Cloud KMS Autokey: Key Management für sichere Cloud-Ressourcen

Cloud KMS mit Autokey automatisiert die Erstellung von Verschlüsselungsschlüsseln, sobald Ressourcen in unterstützten Diensten wie Cloud Storage, Compute Engine, BigQuery, Secret Manager, Cloud SQL und Spanner ausgerollt werden.

Bisher mussten Sie Schlüssel, Key Rings und Service Accounts vorab anlegen, bevor Sie sie verwenden konnten. Mit KMS Autokey passiert das alles on the fly. Sobald eine neue Ressource entsteht, generiert KMS Autokey die passenden Schlüssel bedarfsgerecht und sorgt so für nahtlose Verschlüsselung Ihrer Workloads – ohne manuellen Eingriff.

Cloud KMS mit Autokey vereinfacht nicht nur das Key Management, sondern bringt Ihre Sicherheitspraxis auch auf das Niveau von Industriestandards und Best Practices. Dazu zählen:

• Hardware-Security-Module-(HSM-)Schutz für Ihre Schlüssel.
• Funktionstrennung über rollenbasierte Zugriffskontrollen.
• Automatische Schlüsselrotation, um Ihre Daten dauerhaft zu schützen.
• Kontrolle über den Schlüsselstandort zur Einhaltung regulatorischer Anforderungen.
• Schlüsselspezifität für eine granulare Zugriffsverwaltung.

Schlüssel, die über Cloud KMS mit Autokey erzeugt werden, verhalten sich genau wie andere Cloud-HSM-Schlüssel – nur dass der Prozess automatisch und skalierbar abläuft. Damit eignet sich die Lösung ideal für dynamische Umgebungen, in denen häufig neue Ressourcen entstehen.

Für die Nutzung von Cloud KMS mit Autokey fallen keine zusätzlichen Kosten an. Mit Autokey erstellte Schlüssel werden zum gleichen Preis abgerechnet wie alle anderen Cloud-HSM-Schlüssel.

Cloud KMS mit Autokey wird auf Folder-Ebene innerhalb Ihrer Google-Cloud-Organisation eingerichtet. Sie benötigen also einen neuen oder bestehenden Folder und legen darin ein Projekt zur Speicherung Ihrer Schlüssel an. Anschließend erstellen Sie weitere Projekte innerhalb des Folders oder verschieben bestehende Projekte hinein, um die Autokey-Funktion zu nutzen. Im folgenden Beispiel legen wir einen neuen Folder mit zwei Projekten darin an. Wir bevorzugen einen neuen Folder, weil er sich als Sicherheitsgrenze nutzen lässt und Zugriffe nach dem Least-Privilege-Prinzip vergeben werden können.

Beispiel einer Folder-Struktur

• Folder-Name: kms-autokey (Folder mit aktiviertem Cloud KMS Autokey)
• Projektname: kms-keys (Projekt zur Speicherung der Schlüssel)
• Projektname: kms-enabled-proj (Projekt, dessen Ressourcen Schlüssel zugewiesen bekommen)

Damit Cloud KMS mit Autokey sauber funktioniert, müssen Ihnen bestimmte Rollen auf Organisations- und Folder-Ebene zugewiesen werden:

Folder-Ebene (Folder kms-autokey)

• Cloud KMS Autokey Admin (roles/cloudkms.autokeyAdmin)
• Folder IAM Admin (roles/resourcemanager.folderIamAdmin)

Organisationsebene

• Billing Account User (roles/billing.user)

Sobald Ihnen diese Rollen zugewiesen sind, können Sie Cloud KMS mit Autokey im Folder aktivieren.

1. Wählen Sie in Ihrer GCP Console den Folder kms-autokey aus.
2. Navigieren Sie zu Key Management.

Folder auswählen und zu Key Management navigieren

3. Wählen Sie im Kontext-Picker das Projekt aus, das Ihre Schlüssel enthalten soll. In unserem Beispiel ist das kms-keys.

Projekt für die Schlüsselverwaltung mit dem Folder verknüpfen

Im KMS-Key-Projekt (kms-keys) legen Sie einen Service-Agent-Account an, damit der KMS-Dienst mit Ihren Ressourcen interagieren kann. In der Cloud Shell:

gcloud beta services identity create --service=cloudkms.googleapis.com --project=PROJECT_NUMBER

Ersetzen Sie PROJECT_NUMBER durch die Projektnummer des KMS-Key-Projekts – in unserem Beispiel die Projektnummer von kms-keys.

Beispielausgabe

gcloud beta services identity create --service=cloudkms.googleapis.com --project=937192488103
Service identity created: [email protected]

Weisen Sie dem Service Agent anschließend die Rolle Cloud KMS Admin zu:

gcloud projects add-iam-policy-binding PROJECT_NUMBER --role=roles/cloudkms.admin --member=serviceAccount:[email protected]

Auch hier ersetzen Sie PROJECT_NUMBER durch die Projektnummer des KMS-Key-Projekts – in unserem Beispiel die Projektnummer von kms-keys.

