Dieses Dokument bietet eine Übersicht über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs). Mit dem Cloud KMS-CMEK erhalten Sie die Inhaberschaft und die Kontrolle über die Schlüssel, die Ihre inaktiven Daten in Google Cloud schützen.
Vergleich von CMEK sowie von Google gehörenden und von Google verwalteten Schlüsseln
Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel. Google-Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS Autokey (Vorschau) verwalten. Die folgenden Faktoren unterscheiden sich bei der Standardverschlüsselung ruhender Daten von Google von von Kunden verwalteten Schlüsseln:
| Schlüsseltyp | Vom Kunden verwaltet mit Autokey (Vorschau) | Vom Kunden verwaltet (manuell) | Von Google und von Google verwaltet (Standardeinstellung von Google) |
|---|---|---|---|
| Kann Schlüsselmetadaten ansehen | Ja | Ja | Ja |
| Eigentumsrechte von Schlüsseln1 | Kunde | Kunde | |
| Kann 2 Schlüssel verwalten und steuern3 | Die Schlüsselerstellung und ‐zuweisung erfolgt automatisch. Die manuelle Kontrolle durch den Kunden wird vollständig unterstützt. | Kunde, nur manuelle Kontrolle | |
| Unterstützt gesetzliche Anforderungen für vom Kunden verwaltete Schlüssel | Ja | Ja | Nein |
| Schlüsselfreigabe | Eindeutig für einen Kunden | Eindeutig für einen Kunden | Daten von mehreren Kunden verwenden in der Regel denselben Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK). |
| Steuerung der Schlüsselrotation | Ja | Ja | No |
| CMEK-Organisationsrichtlinien | Ja | Ja | Nein |
| Preise | Variiert. Weitere Informationen finden Sie unter Preise. Keine zusätzlichen Kosten für Autokey (Vorabversion) | Variiert – weitere Informationen finden Sie unter Preise | Kostenlos |
1 In rechtlicher Hinsicht gibt der Inhaber des Schlüssels an, wer die Rechte am Schlüssel hat. Schlüssel, die dem Kunden gehören, haben eng eingeschränkte oder keinen Zugriff über Google.
2 Die Schlüsselkontrolle bedeutet, dass Kontrollen über die Schlüsselart und die Verwendung der Schlüssel festgelegt werden, Abweichungen erkannt und gegebenenfalls Korrekturmaßnahmen geplant werden. Sie können Ihre Schlüssel zwar verwalten, aber die Verwaltung der Schlüssel an einen Dritten delegieren.
3 Die Schlüsselverwaltung umfasst die folgenden Funktionen:
- Schlüssel erstellen.
- Wählen Sie das Schutzniveau der Schlüssel aus.
- Weisen Sie die Befugnis für die Verwaltung der Schlüssel zu.
- Zugriff auf Schlüssel steuern.
- Nutzung von Schlüsseln steuern.
- Sie können den Rotationszeitraum von Schlüsseln festlegen und ändern oder eine Rotation von Schlüsseln auslösen.
- Schlüsselstatus ändern.
- Schlüsselversionen löschen
Standardverschlüsselung mit Schlüsseln, die Google gehören und von Google verwaltet werden
Alle in Google Cloud gespeicherten ruhenden Daten werden mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und ‐prüfungen und verschlüsseln die inaktiven Nutzerdaten mit dem Verschlüsselungsstandard AES-256. Google besitzt und kontrolliert die Schlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden. Sie können diese Schlüssel weder aufrufen noch verwalten und keine Schlüsselnutzungslogs ansehen. Daten von mehreren Kunden können denselben Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwenden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloud finden Sie unter Standardverschlüsselung inaktiver Daten.
Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Inhaber Sie sind. Diese Funktion bietet Ihnen eine bessere Kontrolle über die Schlüssel, die zum Verschlüsseln inaktiver Daten in unterstützten Google Cloud-Diensten verwendet werden, und bietet eine kryptografische Grenze um Ihre Daten. Sie können CMEKs direkt in Cloud KMS verwalten oder die Bereitstellung und Zuweisung mit Cloud KMS Autokey automatisieren (Vorschau).
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung von Google verwenden können. Nachdem CMEK eingerichtet wurde, werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Ressourcendienst-Agent ausgeführt. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource verwalten, kann die Ver- und Entschlüsselung transparent und ohne den Aufwand des Endnutzers erfolgen. Der Zugriff auf Ressourcen ist ähnlich wie mit der Standardverschlüsselung von Google. Weitere Informationen zur CMEK-Einbindung finden Sie unter Was ein CMEK-integrierter Dienst bietet.
Sie können für jeden Schlüssel eine unbegrenzte Schlüsselversion verwenden.
Informationen dazu, ob ein Dienst CMEK-Schlüssel unterstützt, finden Sie in der Liste der unterstützten Dienste.
