Cloud External Key Manager

本頁面概述 Cloud External Key Manager (Cloud EKM)。

術語

• 外部金鑰管理工具 (EKM)

  在 Google Cloud 外部用來管理金鑰的金鑰管理工具。

• Cloud External Key Manager (Cloud EKM)

  Google Cloud 服務，可用於使用在支援的 EKM 中管理的外部金鑰。

• 透過網際網路存取 Cloud EKM

  透過網際網路與外部金鑰管理工具進行通訊的 Cloud EKM 版本。 Google Cloud

• 透過虛擬私有雲連線至 Cloud EKM

  這個版本的 Cloud EKM 會透過虛擬私有雲 (VPC) 與外部金鑰管理工具通訊。 Google Cloud 詳情請參閱「虛擬私有雲網路總覽」。

• Cloud KMS 的 EKM 金鑰管理

  透過支援 Cloud EKM 控制平面的外部金鑰管理合作夥伴，使用 Cloud EKM 透過 VPC 連線時，您可以使用 Cloud KMS EKM 管理模式，簡化在外部金鑰管理合作夥伴和 Cloud EKM 中維護外部金鑰的程序。詳情請參閱本頁的「協調外部金鑰」和「透過 Cloud KMS 進行 EKM 金鑰管理」相關說明。

• 加密貨幣空間

  外部金鑰管理合作夥伴中的資源容器。您的加密空間會透過專屬加密空間路徑識別。外部金鑰管理合作夥伴 (例如 v0/cryptospaces/YOUR_UNIQUE_PATH) 的加密空間路徑格式各不相同。

• 由合作夥伴管理的 EKM

  由值得信賴的合作夥伴為您管理 EKM。詳情請參閱本頁的「合作夥伴管理的 EKM」一節。

• 金鑰存取依據

  當您使用 Cloud EKM 搭配金鑰存取依據時，向外部金鑰管理合作夥伴提出的每項要求都會包含一個欄位，用於識別每項要求的原因。您可以設定外部金鑰管理合作夥伴，讓系統根據提供的 Key Access Justifications 代碼允許或拒絕要求。如要進一步瞭解金鑰存取依據，請參閱「 金鑰存取依據總覽」。

總覽

有了 Cloud EKM，您就能使用透過支援的外部金鑰管理合作夥伴管理的金鑰來保護Google Cloud中的資料。您可以使用支援的 CMEK 整合服務來保護靜態資料，也可以直接呼叫 Cloud Key Management Service API。

Cloud EKM 具備多項優勢：

• 金鑰來源：您可以控管外部管理金鑰的位置和發布方式。外部代管金鑰絕不會快取或儲存在 Google Cloud中。相反地，Cloud EKM 會直接與外部金鑰管理合作夥伴通訊，處理每項要求。

• 存取控制：您可以在外部金鑰管理工具中管理外部代管金鑰的存取權。如要在Google Cloud 中使用外部代管金鑰，必須先授予 Google Cloud 專案存取外部金鑰管理工具中的金鑰。您隨時可以撤銷這項存取權。

• 集中式金鑰管理：無論金鑰保護的資料是位於雲端或內部，您都可以透過單一使用者介面管理金鑰和存取權政策。

無論如何，金鑰都會保留在外部系統中，絕不會傳送給 Google。

您可以透過網際網路或透過虛擬私有雲 (VPC)與外部金鑰管理工具通訊。

Cloud EKM 的運作方式

Cloud EKM 金鑰版本由下列部分組成：

• 外部金鑰內容：Cloud EKM 金鑰的外部金鑰內容是指在 EKM 中建立並儲存的加密編譯內容。這類內容不會離開您的 EKM，也絕不會分享給 Google。
• 鍵參照：每個 Cloud EKM 金鑰版本都包含金鑰 URI 或金鑰路徑。這是外部金鑰內容的專屬 ID，Cloud EKM 會在使用金鑰要求加密編譯作業時使用。
• 內部金鑰內容：建立對稱的 Cloud EKM 金鑰時，Cloud KMS 會在 Cloud KMS 中建立額外的金鑰內容，且該內容永遠不會離開 Cloud KMS。與 EKM 通訊時，這組金鑰素材會用於額外的加密層。這項內部金鑰內容不適用於非對稱簽署金鑰。

