manuell erstellten CMEK-Schlüsseln.
Übersicht über Autokey Weitere Informationen zum Erstellen von CMEK-geschützten Ressourcen mit dem Autokey finden Sie unter Geschützte Ressourcen mit dem Cloud KMS-Autoschlüssel erstellen.
CMEK-Schlüssel manuell erstellen
Wenn Sie Ihre CMEK-Schlüssel manuell erstellen, müssen Schlüsselbunde, Schlüssel und Ressourcenstandorte vor der Ressourcenerstellung geplant und erstellt werden. Anschließend können Sie die Ressourcen mit Ihren Schlüsseln schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Einige Dienste wie GKE haben mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen, die sich auf den Dienst beziehen. Führen Sie hierzu die folgenden Schritte aus:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen aus. Wählen Sie beim Erstellen Ihres Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe der zu schützenden Ressourcen befindet. Der Schlüsselbund kann sich im selben Projekt wie die zu schützenden Ressourcen oder in verschiedenen Projekten befinden. Durch die Verwendung verschiedener Projekte erhalten Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK-Schlüssel.
Sie gewähren dem Dienstkonto für den Dienst die IAM-Rolle CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel.Konfigurieren Sie beim Erstellen einer Ressource die Ressource für die Verwendung des CMEK-Schlüssels. Beispielsweise können Sie einen GKE-Cluster so konfigurieren, dass inaktive Daten mit CMEK auf den Bootlaufwerken der Knoten geschützt werden.
Damit ein Anforderer Zugriff auf die Daten erhält, muss er nicht direkt auf den CMEK-Schlüssel zugreifen.
Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht mehr auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen und ermöglichen es Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Compliance. Das bedeutet, dass die temporären Daten und der sitzungsspezifische Schlüssel nie auf das Laufwerk geschrieben werden. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.
Tracking der Schlüsselnutzung
Das Schlüsselnutzungs-Tracking zeigt Ihnen die Google Cloud-Ressourcen in Ihrer Organisation, die durch Ihre CMEK-Schlüssel geschützt sind. Mithilfe des Schlüsselnutzungs-Trackings können Sie die geschützten Ressourcen, Projekte und eindeutigen Google Cloud-Produkte, die einen bestimmten Schlüssel verwenden, aufrufen und sehen, ob Schlüssel verwendet werden. Weitere Informationen zum Tracking der Schlüsselnutzung finden Sie unter Schlüsselnutzung ansehen.
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um eine konsistente CMEK-Nutzung in einer Organisationsressource sicherzustellen. Mit diesen Einschränkungen können Organisationsadministratoren die CMEK-Nutzung erzwingen und Einschränkungen und Kontrollen für die Cloud KMS-Schlüssel für den CMEK-Schutz festlegen, darunter:
Limits für die Verwendung von Cloud KMS-Schlüsseln für den CMEK-Schutz
Limits für die zulässigen Schutzniveaus von Schlüsseln
Limits für den Speicherort von CMEK-Schlüsseln
Einstellungen zum Löschen von Schlüsselversionen
Weitere Informationen zu Organisationsrichtlinien für CMEK finden Sie unter CMEK-Organisationsrichtlinien.
Nächste Schritte
- Liste der Dienste mit CMEK-Integrationen
- Hier finden Sie die Liste der CMEK-konformen Dienste.
- Sehen Sie sich die Liste der Ressourcentypen an, die für das Tracking der Schlüsselnutzung verwendet werden können.
- Hier finden Sie eine Liste der von Autokey unterstützten Dienste.