Bei der Verwendung von Cloud KMS fallen Kosten im Zusammenhang mit der Anzahl der Schlüsselversionen und kryptografischen Vorgänge mit diesen Schlüsselversionen an. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise. Es ist weder ein Mindestkauf noch eine Zusicherung erforderlich.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey
Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEK-Schlüsseln durch automatisierte Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung nach Bedarf generiert. Dienst-Agents, die die Schlüssel zum Verschlüsseln und Entschlüsseln verwenden, erhalten automatisch die erforderlichen IAM-Rollen (Identity and Access Management).
Die Verwendung von Autokey-Schlüsseln kann Ihnen dabei helfen, sich konsistent an Branchenstandards und empfohlene Praktiken für die Datensicherheit anzupassen, einschließlich der Ausrichtung von Schlüsseldatenstandorten, der Schlüsselgenauigkeit, dem Schutzniveau des Hardwaresicherheitsmoduls (HSM), des Zeitplans für die Schlüsselrotation und der Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien entsprechen, die für den Ressourcentyp für Google Cloud-Dienste, die in Autokey eingebunden werden, spezifisch sind. Mit Autokey erstellte Schlüssel funktionieren genauso wie andere Cloud HSM-Schlüssel (Cloud HSM) mit denselben Einstellungen. Dies beinhaltet auch die Unterstützung gesetzlicher Anforderungen für vom Kunden verwaltete Schlüssel. Weitere Informationen zu Autokey finden Sie unter Autokey – Übersicht.
Wann werden vom Kunden verwaltete Schlüssel verwendet?
Sie können manuell erstellte CMEK-Schlüssel oder von Autokey erstellte Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:
Sie sind Eigentümer Ihrer Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich der Auswahl von Standort, Schutzniveau, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Löschen.
Generieren oder verwalten Sie Ihr Schlüsselmaterial außerhalb von Google Cloud.
Legen Sie eine Richtlinie für den Ort fest, an dem Ihre Schlüssel verwendet werden müssen.
Beim Offboarding oder zur Behebung von Sicherheitsereignissen (Crypto-Shredding) werden durch Ihre Schlüssel geschützte Daten selektiv gelöscht.
Verwenden Sie für einen Kunden eindeutige Schlüssel, die eine kryptografische Grenze für Ihre Daten festlegen.
Erstellen Sie für einen Kunden eindeutige Schlüssel, um eine kryptografische Grenze um Ihre Daten festzulegen.
Logverwaltungs- und Datenzugriff auf Verschlüsselungsschlüssel
Aktuelle oder zukünftige Vorschriften einhalten, die eines dieser Ziele erfordern.
Was ein CMEK-integrierter Dienst bietet
Wie die Standardverschlüsselung von Google ist auch der CMEK serverseitig, symmetrische Umschlagverschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google besteht darin, dass beim CMEK-Schutz ein Schlüssel verwendet wird, den der Kunde kontrolliert. CMEK-Schlüssel, die manuell oder automatisch mit Autokey erstellt wurden, funktionieren während der Dienstintegration gleich.
Cloud-Dienste mit einer CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
In Cloud KMS integrierte Dienste verwenden die symmetrische Verschlüsselung.
Sie haben die Kontrolle über das Schutzniveau des Schlüssels.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt niemals die Begrenzung des Cloud KMS-Systems.
Ihre symmetrischen Schlüssel werden zum Verschlüsseln und Entschlüsseln im Umschlagverschlüsselungsmodell verwendet.
In CMEK integrierte Dienste verfolgen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadatenfeld, das den Namen des Schlüssels enthält, mit dem sie verschlüsselt werden. Im Allgemeinen ist dies für den Kunden in den Ressourcenmetadaten sichtbar.
Schlüssel-Tracking gibt an, welche Ressourcen ein Schlüssel schützt, und zwar für Dienste, die das Schlüssel-Tracking unterstützen.
Schlüssel können nach Projekt aufgelistet werden.
CMEK-integrierte Dienste verarbeiten den Ressourcenzugriff
Das Hauptkonto, das Ressourcen im CMEK-integrierten Dienst erstellt oder aufruft, benötigt für den CMEK, der zum Schutz der Ressource verwendet wird, nicht den Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter).
Jede Projektressource hat ein spezielles Dienstkonto, das als Dienst-Agent bezeichnet wird und mit dem vom Kunden verwaltete Schlüssel verschlüsselt und entschlüsselt werden. Nachdem Sie dem Dienst-Agent Zugriff auf einen CMEK gewährt haben, verwendet dieser Dienst-Agent diesen Schlüssel, um die Ressourcen Ihrer Wahl zu schützen.
Wenn ein Anforderer auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung zum Entschlüsseln mit dem Schlüssel hat und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, bietet der Dienst-Agent eine Verschlüsselung und Entschlüsselung des Schlüssels an. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Zugriff des Anforderers erforderlich. Da der Dienst-Agent die Verschlüsselung und Entschlüsselung im Hintergrund durchführt, ist der Zugriff auf Ressourcen ähnlich wie bei der Standardverschlüsselung von Google.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie Autokey verwenden möchten, muss ein einmaliger Einrichtungsvorgang ausgeführt werden. Sie können mit der Autokey-Unterstützung einen Ordner auswählen, in dem Sie arbeiten möchten, sowie ein zugehöriges Schlüsselprojekt, in dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEK-Schlüsseln sind für Autokey keine der folgenden Einrichtungsschritte erforderlich:
Schlüsseladministratoren müssen keine Schlüsselbunde oder Schlüssel manuell erstellen und den Dienst-Agents, die Daten verschlüsseln und entschlüsseln, keine Berechtigungen zuweisen. Der Cloud KMS-Dienst-Agent führt diese Aktionen in seinem Namen aus.