如要使用 Cloud EKM 金鑰，Cloud EKM 會將加密編譯作業要求傳送至 EKM。舉例來說，如要使用對稱加密金鑰加密資料，Cloud EKM 會先使用內部金鑰內容加密資料。加密資料會納入對 EKM 的要求中。EKM 會使用外部金鑰內容，將加密資料包裝在另一層加密層級，然後傳回產生的密文。如未同時提供外部金鑰內容和內部金鑰內容，就無法解密使用 Cloud EKM 金鑰加密的資料。

如果貴機構已啟用金鑰存取依據，外部金鑰管理合作夥伴會記錄您提供的存取依據，並只針對外部金鑰管理合作夥伴的金鑰存取依據政策允許的依據原因代碼完成要求。

建立及管理 Cloud EKM 金鑰時，必須在 Cloud KMS 和 EKM 中進行相應變更。 這些對應的變更會根據手動管理的外部金鑰和協調的外部金鑰，以不同的方式處理。透過網際網路存取的所有外部金鑰均為手動管理。您可以根據 EKM 連線的 EKM 管理模式，手動管理或協調透過虛擬私有雲網路存取的外部金鑰。手動 EKM 管理模式適用於手動管理的金鑰。Cloud KMS EKM 管理模式適用於協調外部金鑰。如要進一步瞭解 EKM 管理模式，請參閱本頁的「手動管理的外部金鑰」和「協調的外部金鑰」。

下圖顯示 Cloud KMS 如何融入金鑰管理模式。這張圖表以 Compute Engine 和 BigQuery 做為兩個範例；您也可以查看支援 Cloud EKM 金鑰的完整服務清單。

您可以瞭解使用 Cloud EKM 時的注意事項和限制。

手動管理的外部金鑰

本節將概略說明 Cloud EKM 如何與手動管理的外部金鑰搭配運作。

1. 您在支援的外部金鑰管理合作夥伴系統中建立或使用現有金鑰。這個鍵具有專屬 URI 或鍵路徑。
2. 您授予 Google Cloud 專案存取權，以便在外部金鑰管理合作夥伴系統中使用金鑰。
3. 在 Google Cloud 專案中，您可以使用外部代管金鑰的 URI 或金鑰路徑，建立 Cloud EKM 金鑰版本。
4. 金鑰輪替等維護作業必須在 EKM 和 Cloud EKM 之間手動管理。舉例來說，金鑰版本輪替或金鑰版本銷毀作業必須直接在 EKM 和 Cloud KMS 中完成。

在 Google Cloud中，金鑰會與其他 Cloud KMS 和 Cloud HSM 金鑰一併顯示，並顯示防護等級 EXTERNAL 或 EXTERNAL_VPC。Cloud EKM 金鑰和外部金鑰管理合作夥伴金鑰可共同保護您的資料。外部金鑰內容絕不會向 Google 透露。

協調外部金鑰

本節將概略說明 Cloud EKM 如何搭配協調外部金鑰運作。

1. 您設定 EKM 連線，並將 EKM 管理模式設為 Cloud KMS。在設定期間，您必須授權 EKM 存取虛擬私有雲網路，並授權Google Cloud 專案服務帳戶存取 EKM 中的加密空間。EKM 連線會使用 EKM 的主機名稱，以及用於識別 EKM 內資源的加密空間路徑。

2. 您可以在 Cloud KMS 中建立外部金鑰。當您透過 VPC 連線使用 EKM 建立 Cloud EKM 金鑰，並啟用 Cloud KMS EKM 管理模式時，系統會自動執行下列步驟：

   1. Cloud EKM 會向 EKM 傳送金鑰建立要求。
   2. EKM 會建立要求的金鑰內容。這項外部金鑰內容會保留在 EKM 中，絕不會傳送給 Google。
   3. EKM 會將金鑰路徑傳回至 Cloud EKM。
   4. Cloud EKM 會使用 EKM 提供的金鑰路徑建立 Cloud EKM 金鑰版本。

3. 您可以透過 Cloud KMS 啟動協調外部金鑰的維護作業。舉例來說，用於對稱式加密的協調外部金鑰，可以依照設定的時間表自動輪替。Cloud EKM 會在 EKM 中協調建立新金鑰版本。您也可以使用Google Cloud 控制台、gcloud CLI、Cloud KMS API 或 Cloud KMS 用戶端程式庫，觸發在 Cloud KMS 的 EKM 中建立或刪除金鑰版本。

在 Google Cloud中，金鑰會與其他 Cloud KMS 和 Cloud HSM 金鑰一併顯示，並顯示防護等級 EXTERNAL_VPC。Cloud EKM 金鑰和外部金鑰管理合作夥伴金鑰會共同保護您的資料。外部金鑰內容絕不會向 Google 透露。

透過 Cloud KMS 管理 EKM 金鑰

透過使用 Cloud KMS 的 EKM 金鑰管理功能，透過 EKM 連線即可取得協調外部金鑰。如果您的 EKM 支援 Cloud EKM 控制平面，您就可以為 EKM 連線啟用 Cloud KMS 的 EKM 金鑰管理功能，以便建立協調的外部金鑰。啟用 Cloud KMS 的 EKM 金鑰管理功能後，Cloud EKM 可在 EKM 中要求下列變更：

• 建立金鑰：在 Cloud KMS 中使用相容的 EKM 連線建立外部代管金鑰時，Cloud EKM 會將金鑰建立要求傳送至 EKM。成功後，EKM 會建立新的金鑰和金鑰內容，並傳回 Cloud EKM 用來存取金鑰的金鑰路徑。

• 輪替金鑰：使用相容的 EKM 連線在 Cloud KMS 中輪替外部管理金鑰時，Cloud EKM 會將輪替要求傳送至 EKM。成功後，EKM 會建立新的金鑰內容，並傳回 Cloud EKM 用來存取新金鑰版本的金鑰路徑。

• 銷毀金鑰：使用相容的 EKM 連線銷毀 Cloud KMS 中外部管理金鑰的金鑰版本時，Cloud KMS 會在 Cloud KMS 中排定金鑰版本的銷毀時間。如果金鑰版本未在已排定刪除期間結束前還原，Cloud EKM 會刪除金鑰的部分加密資料，並向 EKM 傳送刪除要求。

  在 Cloud KMS 中刪除金鑰版本後，使用該金鑰版本加密的資料就無法解密，即使 EKM 尚未刪除金鑰版本也一樣。您可以查看 Cloud KMS 中的金鑰詳細資料，瞭解 EKM 是否已成功銷毀金鑰版本。

當 Cloud KMS 管理 EKM 中的金鑰時，金鑰內容仍會保留在 EKM 中。未經明確許可，Google 無法向您的 EKM 提出任何金鑰管理要求。 Google 無法變更外部金鑰管理合作夥伴系統中的權限或金鑰存取依據政策。 如果您在 EKM 中撤銷 Google 的權限，在 Cloud KMS 中嘗試的金鑰管理作業就會失敗。

