Google Cloud KMS(密鑰管理服務(wù))概述,如何卸載adobe creativecloudGoogle Cloud KMS(密鑰管理服務(wù))概述Google Cloud KMS(密鑰管理服務(wù))概述Google中的靜態(tài)加密選項有如下3種,并且已經(jīng)介紹了“默認(rèn)加密”和“客戶提供的加密密鑰(CSEK)”方式?,F(xiàn)在開始......
Google Cloud KMS(密鑰管理服務(wù))概述
Google中的靜態(tài)加密選項有如下3種,并且已經(jīng)介紹了“默認(rèn)加密”和“客戶提供的加密密鑰(CSEK)”方式?,F(xiàn)在開始介紹第3種——Gloud KMS。
通過Cloud KMS,您可以將加密密鑰保存在一個中央云服務(wù)中,供其他云資源和應(yīng)用直接使用。借助Cloud KMS,您將成為數(shù)據(jù)的最終監(jiān)護(hù)人,可以按照與本地部署時相同的方式在云中管理加密密鑰,并且您對數(shù)據(jù)具有可證明且可監(jiān)控的信任根。
加密密鑰管理
Cloud KMS是一項云托管式密鑰管理服務(wù),讓您能夠使用與本地部署時相同的方式為云服務(wù)管理加密密鑰。您可以生成、使用、輪替和銷毀AES256、RSA 2048、RSA 3072、RSA 4096、EC P256和EC P384加密密鑰。Cloud KMS已與Cloud IAM和Cloud Audit Logging集成,因而您可以管理各個密鑰的權(quán)限并監(jiān)控它們的使用情況。您可以使用Cloud KMS保護(hù)您要存儲在Google Cloud Platform之中的密文和其他敏感數(shù)據(jù)。
可擴縮、自動化、速度快
您可以保有多達(dá)數(shù)百萬個加密密鑰,因此可自行選擇要以怎樣的精細(xì)程度來加密數(shù)據(jù)。如果將密鑰設(shè)置為定期自動輪替,您就可以定期使用新的主版本密鑰來加密數(shù)據(jù),還可以限制使用任一密鑰版本可訪問的數(shù)據(jù)范圍。您可以根據(jù)需要保留任意多個有效的密鑰版本。我們的低延遲能確保您可以快速訪問密鑰。
更好地管理密鑰的使用
管理Cloud IAM權(quán)限,以便分別設(shè)置各個密鑰的用戶級權(quán)限,并為用戶和服務(wù)帳號授予訪問權(quán)限。借助Cloud KMS集中過濾您最敏感的數(shù)據(jù)的訪問權(quán)限,通過Cloud Audit Logging查看管理員活動和密鑰使用日志。監(jiān)控日志以確保對密鑰的使用沒有不當(dāng)之處。
輕松對數(shù)據(jù)進(jìn)行加密和簽名
Cloud KMS讓您可以靈活地使用對稱或不對稱密鑰來加密數(shù)據(jù),而且保證一切都盡在您掌控之中。您還可以使用各種長度的RSA和橢圓曲線密鑰執(zhí)行簽名操作。
實現(xiàn)信封加密
使用由Cloud KMS中的KEK(密鑰加密密鑰)保護(hù)的本地DEK(數(shù)據(jù)加密密鑰)實現(xiàn)密鑰層次結(jié)構(gòu)。不管密鑰是用于加密您在應(yīng)用層的數(shù)據(jù)、保存在存儲系統(tǒng)中的數(shù)據(jù)、托管在Google的數(shù)據(jù)還是其他任何位置的數(shù)據(jù),都可對其進(jìn)行管理。
幫助滿足法規(guī)遵從需求
借助Cloud KMS,您可以利用客戶管理的加密密鑰(CMEK),管理用于保護(hù)GCP內(nèi)駐留的敏感數(shù)據(jù)的加密密鑰。如果法規(guī)要求您在硬件環(huán)境內(nèi)執(zhí)行密鑰和加密操作,Cloud KMS與Cloud HSM的集成讓您可以輕松創(chuàng)建由FIPS 1402 3級設(shè)備保護(hù)的密鑰。
Cloud KMS特性
在Google Cloud Platform上管理加密密鑰。
對稱和不對稱密鑰支持
Cloud KMS支持創(chuàng)建、使用、輪替、自動輪替、銷毀AES256對稱加密密鑰,以及RSA 2048、RSA 3072、RSA 4096、EC P256和EC P384不對稱加密密鑰。
通過API進(jìn)行加密和解密
Cloud KMS是一種REST API,可使用密鑰對存儲的數(shù)據(jù)(例如密文)進(jìn)行加密或解密。
自動輪替和按需輪替
Cloud KMS允許您根據(jù)需要輪替密鑰,也支持為對稱密鑰設(shè)置輪替計劃,以便按固定的時間間隔來生成新的密鑰版本。一個對稱密鑰在任何時間都可存在多個有效版本以用于解密,但只有一個主密鑰版本用于加密新數(shù)據(jù)。
