In diesem Dokument finden Sie einen Überblick über die Verwendung des Cloud Key Management Service (Cloud KMS) für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK). Mit Cloud KMS CMEK haben Sie die Inhaberschaft und Kontrolle über die Schlüssel, die Ihre ruhenden Daten in Google Cloud schützen.
Vergleich von CMEK-Schlüsseln und von Google verwalteten Schlüsseln
Die von Ihnen erstellten Cloud KMS-Schlüssel sind vom Kunden verwaltete Schlüssel. Google-Dienste, die Ihre Schlüssel verwenden, haben eine CMEK-Integration. Sie können diese CMEKs direkt oder über Cloud KMS Autokey verwalten. Die folgenden Faktoren unterscheiden die standardmäßige Verschlüsselung inaktiver Daten von Google von vom Kunden verwalteten Schlüsseln:
| Schlüsseltyp | Vom Kunden verwaltet mit Autokey | Vom Kunden verwaltet (manuell) | Zu Google gehörende und von Google verwaltete (Google-Standardeinstellung) |
|---|---|---|---|
| Kann wichtige Metadaten einsehen | Ja | Ja | Ja |
| Inhaberschaft von Schlüsseln1 | Kunde | Kunde | |
| Kann2 Schlüssel verwalten und steuern3 | Die Schlüsselerstellung und -zuweisung ist automatisiert. Die manuelle Steuerung durch den Kunden wird vollständig unterstützt. | Kunde, nur manuelle Steuerung | |
| Einhaltung gesetzlicher Auflagen für vom Kunden verwaltete Schlüssel | Ja | Ja | Nein |
| Schlüsselfreigabe | Eindeutig für einen Kunden | Eindeutig für einen Kunden | Für Daten mehrerer Kunden wird in der Regel derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet. |
| Steuerung der Schlüsselrotation | Ja | Ja | Nein |
| CMEK-Organisationsrichtlinien | Ja | Ja | Nein |
| Verwaltung und Datenzugriff auf Verschlüsselungsschlüssel protokollieren | Ja | Ja | Nein |
| Preise | Variiert – weitere Informationen finden Sie unter Preise. Keine zusätzlichen Kosten für Autokey | Variiert – weitere Informationen finden Sie unter Preise | Kostenlos |
1 Der Inhaber des Schlüssels gibt rechtlich an, wer die Rechte an dem Schlüssel hat. Der Zugriff auf Schlüssel, die dem Kunden gehören, ist stark eingeschränkt oder nicht möglich.
2Die Kontrolle von Schlüsseln bedeutet, die Art der Schlüssel und ihre Verwendung festzulegen, Abweichungen zu erkennen und bei Bedarf Korrekturmaßnahmen zu planen. Sie können Ihre Schlüssel verwalten, die Verwaltung aber an einen Drittanbieter delegieren.
3Die Verwaltung von Schlüsseln umfasst die folgenden Funktionen:
- Erstellen Sie Schlüssel.
- Wählen Sie das Schutzniveau der Schlüssel aus.
- Weisen Sie die Berechtigung zur Verwaltung der Schlüssel zu.
- Zugriff auf Schlüssel steuern
- Verwendung von Schlüsseln steuern
- Legen Sie den Rotationszeitraum für Schlüssel fest und ändern Sie ihn oder lösen Sie eine Schlüsselrotation aus.
- Schlüsselstatus ändern
- Schlüsselversionen löschen
Standardverschlüsselung mit Google-eigenen und von Google verwalteten Schlüsseln
Alle in Google Cloud gespeicherten Daten werden im inaktiven Zustand mit denselben gehärteten Schlüsselverwaltungssystemen verschlüsselt, die Google auch für unsere eigenen verschlüsselten Daten verwendet. Diese Schlüsselverwaltungssysteme bieten strenge Schlüsselzugriffskontrollen und Audits und verschlüsseln inaktive Nutzerdaten mit dem AES-256-Verschlüsselungsstandard. Google ist Inhaber und verwaltet die Schlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden. Sie können diese Schlüssel nicht aufrufen oder verwalten und auch keine Protokolle zur Schlüsselnutzung prüfen. Für Daten mehrerer Kunden kann derselbe Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) verwendet werden. Es ist keine Einrichtung, Konfiguration oder Verwaltung erforderlich.
