Google Cloud KMS（密鑰管理服務(wù)）概述,dubbo spring cloud 區(qū)別

Google Cloud KMS（密鑰管理服務(wù)）概述

Google Cloud KMS（密鑰管理服務(wù)）概述

Google中的靜態(tài)加密選項(xiàng)有如下3種，并且已經(jīng)介紹了“默認(rèn)加密”和“客戶提供的加密密鑰（CSEK）”方式。現(xiàn)在開始介紹第3種——Gloud KMS。

通過(guò)Cloud KMS，您可以將加密密鑰保存在一個(gè)中央云服務(wù)中，供其他云資源和應(yīng)用直接使用。借助Cloud KMS，您將成為數(shù)據(jù)的最終監(jiān)護(hù)人，可以按照與本地部署時(shí)相同的方式在云中管理加密密鑰，并且您對(duì)數(shù)據(jù)具有可證明且可監(jiān)控的信任根。

加密密鑰管理

Cloud KMS是一項(xiàng)云托管式密鑰管理服務(wù)，讓您能夠使用與本地部署時(shí)相同的方式為云服務(wù)管理加密密鑰。您可以生成、使用、輪替和銷毀AES256、RSA 2048、RSA 3072、RSA 4096、EC P256和EC P384加密密鑰。Cloud KMS已與Cloud IAM和Cloud Audit Logging集成，因而您可以管理各個(gè)密鑰的權(quán)限并監(jiān)控它們的使用情況。您可以使用Cloud KMS保護(hù)您要存儲(chǔ)在Google Cloud Platform之中的密文和其他敏感數(shù)據(jù)。

可擴(kuò)縮、自動(dòng)化、速度快

您可以保有多達(dá)數(shù)百萬(wàn)個(gè)加密密鑰，因此可自行選擇要以怎樣的精細(xì)程度來(lái)加密數(shù)據(jù)。如果將密鑰設(shè)置為定期自動(dòng)輪替，您就可以定期使用新的主版本密鑰來(lái)加密數(shù)據(jù)，還可以限制使用任一密鑰版本可訪問(wèn)的數(shù)據(jù)范圍。您可以根據(jù)需要保留任意多個(gè)有效的密鑰版本。我們的低延遲能確保您可以快速訪問(wèn)密鑰。

更好地管理密鑰的使用

管理Cloud IAM權(quán)限，以便分別設(shè)置各個(gè)密鑰的用戶級(jí)權(quán)限，并為用戶和服務(wù)帳號(hào)授予訪問(wèn)權(quán)限。借助Cloud KMS集中過(guò)濾您最敏感的數(shù)據(jù)的訪問(wèn)權(quán)限，通過(guò)Cloud Audit Logging查看管理員活動(dòng)和密鑰使用日志。監(jiān)控日志以確保對(duì)密鑰的使用沒(méi)有不當(dāng)之處。

輕松對(duì)數(shù)據(jù)進(jìn)行加密和簽名

Cloud KMS讓您可以靈活地使用對(duì)稱或不對(duì)稱密鑰來(lái)加密數(shù)據(jù)，而且保證一切都盡在您掌控之中。您還可以使用各種長(zhǎng)度的RSA和橢圓曲線密鑰執(zhí)行簽名操作。

實(shí)現(xiàn)信封加密

使用由Cloud KMS中的KEK（密鑰加密密鑰）保護(hù)的本地DEK（數(shù)據(jù)加密密鑰）實(shí)現(xiàn)密鑰層次結(jié)構(gòu)。不管密鑰是用于加密您在應(yīng)用層的數(shù)據(jù)、保存在存儲(chǔ)系統(tǒng)中的數(shù)據(jù)、托管在Google的數(shù)據(jù)還是其他任何位置的數(shù)據(jù)，都可對(duì)其進(jìn)行管理。

幫助滿足法規(guī)遵從需求

借助Cloud KMS，您可以利用客戶管理的加密密鑰(CMEK)，管理用于保護(hù)GCP內(nèi)駐留的敏感數(shù)據(jù)的加密密鑰。如果法規(guī)要求您在硬件環(huán)境內(nèi)執(zhí)行密鑰和加密操作，Cloud KMS與Cloud HSM的集成讓您可以輕松創(chuàng)建由FIPS 1402 3級(jí)設(shè)備保護(hù)的密鑰。

Cloud KMS特性

在Google Cloud Platform上管理加密密鑰。

對(duì)稱和不對(duì)稱密鑰支持

Cloud KMS支持創(chuàng)建、使用、輪替、自動(dòng)輪替、銷毀AES256對(duì)稱加密密鑰，以及RSA 2048、RSA 3072、RSA 4096、EC P256和EC P384不對(duì)稱加密密鑰。

通過(guò)API進(jìn)行加密和解密

Cloud KMS是一種REST API，可使用密鑰對(duì)存儲(chǔ)的數(shù)據(jù)（例如密文）進(jìn)行加密或解密。

自動(dòng)輪替和按需輪替

Cloud KMS允許您根據(jù)需要輪替密鑰，也支持為對(duì)稱密鑰設(shè)置輪替計(jì)劃，以便按固定的時(shí)間間隔來(lái)生成新的密鑰版本。一個(gè)對(duì)稱密鑰在任何時(shí)間都可存在多個(gè)有效版本以用于解密，但只有一個(gè)主密鑰版本用于加密新數(shù)據(jù)。