密鑰銷毀延遲
Cloud KMS為密鑰的實質(zhì)性銷毀內(nèi)置了24小時的延遲,以防止意外丟失數(shù)據(jù)或因惡意行為而造成數(shù)據(jù)丟失。
全球高可用性
Cloud KMS在全球多個位置、多個區(qū)域提供服務(wù),方便您將服務(wù)置于所需位置以縮短延遲時間、提高可用性。
集成GKE
在GKE中利用您在Cloud KMS中管理的密鑰,實現(xiàn)應(yīng)用層Kubernetes密文加密。
首席技術(shù)官Leonard Austin,Ravelin稱:“Google的默認(rèn)加密方式是公開透明的,Cloud KMS則令實施最佳做法變得簡單。自動密鑰輪替等功能使我們能夠頻繁地輪替密鑰而不產(chǎn)生額外開銷,并滿足我們的內(nèi)部合規(guī)性需求。Cloud KMS的延遲時間很低,因此我們可以將其用于頻繁執(zhí)行的操作。這使我們能夠擴展要加密的數(shù)據(jù)的范圍,從敏感數(shù)據(jù)到不需要編入索引的運營數(shù)據(jù),不一而足。”
Cloud KMS創(chuàng)建和使用加密密鑰
本快速入門介紹了如何使用Google Cloud Key Management Service創(chuàng)建和使用加密密鑰。
本快速入門使用命令行將請求發(fā)國際快遞Cloud KMS API。如需了解使用客戶端庫向Cloud KMS API發(fā)快遞請求的編程示例,請參閱加密和解密。
準(zhǔn)備工作
1.登錄您的Google帳號。
如果您還沒有Google帳號,請注冊新帳號。
2.In the GCP Console,go to the Manageresources page and select or create a project.
Note:If you dont plan to keep theresources you create in this tutorial,create a new project instead ofselecting an existing project.After you finish,you can delete the project,removing all resources associated with the project and tutorial.
GO TO THE MANAGE RESOURCES PAGE
3.確保您的項目已啟用結(jié)算功能。
了解如何啟用結(jié)算功能
4.啟用Cloud KMS API。
啟用API
5.Install andinitialize the Cloud SDK.
重要提示:本快速入門將創(chuàng)建Cloud KMS資源,例如密鑰環(huán)和密鑰。這些資源一經(jīng)創(chuàng)建將無法刪除。
密鑰環(huán)和密鑰
要對內(nèi)容進(jìn)行加密和解密,您需要一個Cloud KMS密鑰,該密鑰是密鑰環(huán)的一部分。
創(chuàng)建名為test的密鑰環(huán)和名為quickstart的密鑰。如需了解有關(guān)這些對象及其相互關(guān)系的更多信息,請參閱對象層次結(jié)構(gòu)概覽。
gcloud kms keyrings create testlocation global
gcloud kms keys create quickstartlocation global
keyring testpurpose encryption
您可以使用list選項查看剛剛創(chuàng)建的密鑰的名稱和元數(shù)據(jù)。
gcloud kms keys listlocation globalkeyring test
您應(yīng)該會看到以下結(jié)果:
NAME PURPOSE PRIMARYSTATE
projects/[PROJECTID]/locations/global/keyRings/test/cryptoKeys/quickstart ENCRYPTDECRYPT ENABLED
加密數(shù)據(jù)
現(xiàn)在您有了密鑰,您可以使用該密鑰對文本或二進(jìn)制內(nèi)容進(jìn)行加密。
將“some text to be encrypted”存儲在名為“mysecret.txt”的文件中。
echonSome text to be encryptedgt;mysecret.txt
要使用gcloud kms encrypt對數(shù)據(jù)進(jìn)行加密,請?zhí)峁┟荑€信息,指定要加密的純文本文件的名稱,然后指定包含加密后內(nèi)容的文件的名稱。
gcloud kms encryptlocation global
