Autokey – Übersicht

Cloud KMS Autokey vereinfacht das Erstellen und Verwenden von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) durch die Automatisierung der Bereitstellung und Zuweisung. Mit Autokey werden Schlüsselbunde und Schlüssel bei Bedarf generiert. Dienstkonten, die die Schlüssel zum Ver- und Entschlüsseln von Ressourcen verwenden, werden erstellt und erhalten bei Bedarf IAM-Rollen (Identity and Access Management). Cloud KMS-Administratoren behalten die volle Kontrolle und Übersicht über die von Autokey erstellten Schlüssel, ohne jede Ressource im Voraus planen und erstellen zu müssen.

Die Verwendung von Schlüsseln, die von Autokey generiert wurden, kann Ihnen helfen, die Branchenstandards und empfohlenen Best Practices für die Datensicherheit konsistent einzuhalten. Dazu gehören das Schutzniveau für Multi-Tenant Cloud HSM, die Aufgabentrennung, die Schlüsselrotation, der Standort und die Schlüsselspezifität. Autokey erstellt Schlüssel, die sowohl allgemeinen Richtlinien als auch Richtlinien folgen, die für den Ressourcentyp für Google Cloud Dienste spezifisch sind, die in Cloud KMS Autokey eingebunden sind. Nach der Erstellung funktionieren Schlüssel, die mit Autokey angefordert wurden, genauso wie andere Cloud HSM-Schlüssel mit denselben Einstellungen.

Autokey kann auch die Verwendung von Terraform für die Schlüsselverwaltung vereinfachen, da keine Infrastruktur-als-Code-Ausführung mit erhöhten Berechtigungen zur Schlüsselerstellung erforderlich ist.

Sie können Autokey mit einem zentralen Schlüsselverwaltungsmodell (allgemein verfügbar) oder einem delegierten Schlüsselverwaltungsmodell (Vorschau) verwenden. Für das zentrale Schlüsselverwaltungsmodell benötigen Sie eine Organisationsressource, die eine Ordnerressource enthält. Im zentralen Modell ist Autokey für Projekte in einem Ordner aktiviert und von Autokey erstellte Schlüssel werden in einem dedizierten Schlüsselprojekt für diesen Ordner erstellt. Mit dem delegierten Schlüsselverwaltungsmodell wird die Schlüsselverwaltung an Projektadministratoren delegiert, die Autokey für einen Ordner oder ein Projekt aktivieren können, damit Autokey Schlüssel im selben Projekt wie die Ressourcen erstellt, die sie schützen.

Weitere Informationen zu Organisations- und Ordnerressourcen finden Sie unter Ressourcenhierarchie.

Cloud KMS Autokey ist an allen Google Cloud Standorten verfügbar, an denen Cloud HSM verfügbar ist. Weitere Informationen zu Cloud KMS Standorten finden Sie unter Cloud KMS-Standorte. Für die Verwendung von Cloud KMS Autokey fallen keine zusätzlichen Kosten an. Schlüssel, die mit Autokey erstellt wurden, kosten genauso viel wie andere Cloud HSM-Schlüssel. Weitere Informationen zu Preisen finden Sie unter Cloud Key Management Service – Preise.

Funktionsweise von Autokey

In diesem Abschnitt wird die Funktionsweise von Cloud KMS Autokey erläutert. Die folgenden Nutzerrollen sind an diesem Prozess beteiligt:

Administrator

Der Administrator ist ein Nutzer, der für die Verwaltung der Sicherheit auf Ordner- oder Organisationsebene verantwortlich ist.

Autokey-Entwickler

Der Autokey-Entwickler ist ein Nutzer, der für die Erstellung von Ressourcen mit Cloud KMS Autokey verantwortlich ist.

Cloud KMS-Administrator

Der Cloud KMS-Administrator ist ein Nutzer, der für die Verwaltung von Cloud KMS-Ressourcen verantwortlich ist. Diese Rolle hat bei der Verwendung von Autokey weniger Aufgaben als bei der Verwendung manuell erstellter Schlüssel.

Die folgenden Dienst-Agents sind ebenfalls an diesem Prozess beteiligt:

Cloud KMS-Dienst-Agent

Der Dienst-Agent für Cloud KMS in einem bestimmten Schlüsselprojekt. Autokey erfordert, dass dieser Dienst-Agent erhöhte Berechtigungen hat, um Cloud KMS-Schlüssel und -Schlüsselbunde zu erstellen und die IAM-Richtlinie für die Schlüssel festzulegen. Dadurch werden Berechtigungen zum Ver- und Entschlüsseln für jeden Ressourcen-Dienst-Agent gewährt.

Ressourcen-Dienst-Agent

Der Dienst-Agent für einen bestimmten Dienst in einem bestimmten Ressourcenprojekt. Dieser Dienst-Agent muss Berechtigungen zum Ver- und Entschlüsseln für jeden Cloud KMS-Schlüssel haben, bevor er diesen Schlüssel für den CMEK-Schutz einer Ressource verwenden kann. Autokey erstellt den Ressourcen-Dienst-Agent bei Bedarf und gewährt ihm die erforderlichen Berechtigungen zur Verwendung des Cloud KMS-Schlüssels.

Administrator aktiviert Cloud KMS Autokey

Die Aktivierung von Autokey erfolgt je nach ausgewähltem Schlüsselverwaltungsmodell auf eine der folgenden Arten:

1. Zentrales Schlüsselverwaltungsmodell: Aktivieren Sie Autokey für einen Ordner. Es wird ein zentrales Schlüsselprojekt erstellt, das die Schlüssel enthält, mit denen Ressourcen geschützt werden, die in anderen Projekten im Ordner erstellt wurden.
2. Delegiertes Schlüsselverwaltungsmodell (Vorschau): Sie können Autokey für einzelne Projekte oder für alle Projekte in einem Ordner aktivieren, um Autokey für dasselbe Projekt zu verwenden.

Zentrale Schlüsselverwaltung aktivieren

Bevor Sie Autokey für die zentrale Schlüsselverwaltung in einem Ordner verwenden können, muss ein Administrator die folgenden einmaligen Einrichtungsschritte ausführen:

1. Aktivieren Sie Cloud KMS Autokey für einen Ordner und geben Sie das Cloud KMS-Projekt an, das Autokey-Ressourcen für diesen Ordner enthält.

2. Erstellen Sie den Cloud KMS Dienst-Agent und gewähren Sie ihm Berechtigungen zum Erstellen und Zuweisen von Schlüsseln.

Nach Abschluss dieser Konfiguration können Entwickler, die Autokey-kompatible Ressourcen in einem beliebigen Projekt in diesem Ordner erstellen können, die Erstellung von Multi-Tenant Cloud HSM-Schlüsseln bei Bedarf auslösen. Eine vollständige Einrichtungsanleitung für Cloud KMS Autokey finden Sie unter Cloud KMS Autokey aktivieren.

Delegierte Schlüsselverwaltung aktivieren

Bevor Sie Autokey für die delegierte Schlüsselverwaltung verwenden können, muss ein Administrator die folgenden einmaligen Einrichtungsschritte ausführen:

1. Aktivieren Sie Cloud KMS Autokey für ein Projekt oder einen Ordner.
2. Aktivieren Sie die Cloud KMS API für dieses Projekt oder die Projekte im Ordner.

Wenn Cloud KMS Autokey für ein Projekt für die delegierte Schlüsselverwaltung aktiviert ist, wird der Cloud KMS-Dienst-Agent bei Bedarf für Sie erstellt. Sie müssen den Dienst-Agent nicht manuell erstellen. Jeder Nutzer mit Berechtigungen zum Erstellen einer Autokey-kompatiblen Ressource kann bei Bedarf einen neuen Schlüssel anfordern. Eine vollständige Einrichtungsanleitung für Cloud KMS Autokey, finden Sie unter Cloud KMS Autokey aktivieren.

Autokey-Entwickler verwenden Cloud KMS Autokey

Nachdem Autokey für ein Projekt aktiviert wurde, können Autokey-Entwickler Ressourcen erstellen, die mit Schlüsseln geschützt sind, die bei Bedarf für sie erstellt wurden. Dies gilt für Projekte in einem Ordner, in dem Autokey für die zentrale Schlüsselverwaltung aktiviert ist, und für Projekte, in denen Autokey für die delegierte Schlüsselverwaltung im selben Projekt aktiviert ist. Die Details des Prozesses zur Ressourcenerstellung hängen davon ab, welche Ressource Sie erstellen. Der Prozess folgt jedoch diesem Ablauf:

1. Der Autokey-Entwickler beginnt mit der Erstellung einer Ressource in einem kompatiblen Google Cloud Dienst. Während der Ressourcenerstellung fordert der Entwickler einen neuen Schlüssel vom Autokey-Dienst-Agent an.

