如何在Gcloud中拥有一个主密钥并创建要加密的数据密钥。 并使用主密钥解密实际数据。 这在AWS KMS中是可能的。如何在Gcloud中实现相同功能?
谢谢
答案 0 :(得分:0)
默认情况下,计算引擎encrypts customer content at rest。 Compute Engine可以为您处理和管理此加密,而无需您执行任何其他操作。但是,如果要自己控制和管理此加密,则可以使用密钥加密密钥。密钥加密密钥并不直接加密您的数据,而是用于加密对数据进行加密的数据加密密钥。
如果用AWS的“主密钥”概念进行类比,则“密钥加密密钥(GCP)”是用于加密“数据加密密钥”的主密钥。
AWS:“纯文本数据” -------->“数据加密密钥” ---->“加密数据”
"data encryption key"-----> "Master key(AWS)"----> "Encrypted data key"
GCP:“纯文本数据” -------->“数据加密密钥” ---->“加密数据”
"data encryption key"----->"key Encryption key(GCP)"----> "Encrypted data key"
根据document-1,您在Compute Engine中有两个密钥加密密钥选项:
1-使用Cloud Key Management Service创建和管理密钥加密密钥。有关更多信息,请参见Key management。本主题提供有关此选项的详细信息,称为客户管理的加密密钥(CMEK)。
2-创建和管理自己的密钥加密密钥。有关此选项(称为客户提供的加密密钥(CSEK))的信息,请参阅Encrypting Disks with Customer-Supplied Encryption Keys。
加密:Cloud KMS密钥是AES-256密钥。这些密钥是“密钥加密密钥”或“主密钥”(AWS),并且它们对用于加密数据的“数据加密密钥”进行加密。
Cloud KMS允许您创建,导入和管理“加密密钥”或“密钥加密密钥”或“主密钥”(AWS),并在单个集中式云服务中执行加密操作。您可以直接使用Cloud KMS,使用Cloud HSM或Cloud External Key Manager或使用其他Google Cloud服务中的客户管理的加密密钥(CMEK)集成来使用这些密钥并执行这些操作。
请注意:如果您提供自己的“加密密钥”或自己的“密钥加密密钥”或“主密钥(AWS)”,则Compute Engine使用您的密钥来保护“ Google生成的密钥”或“数据加密”用于加密和解密您的数据的密钥。只有能够提供正确的“密钥加密密钥”的用户才能使用受客户提供的加密密钥保护的资源。