Auf dieser Seite werden die einzelnen Ressourcentypen in Cloud KMS beschrieben. Weitere Informationen finden sich unter Ressourcenhierarchie.
Schlüssel
Ein Cloud KMS-Schlüssel ist ein benanntes Objekt, das eine oder mehrere Schlüsselversionen sowie Metadaten für den Schlüssel enthält. Ein Schlüssel existiert genau an einem Schlüsselbund, der an einen bestimmten Standort gebunden ist.
Sie können den Zugriff auf Schlüssel mithilfe von Berechtigungen und Rollen von Identity and Access Management (IAM) zulassen oder verweigern. Sie können den Zugriff auf eine Schlüsselversion nicht verwalten.
Durch das Deaktivieren oder Löschen eines Schlüssels wird auch jede Schlüsselversion deaktiviert oder gelöscht.
In folgenden Abschnitten werden die Eigenschaften eines Schlüssels erläutert.
Je nach Kontext werden die Attribute eines Schlüssels in einem anderen Format angezeigt.
- Wenn Sie die Google Cloud CLI oder die Cloud Key Management Service API verwenden, wird das Attribut als String aus Großbuchstaben angezeigt, z. B.
SOFTWARE. - In der Google Cloud Console wird das Attribut als String mit Großschreibung am Anfang angezeigt, z. B. Software.
In den folgenden Abschnitten wird jedes Format an geeigneter Stelle beschrieben.
Typ
Der Typ eines Schlüssels bestimmt, ob er für symmetrische oder asymmetrische kryptografische Vorgänge verwendet wird.
Bei der symmetrischen Verschlüsselung oder Signatur wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln von Daten oder zum Signieren und Überprüfen einer Signatur verwendet.
Bei asymmetrischen Verschlüsselungen oder Signaturen besteht der Schlüssel aus einem öffentlichen und einem privaten Schlüssel. Ein privater Schlüssel mit dem entsprechenden öffentlichen Schlüssel wird als Schlüsselpaar bezeichnet.
- Der private Schlüssel ist sensible Daten und wird je nach konfiguriertem Zweck des Schlüssels zum Entschlüsseln von Daten oder zum Signieren benötigt.
- Der öffentliche Schlüssel gilt nicht als vertraulich und wird je nach konfiguriertem Zweck des Schlüssels zum Verschlüsseln von Daten oder zum Verifizieren einer Signatur benötigt.
Der Typ eines Schlüssels ist eine Komponente des Schlüsselzwecks und kann nach dem Erstellen des Schlüssels nicht mehr geändert werden.
Zweck
Der Zweck eines Schlüssels gibt an, für welche Art von kryptografischen Vorgängen der Schlüssel verwendet werden kann, z. B. Symmetrische Verschlüsselung/Entschlüsselung oder Asymmetrisches Signieren. Sie wählen den Zweck beim Erstellen des Schlüssels aus und alle Versionen eines Schlüssels haben denselben Zweck. Der Zweck eines Schlüssels kann nach dem Erstellen des Schlüssels nicht mehr geändert werden. Weitere Informationen finden Sie unter Schlüsselzwecke.
Schutzniveau
Das Schutzniveau eines Schlüssels bestimmt die inaktive Speicherumgebung des Schlüssels. Das Schutzniveau ist eines der folgenden:
- Software (
SOFTWAREin der Google Cloud CLI und Cloud Key Management Service API) - HSM
- Extern (
EXTERNALin der Google Cloud CLI und Cloud Key Management Service API) - Externe_VPC (
EXTERNAL_VPCin der Google Cloud CLI und Cloud Key Management Service API)
Das Schutzniveau eines Schlüssels kann nach seiner Erstellung nicht mehr geändert werden.
Hauptversion
Für Schlüssel können mehrere Schlüsselversionen gleichzeitig aktiv und aktiviert sein. Symmetrische Verschlüsselungsschlüssel haben eine Primärschlüsselversion. Dies ist die Schlüsselversion, die standardmäßig zum Verschlüsseln von Daten verwendet wird, wenn Sie keine Schlüsselversion angeben.
Asymmetrische Schlüssel haben keine Primärversion. Sie müssen die Version angeben, wenn Sie den Schlüssel verwenden.
Sowohl für symmetrische als auch für asymmetrische Schlüssel können Sie eine beliebige aktivierte Schlüsselversion zum Verschlüsseln und Entschlüsseln von Daten oder zum Signieren und Validieren von Signaturen verwenden.