相容性

支援的金鑰管理工具

您可以在下列外部金鑰管理合作夥伴系統中儲存外部金鑰：

• 目前支援的國家/地區：
  • Fortanix
  • Futurex
  • Thales

支援透過 Cloud EKM 使用 CMEK 的服務

下列服務支援與 Cloud KMS 整合，以便使用外部 (Cloud EKM) 金鑰：

• Agent Assist
• PostgreSQL 適用的 AlloyDB
• Apigee API Hub
• 應用程式整合
• Artifact Registry
• GKE 備份
• BigQuery
• Bigtable
• Cloud Composer
• Cloud Data Fusion
• Cloud Healthcare API
• Cloud Logging： 記錄路由器中的資料 以及Logging 儲存空間中的資料
• Cloud Run
• Cloud Run 函式
• Cloud SQL
• Cloud Storage
• Cloud Tasks
• Cloud Workstations
• Compute Engine：永久磁碟、快照、自訂映像檔、機器映像檔
• Conversational Insights
• 資料庫移轉服務： MySQL 遷移作業 - 將資料寫入資料庫、 PostgreSQL 遷移作業 - 將資料寫入資料庫、 PostgreSQL 到 AlloyDB 遷移作業 - 將資料寫入資料庫、 SQL Server 遷移作業 - 將資料寫入資料庫、 Oracle 到 PostgreSQL 靜態資料
• Dataflow
• Dataform
• Dataplex 通用目錄
• Dataproc： Dataproc 叢集 VM 磁碟上的資料 Dataproc 在 VM 磁碟上的無伺服器資料
• Dataproc 中繼存放區
• Dialogflow CX
• Document AI
• Eventarc Standard
• Filestore
• Firestore
• Google Cloud Managed Service for Apache Kafka
• Google Distributed Cloud
• Google Kubernetes Engine： 虛擬機器磁碟上儲存的資料
• Integration Connectors (預先發布版)
• Looker (Google Cloud Core)
• Memorystore for Redis
• 遷移至虛擬機器： 從 VMware、AWS 和 Azure VM 來源遷移的資料 以及從磁碟和機器映像檔來源遷移的資料
• 參數管理工具
• Pub/Sub
• Secret Manager
• Secure Source Manager
• Spanner
• Speaker ID (受限的 Google Analytics)
• Speech-to-Text
• Vertex AI
• Vertex AI Workbench 執行個體
• 工作流程

注意事項

• 使用 Cloud EKM 金鑰時，Google 無法控管外部代管金鑰在外部金鑰管理合作夥伴系統中的供應情形。如果您遺失在 Google Cloud外部管理的金鑰，Google 無法復原您的資料。

• 選擇 Cloud EKM 金鑰的位置時，請參閱外部金鑰管理合作夥伴和區域相關規範。

• 詳閱 Cloud EKM 服務水準協議 (SLA)。

• 透過網際網路與外部服務通訊可能會導致可靠性、可用性和延遲問題。如果應用程式對這類風險的容忍度較低，建議您使用 Cloud HSM 或 Cloud KMS 來儲存金鑰內容。

  • 如果無法使用外部金鑰，Cloud KMS 會傳回 FAILED_PRECONDITION 錯誤，並在 PreconditionFailure 錯誤詳細資料中提供詳細資料。

    啟用資料稽核記錄，以便記錄所有與 Cloud EKM 相關的錯誤。錯誤訊息會提供詳細資訊，協助您找出錯誤來源。常見錯誤的例子包括外部金鑰管理合作夥伴未在合理時間內回應要求。

  • 您必須與外部金鑰管理合作夥伴簽訂支援合約。Google Cloud 支援團隊只能協助處理Google Cloud 服務的問題，無法直接協助處理外部系統的問題。有時，您必須與雙方的支援團隊合作，才能排除互通性問題。

• Cloud EKM 可搭配Bare Metal Rack HSM 使用，建立與 Cloud KMS 整合的單一租戶 HSM 解決方案。如需更多資訊，請選擇支援單一租戶 HSM 的 Cloud EKM 合作夥伴，並查看 Bare Metal Rack HSM 的相關規定。

• 在外部金鑰管理工具中啟用稽核記錄，以便擷取 EKM 金鑰的存取和使用情形。

限制

• 使用 API 或 Google Cloud CLI 建立 Cloud EKM 金鑰時，金鑰不得有初始版本。這項功能不適用於使用Google Cloud 控制台建立的 Cloud EKM 金鑰。
• 手動管理的外部金鑰不支援自動輪替。
• 除了 Cloud KMS 作業的配額外，Cloud EKM 作業也須遵守特定配額。

對稱式加密金鑰

• 對稱式加密金鑰僅支援以下項目：
  • 支援的整合服務中的客戶管理加密金鑰 (CMEK)。
  • 直接使用 Cloud KMS 進行對稱加密和解密。
• 使用外部代管金鑰由 Cloud EKM 加密的資料，如果不使用 Cloud EKM 就無法解密。

非對稱式簽署金鑰

• 非對稱簽署金鑰僅限於部分 Cloud KMS 演算法。
• 非對稱簽署金鑰僅適用於下列用途：
  • 直接使用 Cloud KMS 進行非對稱簽署。
  • 自訂簽署金鑰 (含存取權核准)。
• 在 Cloud EKM 金鑰上設定非對稱簽署演算法後，就無法修改。
• 簽署動作必須在 data 欄位中執行。

