强制在 KMS 中使用 EKM（外部管理密钥）的 GCP 政策

Question

任何人都知道我们如何在 GCP KMS 中强制使用 EKM（外部管理密钥）？ 根据我们公司的政策，我想避免在 KMS 中使用 Google 生成的密钥。

谢谢

Answer 1

外部密钥管理器 (EKM) 是在 Google Cloud 外部使用的密钥管理器，用于管理您的密钥。 您可以通过 inte.net或虚拟私有云 (VPC)创建和管理外部密钥。 密钥驻留在外部系统上，永远不会发送给 Google。

您可以将外部密钥存储在以下外部密钥管理合作伙伴系统中：
今天支持：
堡垒之夜
期货交易所
泰雷兹
虚拟

借助 Cloud EKM，您可以使用在受支持的外部密钥管理合作伙伴中管理的密钥来保护 Google Cloud 中的数据。 您可以在支持的 CMEK 集成服务中拨打 rest 保护数据，或直接拨打云密钥管理服务 API。

有关 EKM 的更多信息，请参阅文档google-kms-ekm 。

编辑-1

以下是实施 EKM的程序：

1. 首先，您需要在受支持的外部密钥管理合作伙伴系统中创建或使用现有密钥。 此密钥具有唯一的 URI 或密钥路径。

2. 接下来，您可以在外部密钥管理合作伙伴系统中授予您的 Google Cloud 项目使用密钥的权限。

3. 在您的 Google Cloud 项目中，您使用外部管理密钥的 URI 或密钥路径创建 Cloud EKM 密钥。

您还可以按照分步说明 创建通过 inte.net 访问的 Cloud EKM 密钥或创建通过 VPC 访问的 Cloud EKM 密钥

创建 VM 时的 EKM ：

Console -> Compute Engine -> VM Instances -> Create Instance -> Boot disk -> CHANGE -> SHOW ADVANCED CONFIGURATION -> Encryption -> 选择要用于磁盘的加密管理解决方案。

创建存储桶时的 EKM：

控制台 -> 云存储 -> 创建存储桶 -> 选择如何保护 object 数据 -> 启用“客户管理的加密密钥” 默认情况下将使用“谷歌管理的密钥”加密类型。 Cloud Console 不能用于上传带有客户提供的加密密钥的 object。 请改用 gsutil 或客户端库。

有关详细信息，请参阅文档云存储客户提供的加密密钥。

编辑-2

目前不可能将 EKM 作为组织策略约束来执行。

产品团队正在工作的地方有一个关于此类似要求的功能请求。 您可以在此处跟踪问题。

作为临时解决方法，您可以创建基于日志的警报或指标，并使用“kmsKeyName”关键字过滤审核日志或排除非 CMEK 日志的关键字。

protoPayload.authenticationInfo.principalEmail="SA 过滤" protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" "kmsKeyName"。

请注意，可以根据您的用例修改查询。