Beispielausgabe

gcloud projects add-iam-policy-binding 937192488103 --role=roles/cloudkms.admin --member=serviceAccount:[email protected]
Updated IAM policy for project [937192488103].
bindings:
- members:
  - serviceAccount:[email protected]
  role: roles/cloudkms.admin
- members:
  - user:<omitted>@doit.com
  role: roles/owner
etag: BwYsUy7dhpo=
version: 1

Damit Ihre Engineers KMS Autokey nutzen können, weisen Sie ihnen die Rolle roles/cloudkms.autokeyUser zu. Das geht sowohl auf Folder- als auch auf Projektebene. So vergeben Sie die Rolle auf Folder-Ebene:

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID --role=roles/cloudkms.autokeyUser --member=user:USER_EMAIL

Ersetzen Sie FOLDER_ID durch den Folder, in dem Sie Autokey aktivieren – in unserem Beispiel die ID des Folders kms-autokey. Ersetzen Sie USER_EMAIL durch die E-Mail-Adresse der Person oder Gruppe, die KMS Autokey nutzen soll, also etwa eines Engineers oder eines Entwickler-Teams.

Beispielausgabe

gcloud resource-manager folders add-iam-policy-binding 279174226974 --role=roles/cloudkms.autokeyUser --member=user:<developers email address>
Updated IAM policy for folder [279174226974].
bindings:
- members:
  - user:<omitted>@doit.com
  role: roles/cloudkms.autokeyAdmin
- members:
  - user:<omitted>@doit.com
  role: roles/cloudkms.autokeyUser
- members:
  - user:<omitted>@doit.com
  role: roles/resourcemanager.folderAdmin
- members:
  - user:<omitted>@doit.com
  role: roles/resourcemanager.folderEditor
etag: BwYsU4vSoEA=
version: 1

Sobald die Rolle vergeben ist, können Engineers beim Erstellen von Ressourcen direkt Schlüssel anfordern.

Erstellen Sie zum Testen eine neue Compute-Instanz in Ihrem neu aktivierten Projekt – in unserem Beispiel das Projekt kms-enabled-proj. Wählen Sie unter "Erweitert" Data encryption = Cloud KMS key sowie Key type = Cloud KMS with Autokey und klicken Sie anschließend auf "Request a Key".

Erstellung einer GCE-Instanz mit Tab "Erweitert" und Option zum Anfordern eines Schlüssels

Nach dem Erstellen der Instanz finden Sie die Schlüsseldetails im Bereich "Verwaltung" der Metadaten der Compute-Instanz.

Schlüsseldetails

Wechseln Sie zurück in Ihr KMS-Key-Projekt (kms-keys), öffnen Sie Key Management, und Sie sehen den neu erstellten Schlüssel für die Instanz samt nächstem Rotationsdatum.

Key Ring in derselben Region wie die GCE-Instanz erstellt

Schlüssel mit nächstem Rotationsdatum

In unserem Beispiel entsteht ein Key Ring in us-central1, weil dort unsere Compute-Instanz läuft. Key Rings werden automatisch in der Region angelegt, in der sich Ihre Ressourcen befinden.

Falls Sie Cloud KMS mit Autokey einmal deaktivieren möchten, geht das auf Folder-Ebene. Beim Deaktivieren wird die Verknüpfung zwischen Folder und Key-Projekt entfernt – damit werden für neue Ressourcen keine Schlüssel mehr automatisch erstellt. Alle bereits über Cloud KMS mit Autokey angelegten Schlüssel bleiben unverändert.

Deaktivieren stoppt die Schlüsselerstellung. Bestehende Schlüssel sind nicht betroffen.

So entziehen Sie die Rolle "Autokey Admin":

gcloud resource-manager folders remove-iam-policy-binding FOLDER_ID --role=roles/cloudkms.autokeyAdmin --member=user:USER_EMAIL

Mit diesem Schritt wird die Rolle autokeyAdmin entzogen. Die betreffende Person kann KMS Autokey damit weder erneut aktivieren noch verwalten. Wichtig: Bestehende Schlüssel funktionieren weiterhin, und alle zuvor damit verschlüsselten Ressourcen bleiben geschützt.

Sie können die Autokey-User-Rollen auch auf Folder- oder Projektebene entziehen. So entfernen Sie die Rolle roles/cloudkms.autokeyUser:

gcloud resource-manager folders remove-iam-policy-binding FOLDER_ID - role=roles/cloudkms.autokeyUser - member=user:USER_EMAIL

Wenn der Service Agent nicht mehr gebraucht wird, können Sie auch dessen Rolle Cloud KMS Admin entziehen:

gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER - role=roles/cloudkms.admin - member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

Bei DoiT International besteht unser Team ausschließlich aus erfahrenen Senior-Engineers. Unsere Schwerpunkte: anspruchsvolle Cloud-Beratung, Architekturdesign und Debugging-Services. Egal, ob Sie gerade die ersten Schritte mit verteilten Systemen planen, ein bestehendes System optimieren oder komplexe Probleme lösen wollen – wir liefern maßgeschneiderte Beratung auf Augenhöhe.

Sprechen Sie uns an – wir helfen Ihnen, das volle Potenzial Ihrer Cloud-Infrastruktur auszuschöpfen.