外部金鑰管理員和地區

Cloud EKM 必須能夠快速存取金鑰，才能避免發生錯誤。建立 Cloud EKM 金鑰時，請選擇Google Cloud 外部金鑰管理合作夥伴金鑰所在位置附近的地理位置。請參閱外部金鑰管理合作夥伴的說明文件，瞭解他們支援哪些地區。

• 透過網路存取 Cloud EKM：可在大多數 Google Cloud可使用 Cloud KMS 的地區使用，包括區域和多區域位置。
• 透過 VPC 使用 Cloud EKM：適用於大多數可使用 Cloud KMS 的區域位置。多區域位置無法使用透過 VPC 的 Cloud EKM。

部分地區 (包括 global 和 nam-eur-asia1) 無法使用 Cloud EKM。如要瞭解哪些位置支援 Cloud EKM，請參閱「Cloud KMS 位置」。

多區域使用

當您在多地區使用外部代管金鑰時，金鑰的結構描述資料會在多地區內的多個資料中心中提供。這項中繼資料包含與外部金鑰管理合作夥伴通訊所需的資訊。如果應用程式無法從多個區域中的一個資料中心切換至另一個資料中心，新的資料中心會啟動關鍵要求。新的資料中心可能具有與先前資料中心不同的網路特性，包括與外部金鑰管理合作夥伴的距離，以及逾時的可能性。建議您只在所選外部金鑰管理工具可為多區域的所有區域提供低延遲時，才使用 Cloud EKM 的多區域。

合作夥伴管理的 EKM

透過合作夥伴管理的 EKM，您可以透過可信任的獨立合作夥伴使用 Cloud EKM，由對方管理您的 EKM 系統。透過合作夥伴代管的 EKM，合作夥伴會建立及管理您在 Cloud EKM 中使用的金鑰。合作夥伴會確保您的 EKM 符合主權要求。

與獨立合作夥伴完成新手上路程序後，合作夥伴會在 Google Cloud 和您的 EKM 中提供資源。這些資源包括用於管理 Cloud EKM 金鑰的 Cloud KMS 專案，以及為 Cloud KMS 的 EKM 金鑰管理所設定的 EKM 連線。合作夥伴會根據您的資料落地規定，在 Google Cloud 位置建立資源。

每個 Cloud EKM 金鑰都包含 Cloud KMS 中繼資料，可讓 Cloud EKM 向 EKM 傳送要求，使用從未離開 EKM 的外部金鑰內容執行加密編譯作業。對稱式 Cloud EKM 金鑰也包含 Cloud KMS 內部金鑰內容，而這些內容絕不會離開 Google Cloud。如要進一步瞭解 Cloud EKM 金鑰的內部和外部，請參閱本頁的「Cloud EKM 的運作方式」一節。

如要進一步瞭解合作夥伴代管的 EKM，請參閱「設定合作夥伴代管的 Cloud KMS」。

監控 Cloud EKM 使用情形

您可以使用 Cloud Monitoring 監控 EKM 連線。下列指標可協助您瞭解 EKM 用量：

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

如要進一步瞭解這些指標，請參閱 cloudkms 指標。您可以建立資訊主頁來追蹤這些指標。如要瞭解如何設定資訊主頁來監控 EKM 連線，請參閱「監控 EKM 用量」一文。

取得支援

如果您在使用 Cloud EKM 時遇到問題，請與支援團隊聯絡。

後續步驟

• 開始使用 API。

• 透過網際網路設定 Cloud EKM。

• 建立 EKM 連線，透過虛擬私有雲使用 EKM。

• 詳閱 Cloud KMS API 參考資料。

• 瞭解 Cloud KMS 中的記錄。記錄以作業為基礎，並會同時套用至防護等級為 HSM 與軟體的金鑰。

• 請參閱參考架構：可靠部署 Cloud EKM 服務，瞭解如何設定與 Cloud EKM 整合的外部金鑰管理服務 (EKM) 部署作業。