[英]GCP policy to enforce to use EKM (externally managed key) in KMS
Anyone knows how can we enforce the use of EKM (externally managed key) in the GCP KMS?任何人都知道我们如何在 GCP KMS 中强制使用 EKM(外部管理密钥)? I would like to avoid using Google-generated keys in the KMS as per our company policy.
根据我们公司的政策,我想避免在 KMS 中使用 Google 生成的密钥。
Thanks谢谢
External key manager (EKM) is the key manager used outside of Google Cloud to manage your keys.外部密钥管理器 (EKM) 是在 Google Cloud 外部使用的密钥管理器,用于管理您的密钥。 You can create and manage external keys either via the inte.net or via a Virtual Private Cloud (VPC) .
您可以通过 inte.net或虚拟私有云 (VPC)创建和管理外部密钥。 The key resides on the external system, and is never sent to Google.
密钥驻留在外部系统上,永远不会发送给 Google。
You can store external keys in the following external key management partner systems:您可以将外部密钥存储在以下外部密钥管理合作伙伴系统中:
Supported today:今天支持:
Fortanix堡垒之夜
Futurex期货交易所
Thales泰雷兹
Virtru虚拟
With Cloud EKM, you can use keys that you manage within a supported external key management partner to protect data within Google Cloud.借助 Cloud EKM,您可以使用在受支持的外部密钥管理合作伙伴中管理的密钥来保护 Google Cloud 中的数据。 You can protect data at rest in supported CMEK integration services , or by calling the Cloud Key Management Service API directly.
您可以在支持的 CMEK 集成服务中拨打 rest 保护数据,或直接拨打云密钥管理服务 API。
For more information on EKM refer to the documentation google-kms-ekm .有关 EKM 的更多信息,请参阅文档google-kms-ekm 。
EDIT-1编辑-1
Below procedure to implement EKM :以下是实施 EKM的程序:
First, you need to create or use an existing key in a supported external key management partner system .首先,您需要在受支持的外部密钥管理合作伙伴系统中创建或使用现有密钥。 This key has a unique URI or key path.
此密钥具有唯一的 URI 或密钥路径。
Next, you can grant your Google Cloud project access to use the key, in the external key management partner system.接下来,您可以在外部密钥管理合作伙伴系统中授予您的 Google Cloud 项目使用密钥的权限。
In your Google Cloud project, you create a Cloud EKM key, using the URI or key path for the externally-managed key.在您的 Google Cloud 项目中,您使用外部管理密钥的 URI 或密钥路径创建 Cloud EKM 密钥。
You can also follow the step-by-step instructions to create a Cloud EKM key accessed via the inte.net or create a Cloud EKM key accessed via a VPC您还可以按照分步说明 创建通过 inte.net 访问的 Cloud EKM 密钥或创建通过 VPC 访问的 Cloud EKM 密钥
EKM while creating VM :创建 VM 时的 EKM :
Console -> Compute Engine -> VM Instances -> Create Instance -> Boot disk -> CHANGE -> SHOW ADVANCED CONFIGURATION -> Encryption -> choose the encryption management solution you want to use for the disk. Console -> Compute Engine -> VM Instances -> Create Instance -> Boot disk -> CHANGE -> SHOW ADVANCED CONFIGURATION -> Encryption -> 选择要用于磁盘的加密管理解决方案。
EKM while creating storage bucket:创建存储桶时的 EKM:
Console -> Cloud Storage -> Create Bucket -> Choose how to protect object data -> Enable “customer managed encryption key” By default “Google-managed key” Encryption type will be used.控制台 -> 云存储 -> 创建存储桶 -> 选择如何保护 object 数据 -> 启用“客户管理的加密密钥” 默认情况下将使用“谷歌管理的密钥”加密类型。 The Cloud Console cannot be used to upload an object with a customer-supplied encryption key.
Cloud Console 不能用于上传带有客户提供的加密密钥的 object。 Use gsutil or the client libraries instead.
请改用 gsutil 或客户端库。
For more information refer to the documentation cloud storage customer supplied encryption keys .有关详细信息,请参阅文档云存储客户提供的加密密钥。
EDIT -2编辑-2
Currently it is impossible to enforce EKM as an organization policy constraint.目前不可能将 EKM 作为组织策略约束来执行。
There is a Feature Request on this similar requirement where the product team is working.产品团队正在工作的地方有一个关于此类似要求的功能请求。 You can track the issue here .
您可以在此处跟踪问题。
As a temporary workaround you can create a log-based alert or metric and filter the audit log with "kmsKeyName" keyword or exclude the keyword for non CMEK logs.作为临时解决方法,您可以创建基于日志的警报或指标,并使用“kmsKeyName”关键字过滤审核日志或排除非 CMEK 日志的关键字。
protoPayload.authenticationInfo.principalEmail="SA to filter" protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" "kmsKeyName". protoPayload.authenticationInfo.principalEmail="SA 过滤" protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" "kmsKeyName"。
Note that the query can be modified based on your use case.请注意,可以根据您的用例修改查询。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.