密鑰銷毀延遲

Cloud KMS為密鑰的實(shí)質(zhì)性銷毀內(nèi)置了24小時(shí)的延遲，以防止意外丟失數(shù)據(jù)或因惡意行為而造成數(shù)據(jù)丟失。

全球高可用性

Cloud KMS在全球多個(gè)位置、多個(gè)區(qū)域提供服務(wù)，方便您將服務(wù)置于所需位置以縮短延遲時(shí)間、提高可用性。

集成GKE

在GKE中利用您在Cloud KMS中管理的密鑰，實(shí)現(xiàn)應(yīng)用層Kubernetes密文加密。

首席技術(shù)官Leonard Austin，Ravelin稱：“Google的默認(rèn)加密方式是公開透明的，Cloud KMS則令實(shí)施最佳做法變得簡(jiǎn)單。自動(dòng)密鑰輪替等功能使我們能夠頻繁地輪替密鑰而不產(chǎn)生額外開銷，并滿足我們的內(nèi)部合規(guī)性需求。Cloud KMS的延遲時(shí)間很低，因此我們可以將其用于頻繁執(zhí)行的操作。這使我們能夠擴(kuò)展要加密的數(shù)據(jù)的范圍，從敏感數(shù)據(jù)到不需要編入索引的運(yùn)營(yíng)數(shù)據(jù)，不一而足。”

Cloud KMS創(chuàng)建和使用加密密鑰

本快速入門介紹了如何使用Google Cloud Key Management Service創(chuàng)建和使用加密密鑰。

本快速入門使用命令行將請(qǐng)求發(fā)國(guó)際快遞Cloud KMS API。如需了解使用客戶端庫(kù)向Cloud KMS API發(fā)快遞請(qǐng)求的編程示例，請(qǐng)參閱加密和解密。

準(zhǔn)備工作

1.登錄您的Google帳號(hào)。

如果您還沒(méi)有Google帳號(hào)，請(qǐng)注冊(cè)新帳號(hào)。

2.In the GCP Console,go to the Manageresources page and select or create a project.

Note:If you dont plan to keep theresources you create in this tutorial,create a new project instead ofselecting an existing project.After you finish,you can delete the project,removing all resources associated with the project and tutorial.

GO TO THE MANAGE RESOURCES PAGE

3.確保您的項(xiàng)目已啟用結(jié)算功能。

了解如何啟用結(jié)算功能

4.啟用Cloud KMS API。

啟用API

5.Install andinitialize the Cloud SDK.

重要提示：本快速入門將創(chuàng)建Cloud KMS資源，例如密鑰環(huán)和密鑰。這些資源一經(jīng)創(chuàng)建將無(wú)法刪除。

密鑰環(huán)和密鑰

要對(duì)內(nèi)容進(jìn)行加密和解密，您需要一個(gè)Cloud KMS密鑰，該密鑰是密鑰環(huán)的一部分。

創(chuàng)建名為test的密鑰環(huán)和名為quickstart的密鑰。如需了解有關(guān)這些對(duì)象及其相互關(guān)系的更多信息，請(qǐng)參閱對(duì)象層次結(jié)構(gòu)概覽。

gcloud kms keyrings create testlocation global

gcloud kms keys create quickstartlocation global

keyring testpurpose encryption

您可以使用list選項(xiàng)查看剛剛創(chuàng)建的密鑰的名稱和元數(shù)據(jù)。

gcloud kms keys listlocation globalkeyring test

您應(yīng)該會(huì)看到以下結(jié)果：

NAME                                PURPOSE     PRIMARY_STATE

projects/[PROJECT_ID]/locations/global/keyRings/test/cryptoKeys/quickstart ENCRYPT_DECRYPT ENABLED

加密數(shù)據(jù)

現(xiàn)在您有了密鑰，您可以使用該密鑰對(duì)文本或二進(jìn)制內(nèi)容進(jìn)行加密。

將“some text to be encrypted”存儲(chǔ)在名為“mysecret.txt”的文件中。

echonSome text to be encryptedgt;mysecret.txt

要使用gcloud kms encrypt對(duì)數(shù)據(jù)進(jìn)行加密，請(qǐng)?zhí)峁┟荑€信息，指定要加密的純文本文件的名稱，然后指定包含加密后內(nèi)容的文件的名稱。

gcloud kms encryptlocation global

keyring testkey quickstart

plaintextfile mysecret.txt

ciphertextfile mysecret.txt.encrypted

encrypt方法將會(huì)把加密后的內(nèi)容保存在ciphertextfile標(biāo)志指定的文件中。

對(duì)密文進(jìn)行解密

要使用gcloud kms decrypt數(shù)據(jù)進(jìn)行解密，請(qǐng)?zhí)峁┟荑€信息，指定要解密的已加密文件（密文文件）的名稱，然后指定包含解密后內(nèi)容的文件的名稱。

