堆栈内存溢出
  简体   繁体   English

强制在 KMS 中使用 EKM(外部管理密钥)的 GCP 政策

[英]GCP policy to enforce to use EKM (externally managed key) in KMS

 原文  2022-03-08 04:25:44       google-cloud-platform/ google-cloud-kms

问题描述

Anyone knows how can we enforce the use of EKM (externally managed key) in the GCP KMS?任何人都知道我们如何在 GCP KMS 中强制使用 EKM(外部管理密钥)? I would like to avoid using Google-generated keys in the KMS as per our company policy.根据我们公司的政策,我想避免在 KMS 中使用 Google 生成的密钥。

Thanks谢谢

1 个解决方案

解决方案1
 0  2022-03-08 09:47:50

External key manager (EKM) is the key manager used outside of Google Cloud to manage your keys.外部密钥管理器 (EKM) 是在 Google Cloud 外部使用的密钥管理器,用于管理您的密钥。 You can create and manage external keys either via the inte.net or via a Virtual Private Cloud (VPC) .您可以通过 inte.net虚拟私有云 (VPC)创建和管理外部密钥。 The key resides on the external system, and is never sent to Google.密钥驻留在外部系统上,永远不会发送给 Google。

You can store external keys in the following external key management partner systems:您可以将外部密钥存储在以下外部密钥管理合作伙伴系统中:
Supported today:今天支持:
Fortanix堡垒之夜
Futurex期货交易所
Thales泰雷兹
Virtru虚拟

With Cloud EKM, you can use keys that you manage within a supported external key management partner to protect data within Google Cloud.借助 Cloud EKM,您可以使用在受支持的外部密钥管理合作伙伴中管理的密钥来保护 Google Cloud 中的数据。 You can protect data at rest in supported CMEK integration services , or by calling the Cloud Key Management Service API directly.您可以在支持的 CMEK 集成服务中拨打 rest 保护数据,或直接拨打云密钥管理服务 API。

For more information on EKM refer to the documentation google-kms-ekm .有关 EKM 的更多信息,请参阅文档google-kms-ekm

EDIT-1编辑-1

Below procedure to implement EKM :以下是实施 EKM的程序:

  1. First, you need to create or use an existing key in a supported external key management partner system .首先,您需要在受支持的外部密钥管理合作伙伴系统中创建或使用现有密钥。 This key has a unique URI or key path.此密钥具有唯一的 URI 或密钥路径。

  2. Next, you can grant your Google Cloud project access to use the key, in the external key management partner system.接下来,您可以在外部密钥管理合作伙伴系统中授予您的 Google Cloud 项目使用密钥的权限。

  3. In your Google Cloud project, you create a Cloud EKM key, using the URI or key path for the externally-managed key.在您的 Google Cloud 项目中,您使用外部管理密钥的 URI 或密钥路径创建 Cloud EKM 密钥。

You can also follow the step-by-step instructions to create a Cloud EKM key accessed via the inte.net or create a Cloud EKM key accessed via a VPC您还可以按照分步说明 创建通过 inte.net 访问的 Cloud EKM 密钥创建通过 VPC 访问的 Cloud EKM 密钥

EKM while creating VM :创建 VM 时的 EKM

Console -> Compute Engine -> VM Instances -> Create Instance -> Boot disk -> CHANGE -> SHOW ADVANCED CONFIGURATION -> Encryption -> choose the encryption management solution you want to use for the disk. Console -> Compute Engine -> VM Instances -> Create Instance -> Boot disk -> CHANGE -> SHOW ADVANCED CONFIGURATION -> Encryption -> 选择要用于磁盘的加密管理解决方案。

EKM while creating storage bucket:创建存储桶时的 EKM:

Console -> Cloud Storage -> Create Bucket -> Choose how to protect object data -> Enable “customer managed encryption key” By default “Google-managed key” Encryption type will be used.控制台 -> 云存储 -> 创建存储桶 -> 选择如何保护 object 数据 -> 启用“客户管理的加密密钥” 默认情况下将使用“谷歌管理的密钥”加密类型。 The Cloud Console cannot be used to upload an object with a customer-supplied encryption key. Cloud Console 不能用于上传带有客户提供的加密密钥的 object。 Use gsutil or the client libraries instead.请改用 gsutil 或客户端库。

For more information refer to the documentation cloud storage customer supplied encryption keys .有关详细信息,请参阅文档云存储客户提供的加密密钥

EDIT -2编辑-2

Currently it is impossible to enforce EKM as an organization policy constraint.目前不可能将 EKM 作为组织策略约束来执行。

There is a Feature Request on this similar requirement where the product team is working.产品团队正在工作的地方有一个关于此类似要求的功能请求。 You can track the issue here .您可以在此处跟踪问题。

As a temporary workaround you can create a log-based alert or metric and filter the audit log with "kmsKeyName" keyword or exclude the keyword for non CMEK logs.作为临时解决方法,您可以创建基于日志的警报或指标,并使用“kmsKeyName”关键字过滤审核日志或排除非 CMEK 日志的关键字。

protoPayload.authenticationInfo.principalEmail="SA to filter" protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" "kmsKeyName". protoPayload.authenticationInfo.principalEmail="SA 过滤" protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" "kmsKeyName"。

Note that the query can be modified based on your use case.请注意,可以根据您的用例修改查询。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 授予在 GCP 中使用特定 KMS 密钥的权限 - Grant permission to use specific KMS key in GCP 在Go创建KMS密钥策略 - Create KMS key policy in Go KMS 密钥策略通配符主体 - KMS Key Policy wildcard principal 使用 BYOK 解决方案使用 GCP_KMS 管理密钥轮换 - Managing key rotations with GCP_KMS with BYOK solution 是否有可以用作 MS SQL 服务器的 EKM 的 GCP 服务? - Is there a GCP service that could be used as EKM for MS SQL Server? 如何在 S3 加密中启用 AWS 托管密钥 (aws/s3) 作为 AWS KMS 密钥 - How to enable AWS managed key (aws/s3) as a AWS KMS key in S3 encryption AWS 托管密钥加密的 AWS 跨账户 S3 PutObject 中未找到 KMS 异常 - KMS Not found Exception in AWS Cross Account S3 PutObject encrypted by AWS Managed Key 使用 KMS 密钥在 Terraform 中为 GCP 创建虚拟机时出错(创建实例时出错:googleapi:错误 503) - Error creating a VM in Terraform for GCP with KMS key (Error creating instance: googleapi: Error 503) GCP Vertex AI 托管笔记本无法使用自定义容器 - GCP Vertex AI Managed Notebook cannot use custom container AWS KMS 如何确定解密时使用哪个密钥? - How AWS KMS determine which key to use when decrypt?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM