加入 Cloud HSM for Google Workspace

本页面介绍了如何为 Google Workspace (CHGWS) 启用 Cloud HSM,这是 Cloud Key Management Service (Cloud KMS) 为 Google Workspace 提供的加密密钥服务。Cloud HSM for Google Workspace 为 Google Workspace 提供增强的 隐私权控制,有助于您达到 DISA IL5 等监管 标准并提升数据安全性。Cloud HSM 是一项符合标准、高度可用且全代管式密钥管理服务,以云端规模运行,并使用存储在符合 FIPS 140-2 Level 3 标准的 HSM(硬件安全模块)中的硬件支持的密钥。

CHGWS 与多租户 Cloud HSM 和单租户 Cloud HSM 密钥均兼容。

如需了解详情,请参阅 Cloud HSM for Google Workspace

准备工作

在为 Google Workspace 启用 Cloud HSM 之前,请完成以下前提条件:

  • 设置 Google Workspace。
  • 在 Google Workspace 中启用 Google Workspace 客户端加密功能 (CSE)。
  • 在 Google Workspace CSE 中配置身份提供方 (IdP)。记下 IdP 的客户端 ID。如果您使用 Google Identity Platform,请在您的 Google Cloud 项目中查找客户端 ID 。
  • 可选:如果您允许在 Web 以外的平台应用(例如移动应用或桌面应用)上访问 CSE 加密的内容,请在 Google Workspace 管理控制台的 IdP 设置中添加这些平台的客户端 ID。记下此 IdP 的所有客户端 ID。如果您使用 Google Identity Platform, 请在您的 Google Cloud 项目中查找这些客户端 ID。对于其他身份提供方,请单独创建这些客户端 ID。

兼容的位置

您可以将 Cloud KMS 密钥存储在 美国欧洲 地理区域内的任何区域或多区域位置。Cloud HSM for Google Workspace 同时支持多租户 Cloud HSM 和单租户 Cloud HSM 密钥。如需 查找特定位置,请访问 Cloud KMS 位置 并按 HSM 类型进行过滤 。

Cloud HSM for Google Workspace 会自动在以下多区域之一中提供端点,该多区域最靠近您的密钥位置:

  • us
  • eur3

为 Cloud KMS 设置 Google Cloud 项目

Cloud HSM for Google Workspace 端点依赖于 Cloud KMS 密钥来执行加密操作。设置一个新 Google Cloud 项目来托管 Cloud KMS 密钥。

  1. 创建 Google Cloud 项目。这是您的密钥项目。记下项目 ID 和项目编号;您需要这些信息才能完成设置。

  2. 为创建的项目启用结算功能。

  3. 在您的 Google Cloud 密钥项目中启用 Cloud KMS API。

    启用 API

  4. 在 Google Cloud 控制台中,点击 终端 激活 Cloud Shell

  5. 将您的项目 ID 与 Cloud Shell 提示中的项目 ID 进行比较,以验证您是否位于正确的项目中。

  6. 使用 Cloud Shell 创建 Cloud HSM for Google Workspace 服务帐号:

    gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com

    记下此命令创建的服务身份。您需要在下一步中使用服务身份名称。

  7. 向您创建的服务帐号授予 CHGWS 密钥服务代理 角色:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

    替换以下内容:

    • PROJECT_ID:您的密钥项目的项目 ID。
    • PROJECT_NUMBER:您的密钥项目的项目编号。

管理 CHGWS 服务端点

以下部分介绍了如何设置和管理 CHGWS 端点。

设置 Cloud KMS 密钥

为 CHGWS 密钥服务端点设置 Cloud KMS 资源。

  1. 在支持的区域之一中创建密钥环:

    gcloud kms keyrings create KEY_RING --location LOCATION
    • KEY_RING 替换为您要用于 CHGWS 密钥环的名称,例如 CHGWS_KEY_RING
    • LOCATION 替换为您要在其中创建密钥环的位置,例如 us

  2. 创建 Cloud HSM 密钥。

    多租户 Cloud HSM

    如需创建保护级别为 hsm 的密钥,请执行以下操作:

    gcloud kms keys create KEY_NAME \
    --protection-level "hsm" \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time NEXT_ROTATION_TIME