gcloud kms decryptlocation global

keyring testkey quickstart

ciphertextfile mysecret.txt.encrypted

plaintextfile mysecret.txt.decrypted

decrypt方法將會(huì)把解密后的內(nèi)容保存在plaintextfile標(biāo)志指定的文件中。

要對(duì)已加密內(nèi)容進(jìn)行解密，您必須使用加密該內(nèi)容時(shí)使用的相同密鑰。

清理

為避免系統(tǒng)因本快速入門中使用的資源向您的GCP帳號(hào)收取費(fèi)用，請(qǐng)執(zhí)行以下操作：

列出您的密鑰可用的版本：

gcloud kms keys versions listlocation global

keyring testkey quickstart

要銷毀版本，請(qǐng)運(yùn)行以下命令，將[VERSION_NUMBER]替換為要銷毀的版本號(hào)：

重要提示：銷毀密鑰版本時(shí)，您無(wú)法再對(duì)使用該密鑰版本加密的內(nèi)容進(jìn)行解密。在銷毀之前，請(qǐng)確保您不再需要該密鑰版本。

gcloud kms keys versions destroy[VERSION_NUMBER]

location globalkeyring testkey quickstart

CLOUD KMS價(jià)格

Cloud KMS的價(jià)格包含每個(gè)密鑰版本的固定費(fèi)用以及密鑰操作的用量費(fèi)用。

如果您使用非美元貨幣付費(fèi)，請(qǐng)參閱Cloud Platform SKU上以您的幣種列出的價(jià)格。

價(jià)格概覽

Cloud KMS的價(jià)格取決于有效密鑰版本的數(shù)量、各個(gè)密鑰版本的保護(hù)級(jí)別以及密鑰操作的用量費(fèi)率。對(duì)于保護(hù)級(jí)別為SOFTWARE的密鑰，非對(duì)稱密鑰和對(duì)稱密鑰的價(jià)格相同。

說(shuō)明

1.處于以下任何狀態(tài)的密鑰版本均屬于有效版本：

·已啟用

·已停用

·已安排銷毀

2.Cloud KMS每月按照您當(dāng)月?lián)碛械挠行荑€版本數(shù)量來(lái)計(jì)算費(fèi)用。此費(fèi)用不會(huì)四舍五入，而是基于實(shí)際的消費(fèi)。也就是說(shuō)，如果您的密鑰版本僅在2天內(nèi)處于有效狀態(tài)，那么您將按照該用量按比例付費(fèi)，而不是支付整月的費(fèi)用。

3.Cloud KMS以每10000次操作為單位計(jì)算密鑰操作的費(fèi)用。此費(fèi)用不會(huì)四舍五入，而是基于實(shí)際的消費(fèi)。也就是說(shuō)，如果您的項(xiàng)目執(zhí)行了25000次密鑰操作，那么您將需要支付2.5個(gè)10000次操作的費(fèi)用。

價(jià)格示例

在本例中，我們將展示一個(gè)在您剛剛開始使用Cloud KMS時(shí)可能會(huì)遇到的簡(jiǎn)單場(chǎng)景。為了簡(jiǎn)化計(jì)算，我們采用月度結(jié)算周期。

假設(shè)您在某個(gè)月份的密鑰使用情況如下：

·100個(gè)保護(hù)級(jí)別為SOFTWARE的密鑰(CryptoKeys)，每個(gè)密鑰有5個(gè)有效版本，總共有500個(gè)密鑰版本(CryptoKeyVersions)。

·10萬(wàn)次用于對(duì)稱加密和解密的密鑰使用操作。（密鑰管理操作免費(fèi)。）

·10000次用于檢索非對(duì)稱密鑰公鑰的密鑰使用操作。

·50000次用于非對(duì)稱簽名的密鑰使用操作。

您當(dāng)月支付的費(fèi)用計(jì)算如下：

·500個(gè)密鑰版本，每個(gè)$0.06，共計(jì)$30.00。

·10萬(wàn)次用于對(duì)稱加密和解密的密鑰使用操作，每10000次操作$0.03，共計(jì)$0.30。

·10000次用于檢索公鑰的密鑰使用操作，每10000次操作$0.03，共計(jì)$0.03。

·50000次用于非對(duì)稱簽名的密鑰使用操作，每10000次操作$0.03，共計(jì)$0.15。

本價(jià)格示例的總計(jì)：$30.48

查看用量

Google CloudPlatform Console可為您提供每個(gè)項(xiàng)目的交易記錄，其中會(huì)說(shuō)明您的當(dāng)前余額以及具體項(xiàng)目的估算資源用量。

要查看某個(gè)項(xiàng)目的交易記錄，請(qǐng)轉(zhuǎn)到估算的結(jié)算帳單頁(yè)面。

保護(hù)級(jí)別

保護(hù)級(jí)別指示加密操作的執(zhí)行方式。創(chuàng)建密鑰后，無(wú)法更改其保護(hù)級(jí)別。

SOFTWARE和HSM保護(hù)級(jí)別均支持所有密鑰用途。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。