问GCP策略强制在KMS中使用EKM (外部管理密钥)

EN

外部密钥管理器(EKM)是在Google之外使用的密钥管理器，用于管理您的密钥。您可以创建和管理外键( 通过互联网或通过虚拟私有云(VPC) )。密钥驻留在外部系统上，从未发送到Google。

可以将外键存储在下列外部密钥管理合作伙伴系统中：

今天得到支持：

福塔尼克斯

未来x

泰勒斯

维特鲁

使用Cloud，您可以使用在支持外部密钥管理伙伴中管理的密钥来保护Google中的数据。您可以在支持CMEK集成服务中保护rest数据，或者直接调用。

有关的更多信息，请参阅文档

编辑-1

下面是实施EKM的过程

1. 首先，您需要在支持外部密钥管理合作伙伴系统中创建或使用现有密钥。此键具有唯一的URI或密钥路径。
2. 接下来，您可以授予您的Google项目访问权，以便在外部密钥管理合作伙伴系统中使用密钥。
3. 在Google项目中，使用外部管理密钥的URI或密钥路径创建Cloud密钥。

您还可以按照创建通过internet访问的Cloud密钥或创建通过VPC访问的Cloud密钥的一步一步的说明进行操作。

创建VM时的EKM

控制台->计算引擎-> VM实例->创建实例-> Boot磁盘更改->显示高级配置->加密->选择要用于磁盘的加密管理解决方案。

创建存储桶时的EKM：

控制台->云存储->创建桶->选择如何保护对象数据->启用“客户管理的加密密钥”，默认情况下将使用“”加密类型。云控制台无法使用客户提供的加密密钥上载对象.使用gsutil或客户端库代替。

有关更多信息，请参阅文档云存储客户提供加密密钥。

编辑-2

目前，不可能将EKM作为组织策略约束强制执行。

对于产品团队正在工作的类似需求，有一个特性请求。您可以跟踪问题这里。

作为临时解决办法，您可以创建基于日志的警报或度量，并使用"kmsKeyName“关键字筛选审计日志，或者排除非CMEK日志的关键字。

protoPayload.authenticationInfo.principalEmail="SA过滤“protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog”“kmsKeyName。

请注意，可以根据用例修改查询。