使用 Cloud KMS 加密数据是否足以阻止我组织的员工访问加密数据?有哪些最佳做法可以避免不必要的曝光?
问问题
138 次
1 回答
1
Cloud KMS 中的资源是 Google Cloud Platform 资源,可以使用 IAM 管理其访问权限,并使用 Cloud Audit Logging 审核访问权限。您应该设置权限,将加密密钥的使用限制为只有那些应该有权访问的个人。
您可以应用职责分离原则 - 管理加密密钥的个人不应与访问这些密钥保护的内容(例如秘密)的个人相同。实际上,您应该授予一个人密钥管理权限,例如密钥轮换等(IAM 角色:Cloud KMS 管理员);和另一个人的密钥使用权限,例如加密/解密以访问数据(IAM 角色:Cloud KMS CryptoKey Encrypter/Decrypter)。
有关 Cloud KMS 中职责分离的进一步讨论:https ://cloud.google.com/kms/docs/separation-of-duties
要让用户能够使用 Cloud KMS 管理员角色管理密钥,请使用 gcloud 运行:
gcloud beta kms cryptokeys add-iam-policy-binding \
CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \
--member user:MY-USER@gmail.com \
--role roles/cloudkms.admin
要使服务帐户能够使用具有 Cloud KMS CryptoKey Encrypter/Decrypter 角色的密钥进行加密和解密,请使用 gcloud 运行:
gcloud beta kms cryptokeys add-iam-policy-binding \
CRYPTOKEY_NAME --location LOCATION --keyring KEYRING_NAME \
--member serviceAccount:MY-SERVICE_ACCOUNT@MY-PROJECT.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
于 2017-01-11T18:07:57.243 回答