我们在Google Cloud中尝试了客户管理的加密密钥(CMEK)服务。但是,如何使用python生成客户管理密钥并附加到Cloud Storage存储桶?有人知道程序吗?
答案 0 :(得分:1)
您可以使用自己的加密密钥。这称为“客户提供的加密密钥”。但是,您不能将客户密钥附加到存储桶。相反,您必须为每个存储操作提供密钥。这意味着每次上传,下载等操作都将需要加密密钥。
这还意味着您必须管理加密密钥的安全性并自行管理密钥旋转。另请注意,并非所有的Google Cloud服务都支持客户加密密钥。 Google Storage可以,但是Cloud Dataflow,Dataproc和Google Storage Transfer服务不可以。
用于管理加密密钥的管理基础结构非常复杂。考虑主密钥,数据加密密钥,密钥轮换,策略,过程,恢复以及最后的审核和合规性。还存在丢失或破坏密钥的风险。
考虑托管关键服务,这将减少管理和费用方面的麻烦。
本文详细讨论了如何在Python和其他语言的示例代码中使用客户加密密钥。