我想使用客户提供的密钥来加密存储/卷。我看到了一些示例,在这些示例中,可以导入对称客户密钥并将其用于加密卷,例如在AWS中的EBS卷的情况下。但是,没有任何示例可以让客户提供非对称密钥,例如公共密钥位于云公里中,而私有密钥仅由客户持有。 通过提供非对称密钥,是否可以将您自己的密钥导入到云KMS中?
答案 0 :(得分:1)
您可以通过导入对称或私有非对称密钥“将自己的密钥”导入Google Cloud KMS:此文档位于https://cloud.google.com/kms/docs/key-import。 AWS仅对对称密钥具有类似功能,文档在此处-https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html。
但是,在这两种情况下,KMS都会拥有一个对称或非对称的私钥,因此您可以在KMS内进行安全操作。当您想要保留私钥而仅将公钥发送到KMS时,我不确定您要使用哪种体系结构。
如果您想保留对密钥材料的私人控制权,GCP会通过“外部密钥管理器”来支持它,从而允许您“持有自己的密钥”。文件在这里:https://cloud.google.com/kms/docs/ekm。据我所知,亚马逊没有同类产品。
披露:我在Google Cloud上研究关键管理解决方案,包括KMS和EKM。