    替换以下内容:

    • KEY_NAME:您要用于密钥的名称,例如 CHGWS_KEY
    • KEY_RING:密钥环的名称,例如 CHGWS_KEY_RING
    • LOCATION:您创建密钥环的位置,例如 us
    • ROTATION_PERIOD:您希望轮替密钥的频率,例如 7d
    • NEXT_ROTATION_TIME:下次密钥轮替发生的日期和时间,例如 2024-03-20T01:00:00

    单租户 Cloud HSM

    如需创建保护级别为 hsm_single_tenant 的密钥,您必须先在同一位置预配单租户 Cloud HSM 实例。

    1. 创建和预配单租户 Cloud HSM 实例: 按照创建和管理 单租户 Cloud HSM 实例 指南中的说明进行操作。记下预配的实例 ID。您将在下一步骤中用到它。

    2. 创建密钥

      gcloud kms keys create KEY_NAME \
    --protection-level "hsm_single_tenant" \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time NEXT_ROTATION_TIME

      替换以下内容:

      • KEY_NAME:您要用于密钥的名称,例如 CHGWS_KEY
      • KEY_RING:密钥环的名称,例如 CHGWS_KEY_RING
      • LOCATION:您创建密钥环的位置,例如 us
      • PROJECT_ID:您的密钥项目的项目 ID。
      • INSTANCE_NAME:您要在其中创建密钥的单租户 Cloud HSM 实例的名称。
      • ROTATION_PERIOD:您希望轮替密钥的频率,例如 7d
      • NEXT_ROTATION_TIME:下次密钥轮替发生的日期和时间,例如 2024-03-20T01:00:00

    如需详细了解密钥创建选项,请参阅创建密钥

请求启用和创建端点

如需请求启用和创建端点,请与您的客户代表联系,以获取有关提交端点启用请求的帮助。在请求中,请提供以下信息:

  • Google Workspace 详细信息

    • Google Workspace ID:您的 Google Workspace ID。如需查找 Google Workspace ID,请按照 查找客户 ID中的说明进行操作。

    • Google Workspace 管理员电子邮件地址:提供以 英文逗号分隔的管理员电子邮件地址列表。

  • 身份提供方 (IdP) 详细信息

    • 主要身份提供方 (IdP) 详细信息

      • IdP JSON Web 密钥集 (JWKS) 网址:对于 Google Identity Platform,请使用 https://www.googleapis.com/oauth2/v3/certs
      • JSON Web 令牌 (JWT) 令牌颁发者:对于 Google Identity Platform,请使用 https://accounts.google.com
      • JWT 受众群体:您的 IdP 的 Web 应用客户端 ID。
      • 其他 JWT 受众群体:可选。如果配置了非 Web 平台应用,请提供其客户端 ID。对于 Google Identity Platform,请使用 如果您要为 CSE 使用 Google 身份中给出的客户端 ID。

    • 访客 IdP 详细信息:可选。如果您使用的是访客 IdP,请填写此部分。

      • 访客 IdP JWKS 网址:访客 IdP 的 JWKS 网址。
      • 访客 JWT 令牌颁发者:访客 IdP 的 JWT 令牌颁发者。
      • 访客 JWT 受众群体:访客 IdP 的 Web 应用客户端 ID,Google Meet 除外。
      • 访客其他 JWT 受众群体:可选。如果您配置了 Google Meet Web 客户端 ID 或其他非 Web 平台应用客户端 ID,请为每个 ID 提供客户端 ID。对于 Google Identity Platform,请使用 如果您要为 CSE 使用 Google 身份中给出的客户端 ID。

  • CSE 密钥详细信息

    • Google Cloud 项目 IDPROJECT_ID
    • Google Cloud 项目编号PROJECT_NUMBER
    • Cloud KMS 密钥环名称KEY_RING
    • Cloud KMS 密钥环位置LOCATION
    • Cloud KMS 密钥名称: KEY_NAME
    • Cloud KMS 密钥保护级别:应为 hsmhsm_single_tenant
    • CHGWS 基本网址:可选。用于启用密钥迁移的网址列表。如果您是首次为此 Google Workspace 设置 CHGWS,请将此字段留空。