Weitere Informationen zur Standardverschlüsselung in Google Cloud finden Sie unter Standardverschlüsselung ruhender Daten.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Vom Kunden verwaltete Verschlüsselungsschlüssel sind Verschlüsselungsschlüssel, deren Eigentümer Sie sind. Mit dieser Funktion haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln ruhender Daten in unterstützten Google Cloud-Diensten verwendet werden, und können Ihre Daten besser schützen. Sie können CMEKs direkt in Cloud KMS verwalten oder die Bereitstellung und Zuweisung mit Cloud KMS Autokey automatisieren.
Dienste, die CMEK unterstützen, haben eine CMEK-Integration. Die CMEK-Integration ist eine serverseitige Verschlüsselungstechnologie, die Sie anstelle der Standardverschlüsselung von Google verwenden können. Nach der Einrichtung von CMEK werden die Vorgänge zum Verschlüsseln und Entschlüsseln von Ressourcen vom Ressourcen-Dienst-Agenten ausgeführt. Da CMEK-integrierte Dienste den Zugriff auf die verschlüsselte Ressource verwalten, können Verschlüsselung und Entschlüsselung transparent und ohne Aufwand für den Endnutzer erfolgen. Der Zugriff auf Ressourcen ähnelt der Verwendung der Standardverschlüsselung von Google. Weitere Informationen zur CMEK-Integration finden Sie unter Vorteile eines CMEK-integrierten Dienstes.
Sie können für jeden Schlüssel eine unbegrenzte Anzahl von Schlüsselversionen verwenden.
Ob ein Dienst CMEKs unterstützt, sehen Sie in der Liste der unterstützten Dienste.
Die Verwendung von Cloud KMS verursacht Kosten, die sich auf die Anzahl der Schlüsselversionen und die kryptografischen Vorgänge mit diesen Schlüsselversionen beziehen. Weitere Informationen zu den Preisen finden Sie unter Cloud Key Management Service – Preise. Es gelten keine Mindestbestellmengen oder Mindestlaufzeiten.
Kundenseitig verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud KMS Autokey
Cloud KMS Autokey vereinfacht das Erstellen und Verwalten von CMEKs durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselringe und Schlüssel bei der Ressourcenerstellung auf Anfrage generiert. Dienst-Agenten, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden, erhalten automatisch die erforderlichen IAM-Rollen (Identity and Access Management).
Wenn Sie von Autokey generierte Schlüssel verwenden, können Sie die branchenüblichen Standards und empfohlenen Praktiken für die Datensicherheit einhalten, einschließlich der Ausrichtung des Speicherorts der Schlüsseldaten, der Schlüsselspezifität, des Schutzniveaus des Hardwaresicherheitsmoduls (HSM), des Schlüsselrotationszeitplans und der Aufgabentrennung. Autokey erstellt Schlüssel, die sowohl allgemeinen als auch spezifischen Richtlinien für den Ressourcentyp für Google Cloud-Dienste entsprechen, die mit Autokey integriert sind. Mit Autokey erstellte Schlüssel funktionieren genau wie andere Cloud HSM-Schlüssel mit denselben Einstellungen, einschließlich der Unterstützung von rechtlichen Anforderungen für vom Kunden verwaltete Schlüssel. Weitere Informationen zu Autokey finden Sie unter Autokey-Übersicht.
Wann sollten Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden?
Sie können manuell erstellte CMEKs oder von Autokey erstellte Schlüssel in kompatiblen Diensten verwenden, um die folgenden Ziele zu erreichen:
Sie haben die Kontrolle über Ihre Verschlüsselungsschlüssel.
Sie können Ihre Verschlüsselungsschlüssel steuern und verwalten, einschließlich Speicherort, Schutzlevel, Erstellung, Zugriffssteuerung, Rotation, Verwendung und Vernichtung.
Generieren Sie Schlüsselmaterial in Cloud KMS oder importieren Sie Schlüsselmaterial, das außerhalb von Google Cloud verwaltet wird.
Legen Sie eine Richtlinie fest, wo Ihre Schlüssel verwendet werden müssen.
Daten, die durch Ihre Schlüssel geschützt sind, können bei Offboarding oder zur Behebung von Sicherheitsereignissen selektiv gelöscht werden (Crypto-Shredding).
Erstellen und verwenden Sie Schlüssel, die für einen Kunden eindeutig sind, und schaffen Sie so eine kryptografische Grenze um Ihre Daten.
Administratorzugriff und Datenzugriff auf Verschlüsselungsschlüssel protokollieren
Sie erfüllen aktuelle oder zukünftige Bestimmungen, die eines dieser Ziele erfordern.