keyring testkey quickstart
plaintextfile mysecret.txt
ciphertextfile mysecret.txt.encrypted
encrypt方法將會把加密后的內(nèi)容保存在ciphertextfile標(biāo)志指定的文件中。
對密文進(jìn)行解密
要使用gcloud kms decrypt數(shù)據(jù)進(jìn)行解密,請?zhí)峁┟荑€信息,指定要解密的已加密文件(密文文件)的名稱,然后指定包含解密后內(nèi)容的文件的名稱。
gcloud kms decryptlocation global
keyring testkey quickstart
ciphertextfile mysecret.txt.encrypted
plaintextfile mysecret.txt.decrypted
decrypt方法將會把解密后的內(nèi)容保存在plaintextfile標(biāo)志指定的文件中。
要對已加密內(nèi)容進(jìn)行解密,您必須使用加密該內(nèi)容時使用的相同密鑰。
清理
為避免系統(tǒng)因本快速入門中使用的資源向您的GCP帳號收取費用,請執(zhí)行以下操作:
列出您的密鑰可用的版本:
gcloud kms keys versions listlocation global
keyring testkey quickstart
要銷毀版本,請運行以下命令,將[VERSIONNUMBER]替換為要銷毀的版本號:
重要提示:銷毀密鑰版本時,您無法再對使用該密鑰版本加密的內(nèi)容進(jìn)行解密。在銷毀之前,請確保您不再需要該密鑰版本。
gcloud kms keys versions destroy[VERSIONNUMBER]
location globalkeyring testkey quickstart
CLOUD KMS價格
Cloud KMS的價格包含每個密鑰版本的固定費用以及密鑰操作的用量費用。
如果您使用非美元貨幣付費,請參閱Cloud Platform SKU上以您的幣種列出的價格。
價格概覽
Cloud KMS的價格取決于有效密鑰版本的數(shù)量、各個密鑰版本的保護(hù)級別以及密鑰操作的用量費率。對于保護(hù)級別為SOFTWARE的密鑰,非對稱密鑰和對稱密鑰的價格相同。
說明
1.處于以下任何狀態(tài)的密鑰版本均屬于有效版本:
·已啟用
·已停用
·已安排銷毀
2.Cloud KMS每月按照您當(dāng)月?lián)碛械挠行荑€版本數(shù)量來計算費用。此費用不會四舍五入,而是基于實際的消費。也就是說,如果您的密鑰版本僅在2天內(nèi)處于有效狀態(tài),那么您將按照該用量按比例付費,而不是支付整月的費用。
3.Cloud KMS以每10000次操作為單位計算密鑰操作的費用。此費用不會四舍五入,而是基于實際的消費。也就是說,如果您的項目執(zhí)行了25000次密鑰操作,那么您將需要支付2.5個10000次操作的費用。
價格示例
在本例中,我們將展示一個在您剛剛開始使用Cloud KMS時可能會遇到的簡單場景。為了簡化計算,我們采用月度結(jié)算周期。
假設(shè)您在某個月份的密鑰使用情況如下:
·100個保護(hù)級別為SOFTWARE的密鑰(CryptoKeys),每個密鑰有5個有效版本,總共有500個密鑰版本(CryptoKeyVersions)。
·10萬次用于對稱加密和解密的密鑰使用操作。(密鑰管理操作免費。)
·10000次用于檢索非對稱密鑰公鑰的密鑰使用操作。
·50000次用于非對稱簽名的密鑰使用操作。
您當(dāng)月支付的費用計算如下:
·500個密鑰版本,每個$0.06,共計$30.00。
·10萬次用于對稱加密和解密的密鑰使用操作,每10000次操作$0.03,共計$0.30。
·10000次用于檢索公鑰的密鑰使用操作,每10000次操作$0.03,共計$0.03。
·50000次用于非對稱簽名的密鑰使用操作,每10000次操作$0.03,共計$0.15。
本價格示例的總計:$30.48
查看用量
Google CloudPlatform Console可為您提供每個項目的交易記錄,其中會說明您的當(dāng)前余額以及具體項目的估算資源用量。
要查看某個項目的交易記錄,請轉(zhuǎn)到估算的結(jié)算帳單頁面。
保護(hù)級別
保護(hù)級別指示加密操作的執(zhí)行方式。創(chuàng)建密鑰后,無法更改其保護(hù)級別。
SOFTWARE和HSM保護(hù)級別均支持所有密鑰用途。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部