2. Der Autokey-Dienst-Agent empfängt die Anfrage des Entwicklers und führt die folgenden Schritte aus:

   1. Erstellen Sie einen Schlüsselbund im Projekt am ausgewählten Standort, sofern dieser Schlüsselbund noch nicht vorhanden ist.
   2. Erstellen Sie einen Schlüssel im Schlüsselbund mit der entsprechenden Granularität für den Ressourcentyp, sofern ein solcher Schlüssel noch nicht vorhanden ist.
   3. Erstellen Sie das dienstkontospezifische Dienstkonto für das Projekt, sofern dieses Dienstkonto noch nicht vorhanden ist.
   4. Gewähren Sie dem dienstkontospezifischen Dienstkonto für das Projekt Berechtigungen zum Ver- und Entschlüsseln für den Schlüssel.
   5. Geben Sie dem Entwickler die Schlüsseldetails, damit er die Erstellung der Ressource abschließen kann.

3. Nachdem der Autokey-Dienst-Agent die Schlüsseldetails zurückgegeben hat, kann der Entwickler die Erstellung der geschützten Ressource sofort abschließen.

Cloud KMS Autokey erstellt Schlüssel mit den im nächsten Abschnitt beschriebenen Attributen. Dieser Ablauf zur Schlüsselerstellung sorgt für die Aufgabentrennung . Der Cloud KMS-Administrator hat weiterhin die volle Übersicht und Kontrolle über die von Autokey erstellten Schlüssel.

Informationen zur Verwendung von Autokey nach der Aktivierung finden Sie unter Geschützte Ressourcen mit Cloud KMS Autokey erstellen.

Von Autokey erstellte Schlüssel

Von Cloud KMS Autokey erstellte Schlüssel haben die folgenden Attribute:

• Schutzniveau:HSM.
• Algorithmus:AES-256 GCM.

• Rotationszeitraum:Ein Jahr.

  Nachdem ein Schlüssel von Autokey erstellt wurde, kann ein Cloud KMS Administrator den Rotationszeitraum vom Standardwert ändern.

• Aufgabentrennung:
  • Dem Dienstkonto für den Dienst werden automatisch Berechtigungen zum Ver- und Entschlüsseln für den Schlüssel gewährt.
  • Die Berechtigungen des Cloud KMS-Administrators gelten wie gewohnt für Schlüssel die von Autokey erstellt wurden. Cloud KMS-Administratoren können Schlüssel ansehen, aktualisieren, aktivieren oder deaktivieren und löschen, die von Autokey erstellt wurden. Cloud KMS-Administratoren erhalten keine Berechtigungen zum Ver- und Entschlüsseln.
  • Autokey-Entwickler können nur die Erstellung und Zuweisung von Schlüsseln anfordern. Sie können Schlüssel nicht ansehen oder verwalten.
• Schlüsselspezifität oder Granularität: Schlüssel, die von Autokey haben eine Granularität, die je nach Ressourcentyp variiert. Dienstspezifische Details zur Schlüsselgranularität finden Sie auf dieser Seite unter Kompatible Dienste.

• Standort: Autokey erstellt Schlüssel am selben Standort wie die zu schützende Ressource.

  Wenn Sie CMEK-geschützte Ressourcen an Standorten erstellen müssen, an denen Cloud HSM nicht verfügbar ist, müssen Sie Ihren CMEK manuell erstellen.

• Status der Schlüsselversion:Neu erstellte Schlüssel, die mit Autokey angefordert wurden werden als primäre Schlüsselversion im aktivierten Zustand erstellt.
• Benennung von Schlüsselbunden:Alle von Autokey erstellten Schlüssel werden in einem Schlüsselbund mit dem Namen autokey im Autokey-Projekt am ausgewählten Standort erstellt. Schlüsselbunde in Ihrem Autokey-Projekt werden erstellt, wenn ein Autokey-Entwickler den ersten Schlüssel an einem bestimmten Standort anfordert.
• Schlüsselbenennung: Schlüssel, die von Autokey erstellt wurden, folgen dieser Benennung skonvention: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Schlüsselexport: Wie alle Cloud KMS-Schlüssel können auch von Autokey erstellte Schlüssel nicht exportiert werden.
• Schlüsselverfolgung:Wie alle Cloud KMS-Schlüssel, die in CMEK-integrierten Diensten verwendet werden, die mit der Schlüsselverfolgung kompatibel sind, werden auch von Autokey erstellte Schlüssel im Cloud KMS-Dashboard verfolgt.

Autokey erzwingen

Wenn Sie die Verwendung von Autokey in einem Ordner oder Projekt erzwingen möchten, können Sie IAM-Zugriffssteuerungen mit CMEK-Organisationsrichtlinien kombinieren. Dazu werden die Berechtigungen zur Schlüsselerstellung für andere Prinzipale als den Autokey-Dienst-Agent entfernt. Anschließend müssen alle Ressourcen mit CMEK über das Autokey-Schlüsselprojekt geschützt werden. Eine detaillierte Anleitung zum Erzwingen der Verwendung von Autokey finden Sie unter Autokey-Verwendung erzwingen.

Kompatible Dienste

In der folgenden Tabelle sind die Dienste aufgeführt, die mit Cloud KMS Autokey kompatibel sind:

Dienst	Geschützte Ressourcen	Schlüsselgranularität
Artifact Registry	artifactregistry.googleapis.com/Repository Autokey erstellt Schlüssel während der Repository-Erstellung, die für alle gespeicherten Artefakte verwendet werden.	Ein Schlüssel pro Ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey erstellt Standardschlüssel für Datasets. Tabellen, Modelle, Abfragen und temporäre Tabellen in einem Dataset verwenden den Standardschlüssel des Datasets. Autokey erstellt keine Schlüssel für andere BigQuery-Ressourcen als Datasets. Wenn Sie Ressourcen schützen möchten, die nicht Teil eines Datasets sind, müssen Sie eigene Standardschlüssel auf Projekt- oder Organisationsebene erstellen.	Ein Schlüssel pro Ressource
Bigtable	bigtableadmin.googleapis.com/Cluster Autokey erstellt Schlüssel für Cluster. Autokey erstellt keine Schlüssel für andere Bigtable-Ressourcen als Cluster. Bigtable ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder dem Google Cloud SDK erstellt werden.	Ein Schlüssel pro Cluster
AlloyDB for PostgreSQL	alloydb.googleapis.com/Cluster alloydb.googleapis.com/Backup AlloyDB for PostgreSQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Cloud Run	run.googleapis.com/Service run.googleapis.com/Job	Ein Schlüssel pro Standort in einem Projekt
Cloud SQL	sqladmin.googleapis.com/Instance Autokey erstellt keine Schlüssel für Cloud SQL BackupRun Ressourcen. Wenn Sie eine Sicherung einer Cloud SQL-Instanz erstellen, wird die Sicherung mit dem vom Kunden verwalteten Schlüssel der primären Instanz verschlüsselt. Cloud SQL ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Cloud Storage	storage.googleapis.com/Bucket Objekte in einem Storage-Bucket verwenden den Standardschlüssel des Buckets. Autokey erstellt keine Schlüssel für storage.object Ressourcen.	Ein Schlüssel pro Bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Snapshots verwenden den Schlüssel für das Laufwerk, von dem Sie einen Snapshot erstellen. Autokey erstellt keine Schlüssel für compute.snapshot Ressourcen.	Ein Schlüssel pro Ressource
Pub/Sub	pubsub.googleapis.com/Topic	Ein Schlüssel pro Ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager ist nur dann mit Cloud KMS Autokey wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Standort in einem Projekt
Secure Source Manager	securesourcemanager.googleapis.com/Instance	Ein Schlüssel pro Ressource
Spanner	spanner.googleapis.com/Database Spanner ist nur dann mit Cloud KMS Autokey kompatibel, wenn Ressourcen mit Terraform oder der REST API erstellt werden.	Ein Schlüssel pro Ressource
Dataflow	dataflow.googleapis.com/Job	Ein Schlüssel pro Ressource
Dataproc	dataproc.googleapis.com/Cluster dataproc.googleapis.com/SessionTemplate dataproc.googleapis.com/WorkflowTemplate dataproc.googleapis.com/Batch dataproc.googleapis.com/Session	Für Cluster-, SessionTemplate- und WorkflowTemplate Ressourcen: Ein Schlüssel pro Ressource Für Batch- und Session-Ressourcen: Ein Schlüssel pro Standort in einem Projekt

Beschränkungen

• Die gcloud CLI ist für Autokey-Ressourcen nicht verfügbar.
• Schlüssel-Handles sind nicht in Cloud Asset Inventory enthalten.

Nächste Schritte

• Um Cloud KMS Autokey zu verwenden, muss ein Administrator Cloud KMS Autokey aktivieren.
• Nach der Aktivierung von Cloud KMS Autokey kann ein Entwickler CMEK-geschützte Ressourcen mit Autokey erstellen.
• Informationen zu Best Practices für CMEK.