如何在Gcloud KMS中管理自己的主密钥

默认情况下，计算引擎encrypts customer content at rest。 Compute Engine可以为您处理和管理此加密，而无需您执行任何其他操作。但是，如果要自己控制和管理此加密，则可以使用密钥加密密钥。密钥加密密钥并不直接加密您的数据，而是用于加密对数据进行加密的数据加密密钥。

如果用AWS的“主密钥”概念进行类比，则“密钥加密密钥（GCP）”是用于加密“数据加密密钥”的主密钥。

AWS：“纯文本数据” -------->“数据加密密钥” ---->“加密数据”

 "data encryption key"-----> "Master key(AWS)"----> "Encrypted data key"

GCP：“纯文本数据” -------->“数据加密密钥” ---->“加密数据”

"data encryption key"----->"key Encryption key(GCP)"----> "Encrypted data key"

根据document-1，您在Compute Engine中有两个密钥加密密钥选项：

1-使用Cloud Key Management Service创建和管理密钥加密密钥。有关更多信息，请参见Key management。本主题提供有关此选项的详细信息，称为客户管理的加密密钥（CMEK）。

2-创建和管理自己的密钥加密密钥。有关此选项（称为客户提供的加密密钥（CSEK））的信息，请参阅Encrypting Disks with Customer-Supplied Encryption Keys。

加密：Cloud KMS密钥是AES-256密钥。这些密钥是“密钥加密密钥”或“主密钥”（AWS），并且它们对用于加密数据的“数据加密密钥”进行加密。

Cloud KMS允许您创建，导入和管理“加密密钥”或“密钥加密密钥”或“主密钥”（AWS），并在单个集中式云服务中执行加密操作。您可以直接使用Cloud KMS，使用Cloud HSM或Cloud External Key Manager或使用其他Google Cloud服务中的客户管理的加密密钥（CMEK）集成来使用这些密钥并执行这些操作。

请注意：如果您提供自己的“加密密钥”或自己的“密钥加密密钥”或“主密钥（AWS）”，则Compute Engine使用您的密钥来保护“ Google生成的密钥”或“数据加密”用于加密和解密您的数据的密钥。只有能够提供正确的“密钥加密密钥”的用户才能使用受客户提供的加密密钥保护的资源。