Vorteile eines CMEK-integrierten Dienstes
Wie die Standardverschlüsselung von Google ist CMEK eine serverseitige, symmetrische Verschlüsselung von Kundendaten. Der Unterschied zur Standardverschlüsselung von Google besteht darin, dass beim CMEK-Schutz ein Schlüssel verwendet wird, der vom Kunden verwaltet wird. Manuell oder automatisch mit Autokey erstellte CMEKs funktionieren bei der Dienstintegration auf die gleiche Weise.
Cloud-Dienste mit CMEK-Integration verwenden Schlüssel, die Sie in Cloud KMS erstellen, um Ihre Ressourcen zu schützen.
Für Dienste, die in Cloud KMS eingebunden sind, wird die symmetrische Verschlüsselung verwendet.
Sie wählen das Schutzniveau des Schlüssels aus.
Alle Schlüssel sind 256-Bit-AES-GCM.
Schlüsselmaterial verlässt nie die Systemgrenzen von Cloud KMS.
Ihre symmetrischen Schlüssel werden im Umschlagverschlüsselungsmodell zum Verschlüsseln und Entschlüsseln verwendet.
CMEK-integrierte Dienste erfassen Schlüssel und Ressourcen
CMEK-geschützte Ressourcen haben ein Metadaten-Feld, das den Namen des Schlüssels enthält, mit dem sie verschlüsselt werden. Normalerweise ist diese Information in den Ressourcenmetadaten für Kunden sichtbar.
Mit dem Schlüssel-Tracking sehen Sie, welche Ressourcen durch einen Schlüssel geschützt werden, für Dienste, die das Schlüssel-Tracking unterstützen.
Schlüssel können nach Projekt aufgelistet werden.
CMEK-integrierte Dienste verwalten den Ressourcenzugriff
Das Prinzipal, das Ressourcen im CMEK-integrierten Dienst erstellt oder aufruft, benötigt nicht die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK, der zum Schutz der Ressource verwendet wird.
Jede Projektressource hat ein spezielles Dienstkonto, den sogenannten Dienst-Agent, der die Verschlüsselung und Entschlüsselung mit vom Kunden verwalteten Schlüsseln durchführt. Nachdem Sie dem Kundenservicemitarbeiter Zugriff auf einen CMEK gewährt haben, verwendet dieser Kundenservicemitarbeiter diesen Schlüssel, um die von Ihnen ausgewählten Ressourcen zu schützen.
Wenn ein Antragsteller auf eine Ressource zugreifen möchte, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, versucht der Dienst-Agent automatisch, die angeforderte Ressource zu entschlüsseln. Wenn der Dienst-Agent die Berechtigung zum Entschlüsseln mit dem Schlüssel hat und Sie den Schlüssel nicht deaktiviert oder gelöscht haben, stellt der Dienst-Agent die Verschlüsselung und Entschlüsselung mit dem Schlüssel bereit. Andernfalls schlägt die Anfrage fehl.
Es ist kein zusätzlicher Zugriff für den Anfragenden erforderlich. Da der Dienstagent die Verschlüsselung und Entschlüsselung im Hintergrund übernimmt, ähnelt die Nutzerfreundlichkeit beim Zugriff auf Ressourcen der Verwendung der Standardverschlüsselung von Google.
Autokey für CMEK verwenden
Für jeden Ordner, in dem Sie Autokey verwenden möchten, ist eine einmalige Einrichtung erforderlich. Sie müssen einen Ordner mit Autokey-Unterstützung und ein zugehöriges Schlüsselprojekt auswählen, in dem Autokey die Schlüssel für diesen Ordner speichert. Weitere Informationen zum Aktivieren von Autokey finden Sie unter Cloud KMS Autokey aktivieren.
Im Vergleich zum manuellen Erstellen von CMEKs sind bei Autokey die folgenden Einrichtungsschritte nicht erforderlich:
Schlüsseladministratoren müssen keine Schlüsselringe oder Schlüssel manuell erstellen und den Dienstmitarbeitern keine Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten zuweisen. Der Cloud KMS-Dienst-Agent führt diese Aktionen in ihrem Namen aus.
Entwickler müssen nicht im Voraus planen, um vor dem Erstellen von Ressourcen Schlüssel anzufordern. Sie können nach Bedarf selbst Schlüssel bei Autokey anfordern und dabei die Aufgabentrennung wahren.
