Возможно ли предоставить асимметричные c ключи в качестве собственных ключей (BYOK) для облачного KMS (службы управления ключами) для любых поставщиков облачных услуг?

Question

Я хочу зашифровать хранилище / тома с помощью ключей, предоставленных заказчиком. Я видел примеры, когда ключи клиента symri c можно импортировать и использовать для шифрования томов, например, в случае томов EBS в AWS. Но нет примеров, когда клиенты могут предоставить асимметричные c ключи, такие, что publi c key находится в облачном kms, а закрытые ключи хранятся только у клиентов. Можно ли импортировать свои собственные ключи в облачный KMS, предоставив асимметричные c ключи?

Answer 1

Вы можете «принести свой собственный ключ» в Google Cloud KMS, импортировав симметричные c или частные асимметричные c ключи: документация здесь - https://cloud.google.com/kms/docs/key-import. AWS имеет аналогичную функцию только для ключей symri c, документация здесь - https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html.

Однако в обеих этих ситуациях KMS имеет закрытый ключ, независимо от того, хранится ли он. symri c или asymmetri c, чтобы вы могли выполнять безопасные операции внутри KMS. Если вы хотите сохранить закрытый ключ и отправить в KMS только ключ publi c, я не уверен, какая архитектура вам нужна.

Если вы хотите сохранить частный контроль над материалом ключа, GCP поддерживает это через «Менеджер внешних ключей», который позволяет «держать свой собственный ключ». Документы здесь: https://cloud.google.com/kms/docs/ekm. Насколько мне известно, у Amazon нет эквивалента.

Раскрытие информации: я работаю в Google Cloud над решениями для управления ключами, включая KMS и EKM.