Schlüsselversionen
Jede Version eines Schlüssels enthält Schlüsselmaterial, das zur Verschlüsselung oder Signierung dient. Jeder Version wird eine Versionsnummer zugewiesen, die mit 1 beginnt. Durch das Rotieren eines Schlüssels wird eine neue Schlüsselversion erstellt. Weitere Informationen finden Sie unter Rotierende Schlüssel.
Zum Entschlüsseln oder Verifizieren einer Signatur müssen Sie dieselbe Schlüsselversion verwenden, mit der die Daten verschlüsselt oder signiert wurden. Informationen zum Ermitteln der Ressourcen-ID einer Schlüsselversion finden Sie unter Ressourcen-ID eines Schlüssels abrufen.
Sie können einzelne Schlüsselversionen deaktivieren oder löschen, ohne dass andere Versionen betroffen sind. Sie können auch alle Schlüsselversionen für einen bestimmten Schlüssel deaktivieren oder löschen.
Sie können den Zugriff auf Schlüsselversionen nicht unabhängig von den für den Schlüssel geltenden Berechtigungen steuern. Wenn Sie Zugriff auf einen Schlüssel gewähren, wird Zugriff auf alle aktivierten Versionen dieses Schlüssels gewährt.
Aus Sicherheitsgründen können die durch eine Schlüsselversion repräsentierten Rohdaten des kryptografischen Schlüsselmaterials von Google Cloud-Hauptkonten nicht angezeigt oder exportiert werden. Stattdessen greift Cloud KMS für Sie auf das Schlüsselmaterial zu.
In folgenden Abschnitten werden die Eigenschaften einer Schlüsselversion erläutert.
Status
Jede Schlüsselversion hat einen state, der Ihnen den Status angibt. In der Regel hat ein Schlüssel einen der folgenden Status:
- Aktiviert
- Deaktiviert
- Löschen geplant
- Gelöscht
Eine Schlüsselversion kann nur verwendet werden, wenn sie aktiviert ist. Für Schlüsselversionen in einem anderen Status als "gelöscht" werden Kosten berechnet. Weitere Informationen zu Schlüsselversionsstatus und dazu, wie Versionen zwischen ihnen wechseln können, finden Sie unter Schlüsselversionsstatus.
Algorithmus
Der Algorithmus einer Schlüsselversion bestimmt, wie das Schlüsselmaterial erstellt wird und welche Parameter für kryptografische Vorgänge erforderlich sind. Symmetrische und asymmetrische Schlüssel verwenden unterschiedliche Algorithmen. Verschlüsselung und Signatur verwenden unterschiedliche Algorithmen.
Wenn Sie beim Erstellen einer neuen Schlüsselversion keinen Algorithmus angeben, wird der Algorithmus der vorherigen Version verwendet.
Unabhängig vom Algorithmus verwendet Cloud KMS die probabilistische Verschlüsselung, sodass derselbe Klartext, der zweimal mit derselben Schlüsselversion verschlüsselt wurde, nicht denselben Geheimtext zurückgibt.
Schlüsselbunde
Ein Schlüsselbund organisiert Schlüssel an einem bestimmten Google Cloud-Standort und ermöglicht Ihnen, die Zugriffssteuerung für Gruppen von Schlüsseln zu verwalten. Der Name eines Schlüsselbunds muss nicht innerhalb eines Google Cloud-Projekts eindeutig sein, sondern innerhalb eines bestimmten Standorts. Nach dem Erstellen kann ein Schlüsselbund nicht mehr gelöscht werden. Für Schlüsselbunde fallen keine Kosten an.
Ziehpunkte
Ein Schlüssel-Handle ist eine Cloud KMS-Ressource, mit der Sie die Aufgabentrennung sicher abdecken können, um neue Cloud KMS-Schlüssel für CMEK mit Autokey zu erstellen. Das Erstellen eines Schlüssel-Handles in einem Ressourcenprojekt löst die Erstellung eines Cloud KMS-Schlüssels im Schlüsselprojekt für die On-Demand-CMEK-Einrichtung aus.
Ein Schlüssel-Handle enthält einen Verweis auf den erstellten Cloud KMS-Schlüssel. Sie können die Cloud KMS-Ressourcen-ID eines von Autokey erstellten Schlüssels über den Schlüssel-Handle abrufen. Infrastruktur-als-Code-Tools wie Terraform können mit Schlüssel-Handles arbeiten, um CMEK-geschützte Ressourcen ohne erhöhte Berechtigungen zu verwalten.
Schlüssel-Handles sind in der Google Cloud Console nicht sichtbar, aber wenn Sie Autokey mit der REST API oder Terraform verwenden möchten, müssen Sie mit Schlüssel-Handles arbeiten. Weitere Informationen zur Verwendung von Schlüssel-Handles finden Sie unter Geschützte Ressourcen mit dem Cloud KMS-Autoschlüssel erstellen.
Autokey-Konfigurationen
Eine Autokey-Konfiguration ist eine Ressource auf Ordnerebene, die definiert, ob Autokey für den Ordner aktiviert ist. Die Autokey-Konfiguration definiert auch, welches Schlüsselprojekt für Schlüssel verwendet wird, die vom Cloud KMS-Autokey erstellt wurden, um Ressourcen in diesem Ordner zu schützen. Wenn Sie Autokey aktivieren, erstellen oder aktualisieren Sie eine Autokey-Konfiguration für den Ressourcenordner. Weitere Informationen zur Verwendung von Autokey-Konfigurationen finden Sie unter Cloud KMS Autokey aktivieren.
EKM-Verbindungen
Eine EKM-Verbindung ist eine Cloud KMS-Ressource, die VPC-Verbindungen zu Ihren lokalen EKMs an einem bestimmten Google Cloud-Standort organisiert. Mit einer EKM-Verbindung können Sie eine Verbindung zu Schlüsseln aus einem External Key Manager über ein VPC-Netzwerk herstellen und diese verwenden. Nach dem Erstellen kann eine EKM-Verbindung nicht mehr gelöscht werden. Für EKM-Verbindungen fallen keine Kosten an.
Ressourcen-ID abrufen
Bei einigen API-Aufrufen und der gcloud CLI müssen Sie möglicherweise anhand der zugehörigen Ressourcen-ID auf einen Schlüsselbund, einen Schlüssel oder eine Schlüsselversion verweisen. Diese ist ein String, der den voll qualifizierten CryptoKeyVersion-Namen darstellt. Ressourcen-IDs sind hierarchisch, ähnlich wie ein Dateisystempfad. Die Ressourcen-ID eines Schlüssels enthält auch Informationen zum Schlüsselbund und Standort.
| Objekt | Format der Ressourcen-ID |
|---|---|
| Schlüsselbund | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Schlüssel | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Schlüsselversion | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Tastengriff | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| EKM-Verbindung | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Autokey-Konfiguration | folders/FOLDER_NUMBER/autopilotConfig |
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen
Ressourcen organisieren
Wenn Sie die Ressourcen in Ihrem Google Cloud-Projekt organisieren möchten, müssen Sie Ihre Geschäftsregeln und die Planung des Zugriffs berücksichtigen. Sie können Zugriff auf einen einzelnen Schlüssel, alle Schlüssel in einem Schlüsselbund oder alle Schlüssel in einem Projekt gewähren. Folgende Organisationsmuster sind üblich:
- Nach Umgebung, z. B.
prod,testunddevelop. - Nach Arbeitsbereich, z. B.
payrolloderinsurance_claims. - Nach Vertraulichkeit oder Eigenschaften der Daten, z. B.
unrestricted,restricted,confidential,top-secret.
Ressourcenlebenszyklen
Schlüsselbunde, Schlüssel und Schlüsselversionen können nicht gelöscht werden. Dadurch wird sichergestellt, dass die Ressourcen-ID einer Schlüsselversion eindeutig ist und immer auf das ursprüngliche Schlüsselmaterial für diese Schlüsselversion verweist, sofern sie nicht gelöscht wurde. Sie können eine unbegrenzte Anzahl von Schlüsselbunden, aktivierten oder deaktivierten Schlüsseln und aktivierten, deaktivierten oder gelöschten Schlüsselversionen speichern. Weitere Informationen finden Sie unter Preise und Kontingente.
Informationen zum Löschen oder Wiederherstellen einer Schlüsselversion finden Sie unter Schlüsselversionen löschen und wiederherstellen.
Nachdem Sie die Einstellung eines Google Cloud-Projekts geplant haben, können Sie nicht mehr auf die Projektressourcen, einschließlich der Cloud KMS-Ressourcen, zugreifen, es sei denn, Sie stellen das Projekt mithilfe der Schritte zum Wiederherstellen eines Projekts wieder her.