Bei der Verwendung von Autokey ist nur ein Schritt erforderlich: Der Entwickler fordert die Schlüssel im Rahmen der Ressourcenerstellung an. Die zurückgegebenen Schlüssel sind für den gewünschten Ressourcentyp konsistent.
Die mit Autokey erstellten CMEKs verhalten sich für die folgenden Funktionen genauso wie manuell erstellte Schlüssel:
CMEK-integrierte Dienste verhalten sich genauso.
Der Schlüsseladministrator kann weiterhin alle erstellten und verwendeten Schlüssel über das Cloud KMS-Dashboard und die Schlüsselnutzungsüberwachung im Blick behalten.
Organisationsrichtlinien funktionieren mit Autokey genauso wie mit manuell erstellten CMEKs.
Eine Übersicht über Autokey finden Sie unter Autokey-Übersicht. Weitere Informationen zum Erstellen von CMEK-geschützten Ressourcen mit Autokey finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.
CMEKs manuell erstellen
Wenn Sie Ihre CMEKs manuell erstellen, müssen Sie Schlüsselringe, Schlüssel und Ressourcenspeicherorte planen und erstellen, bevor Sie geschützte Ressourcen erstellen können. Sie können dann Ihre Schlüssel verwenden, um die Ressourcen zu schützen.
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Gehen Sie wie folgt vor:
Erstellen Sie einen Cloud KMS-Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Wählen Sie beim Erstellen des Schlüsselbunds einen Standort aus, der sich geografisch in der Nähe der zu schützenden Ressourcen befindet. Der Schlüsselbund kann sich im selben Projekt wie die zu schützenden Ressourcen oder in verschiedenen Projekten befinden. Wenn Sie verschiedene Projekte verwenden, haben Sie mehr Kontrolle über IAM-Rollen und können die Aufgabentrennung unterstützen.
Sie erstellen oder importieren einen Cloud KMS-Schlüssel in den ausgewählten Schlüsselbund. Dieser Schlüssel ist der CMEK.
Sie weisen dem Dienstkonto für den Dienst die IAM-Rolle encrypter-decrypter-role zu.
Konfigurieren Sie beim Erstellen einer Ressource die Verwendung des CMEK. Sie können beispielsweise einen GKE-Cluster so konfigurieren, dass CMEK zum Schutz inaktiver Daten auf den Bootlaufwerken der Knoten verwendet wird.
Damit ein Antragsteller auf die Daten zugreifen kann, benötigt er keinen direkten Zugriff auf den CMEK.
Solange der Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter hat, kann der Dienst seine Daten verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden.
CMEK-Compliance
Einige Dienste haben CMEK-Integrationen und ermöglichen es Ihnen, Schlüssel selbst zu verwalten. Einige Dienste bieten stattdessen CMEK-Compliance, d. h., die temporären Daten und der sitzungsspezifische Schlüssel werden nie auf die Festplatte geschrieben. Eine vollständige Liste der integrierten und konformen Dienste finden Sie unter CMEK-kompatible Dienste.
Tracking der Schlüsselnutzung
Über die Schlüsselnutzungsaufzeichnung sehen Sie die Google Cloud-Ressourcen in Ihrer Organisation, die durch Ihre CMEKs geschützt sind. Mit der Schlüsselnutzungsüberwachung können Sie die geschützten Ressourcen, Projekte und eindeutigen Google Cloud-Produkte aufrufen, für die ein bestimmter Schlüssel verwendet wird, und sehen, ob Schlüssel verwendet werden. Weitere Informationen zum Tracking der Schlüsselnutzung finden Sie unter Schlüsselnutzung ansehen.
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, damit die CMEK-Nutzung in einer Organisationsressource konsistent ist. Mit diesen Einschränkungen können Organisationsadministratoren die Verwendung von CMEK erzwingen und Einschränkungen und Steuerelemente für die für den CMEK-Schutz verwendeten Cloud KMS-Schlüssel festlegen, darunter:
Einschränkungen bei der Verwendung von Cloud KMS-Schlüsseln für den CMEK-Schutz
Einschränkungen für zulässige Schutzniveaus von Schlüsseln
Einschränkungen für den Speicherort von CMEKs
Einstellungen für die Löschung von Schlüsselversionen
Nächste Schritte
- Weitere Informationen finden Sie in der Liste der Dienste mit CMEK-Integrationen.
- Weitere Informationen finden Sie in der Liste der CMEK-kompatiblen Dienste.
- Liste der Ressourcentypen, für die das Tracking der Schlüsselnutzung aktiviert werden kann
- Liste der von Autokey unterstützten Dienste