本頁面會比較 Cloud KMS 支援的不同防護等級:
- 軟體
- 具有
SOFTWARE防護等級的 Cloud KMS 金鑰,可用於在軟體中執行的加密編譯作業。Cloud KMS 金鑰可由 Google 產生或匯入。 - 硬體
- 防護等級為
HARDWARE的 Cloud HSM 金鑰會儲存在 Google 自有的硬體安全性模組 (HSM) 中。使用這些金鑰的加密編譯作業會在 HSM 中執行。您可以使用 Cloud HSM 金鑰,就像使用 Cloud KMS 金鑰一樣。Cloud HSM 金鑰可以由 Google 產生或匯入。 - 透過網路
- 系統會產生具有
EXTERNAL防護等級的 Cloud EKM 金鑰,並儲存在外部金鑰管理 (EKM) 系統中。Cloud EKM 會儲存其他密碼編譯資料和專屬金鑰的路徑,用於透過網際網路存取金鑰。 - 透過虛擬私有雲連線
- 具有
EXTERNAL_VPC保護等級的 Cloud EKM 金鑰會產生並儲存在外部金鑰管理 (EKM) 系統中。Cloud EKM 會儲存額外的加密資料和專屬金鑰路徑,用於透過虛擬私有雲 (VPC) 網路存取金鑰。
具備所有這些防護層級的金鑰都具有下列功能:
使用客戶自行管理的加密金鑰 (CMEK) 整合Google Cloud 服務的金鑰。
搭配 Cloud KMS API 或用戶端程式庫使用金鑰,無須根據金鑰的保護等級編寫任何專屬程式碼。
使用 Identity and Access Management (IAM) 角色控管金鑰存取權。
控制每個金鑰版本在 Cloud KMS 中的狀態,可設為「已啟用」或「已停用」。
稽核記錄會記錄重要作業。可啟用資料存取記錄功能。
軟體防護等級
Cloud KMS 會使用 BoringCrypto 模組 (BCM) 執行軟體金鑰的所有加密編譯作業。BCM 已通過 FIPS 140-2 驗證。Cloud KMS 軟體金鑰會使用 BCM 的 FIPS 140-2 第 1 級驗證加密編譯基元。
軟體防護等級是價格最便宜的防護等級。 如果用途不受較高 FIPs 140-2 驗證層級的特定法規限制,則可考慮使用軟體金鑰。硬體防護等級
Cloud HSM 可協助您在Google Cloud中為工作負載強制執行法規遵循要求。您可以使用 Cloud HSM 產生加密金鑰,並在 FIPS 140-2 第 3 級驗證的 HSM 執行密碼編譯作業。這項服務為全代管服務,因此您可以保護最機密的工作負載,而且不必擔心管理 HSM 叢集會產生額外的費用。Cloud HSM 在 HSM 模組上提供一層抽象層。有了這個抽象層,您就能在 CMEK 整合作業中使用金鑰,或在 Cloud KMS API 或用戶端程式庫中使用金鑰,而無須使用 HSM 專屬程式碼。
硬體金鑰版本的價格較高,但相較於軟體金鑰,硬體金鑰可提供更完善的安全性。 每個 Cloud HSM 金鑰都有認證聲明,其中包含金鑰的認證資訊。這項認證及其相關聯的憑證鏈結可用於驗證聲明的真實性,以及金鑰和 HSM 的屬性。外部防護等級
Cloud External Key Manager (Cloud EKM) 金鑰是您在支援的外部金鑰管理 (EKM) 合作夥伴服務中管理,並在Google Cloud 服務、Cloud KMS API 和用戶端程式庫中使用的金鑰。Cloud EKM 金鑰可由軟體或硬體支援,具體取決於 EKM 供應商。您可以在整合 CMEK 的服務中使用 Cloud EKM 金鑰,也可以使用 Cloud KMS API 和用戶端程式庫。
Cloud EKM 防護等級的費用最高。 使用 Cloud EKM 金鑰時,您可以確保 Google Cloud 無法存取金鑰內容。如要查看哪些 CMEK 整合服務支援 Cloud EKM 金鑰,請參閱「CMEK 整合」並套用「僅顯示與 EKM 相容的服務」篩選器。
透過網際網路在外部執行的保護層級
您可以在 Cloud KMS 支援的所有位置 (nam-eur-asia1 和 global 除外) 透過網際網路使用 Cloud EKM 金鑰。
外部虛擬私有雲保護層級
您可以透過虛擬私有雲網路使用 Cloud EKM 金鑰,讓外部金鑰的使用率更高。可用性提升,代表 Cloud EKM 金鑰和其保護的資源,發生無法使用的機率會降低。
您可以在 Cloud KMS 支援的大多數地區位置,透過 VPC 網路使用 Cloud EKM 金鑰。 在多區域位置中,無法透過虛擬私有雲網路使用 Cloud EKM。