Entwickler müssen die Anforderung von Schlüsseln nicht im Voraus planen, bevor die Ressourcen erstellt werden. Sie können bei Bedarf selbst Schlüssel von Autokey anfordern und dabei die Aufgabentrennung beibehalten.
Wenn Sie Autokey verwenden, gibt es nur einen Schritt: Der Entwickler fordert die Schlüssel im Rahmen der Ressourcenerstellung an. Die zurückgegebenen Schlüssel sind für den gewünschten Ressourcentyp konsistent.
Ihre mit Autokey erstellten CMEK-Schlüssel verhalten sich genauso wie manuell erstellte Schlüssel für die folgenden Features:
CMEK-integrierte Dienste verhalten sich gleich.
Der Schlüsseladministrator kann weiterhin alle Schlüssel überwachen, die über das Cloud KMS-Dashboard und das Tracking der Schlüsselnutzung erstellt und verwendet werden.
Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEK-Schlüsseln.
Eine Übersicht über Autokey finden Sie unter Autokey – Übersicht. Weitere Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.
CMEK-Schlüssel manuell erstellen
Wenn Sie Ihre CMEK-Schlüssel manuell erstellen, müssen Schlüsselbunde, Schlüssel und Ressourcenstandorte vor der Ressourcenerstellung geplant und erstellt werden. Sie können dann Ihre Schlüssel verwenden, um die Ressourcen zu schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Einige Dienste wie GKE haben mehrere CMEK-Integrationen zum Schutz verschiedener Arten von Daten im Zusammenhang mit dem Dienst. Sie sollten in etwa folgende Schritte ausführen:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen Ihres Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe der zu schützenden Ressourcen befindet. Der Schlüsselbund kann sich im selben Projekt wie die zu schützenden Ressourcen oder in verschiedenen Projekten befinden. Die Verwendung verschiedener Projekte gibt Ihnen mehr Kontrolle über IAM-Rollen und unterstützt die Aufgabentrennung.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel im ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK-Schlüssel.
Sie gewähren dem Dienstkonto für den Dienst die IAM-Rolle "CryptoKey Encrypter/Decrypter" (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel.Konfigurieren Sie beim Erstellen einer Ressource die Verwendung des CMEK-Schlüssels. Beispielsweise können Sie einen GKE-Cluster so konfigurieren, dass inaktive Daten auf den Bootlaufwerken der Knoten mit CMEK geschützt werden.
Damit ein Anforderer auf die Daten zugreifen kann, benötigt er keinen direkten Zugriff auf den CMEK-Schlüssel.
Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht mehr auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen, sodass Sie die Schlüssel selbst verwalten können. Einige Dienste bieten stattdessen CMEK-Compliance. Das bedeutet, dass die temporären Daten und der sitzungsspezifische Schlüssel niemals auf das Laufwerk geschrieben werden. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter Mit CMEK kompatible Dienste.
Tracking der Schlüsselnutzung
Das Tracking der Schlüsselnutzung zeigt Ihnen die Google Cloud-Ressourcen in Ihrer Organisation, die durch Ihre CMEK-Schlüssel geschützt sind. Mithilfe des Trackings der Schlüsselnutzung können Sie die geschützten Ressourcen, Projekte und einzelnen Google Cloud-Produkte ansehen, die einen bestimmten Schlüssel verwenden. Außerdem sehen Sie, ob Schlüssel verwendet werden. Weitere Informationen zum Tracking der Schlüsselnutzung findest du unter Schlüsselnutzung ansehen.
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um eine einheitliche CMEK-Nutzung in einer Organisationsressource sicherzustellen. Mit diesen Einschränkungen können Organisationsadministratoren die Verwendung von CMEK erzwingen und Einschränkungen und Kontrollen für die Cloud KMS-Schlüssel angeben, die für den CMEK-Schutz verwendet werden, einschließlich:
Limits dafür, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden
Limits für die zulässigen Schutzniveaus von Schlüsseln
Limits für den Speicherort von CMEK-Schlüsseln
Steuerelemente für das Löschen von Schlüsselversionen
Weitere Informationen zu Organisationsrichtlinien für CMEK finden Sie unter CMEK-Organisationsrichtlinien.
Nächste Schritte
- Liste der Dienste mit CMEK-Integrationen
- Liste der CMEK-konformen Dienste
- Weitere Informationen finden Sie in der Liste der Ressourcentypen, für die die Schlüsselnutzung erfasst werden kann.
- Hier finden Sie eine Liste der von Autokey unterstützten Dienste.