  • 更多详情

    • 客户名称:提供客户名称。
    • 预计用户数:提供 您的 Google Workspace 实例中的预计用户数。

在 Google Workspace CSE 中配置 CHGWS 端点

配置 Google Workspace CSE 以使用您在创建 CHGWS 端点时生成的 CHGWS 网址。按照 添加和管理密钥服务以启用客户端加密功能中的说明进行操作。

密钥服务迁移

CHGWS 允许您灵活地将密钥服务移至 CHGWS 或从 CHGWS 移出。如需开始密钥服务迁移,请与您的客户代表联系,以获取有关提交迁移请求的帮助。在请求中,请提供以下信息:

  • 端点 ID:CHGWS 的端点 ID。

  • 密钥服务网址:用于启用密钥服务 迁移的网址列表。

    • 如果您要迁移到 Cloud HSM for Google Workspace,请提供您要从中迁移的每个密钥服务端点的基本网址。
    • 如果您要从 Cloud HSM for Google Workspace 迁移,请提供您要迁移到的密钥服务端点的基本网址。

删除或停用端点

Cloud HSM for Google Workspace 端点不支持直接删除或停用操作。不过,您可以通过停用所有支持 Cloud KMS 密钥版本来停用 Cloud HSM for Google Workspace 端点。

  • 对于支持端点的每个 Cloud KMS 密钥版本,请运行以下命令:

    gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME

    替换以下内容:

    • KEY_VERSION:您要停用的密钥的版本,例如 1
    • KEY_RING:密钥环的名称,例如 CHGWS_KEY_RING
    • LOCATION:您要停用的位置,例如 us
    • KEY_NAME:密钥的名称,例如 CHGWS_KEY

启用端点

如果您已通过停用支持 Cloud KMS 密钥的所有密钥版本来停用 CHGWS 端点,则可以重新启用 CHGWS 端点。如需重新启用端点,请使用以下 gcloud CLI 命令启用支持 Cloud KMS 密钥的所有有效版本:

  • 对于支持端点的每个 Cloud KMS 密钥版本,请运行以下命令:

    gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME

    替换以下内容:

    • KEY_VERSION:您要启用的密钥的版本,例如 1
    • KEY_RING:密钥环的名称,例如 CHGWS_KEY_RING
    • LOCATION:您要启用的位置,例如 us
    • KEY_NAME:密钥的名称,例如 CHGWS_KEY

管理 CHGWS 结算

在您收到启用请求中请求的 CHGWS 端点后,系统会立即开始结算。从那时起,只要项目中的结算功能保持启用状态,Cloud HSM for Google Workspace 的定期订阅费用就会继续收取,即使您停用 CHGWS 端点也是如此。 Google Cloud 本部分介绍了如何停止收取 Cloud HSM for Google Workspace 的费用,以及如何恢复收取。

停用/启用项目结算

您可以停用包含 Cloud HSM for Google Workspace 的 Cloud KMS 密钥的项目结算。停用结算功能后,项目中的所有收费服务都将停止运行。停用项目级结算功能后,Cloud HSM for Google Workspace 订阅费用预计会在 24 小时内停止收取。

如果您想恢复使用 Cloud HSM for Google Workspace,可以 重新启用项目结算。重新启用结算功能后,您的订阅费用将恢复收取,CHGWS 端点和 Cloud KMS 密钥将再次正常运行。

请求手动停用或启用

如果您需要在停用 CHGWS 端点的同时保持 其他项目资源处于活动状态,请提交类似于 启用请求的请求。提供 Google Workspace 详细信息、CHGWS 端点 ID 和其他相关详细信息,并说明您的要求。CHGWS 团队可能需要 48 小时才能完成手动工单。请求完成后,Cloud HSM for Google Workspace 订阅费用预计会在 24 小时内停止收取。

您可以创建类似的请求来重新启用 CHGWS 端点及其结算功能。

删除或恢复项目

您可以删除项目,其中包含您的 Cloud HSM for Google Workspace 的 Cloud KMS 密钥。删除项目会停止项目中的所有服务。您可以在 删除项目后的 30 天内恢复已删除的项目。 不过,项目中的 Cloud KMS 密钥无法恢复,因此恢复的项目中所有使用密钥加密的文档和其他数据都将永久加密。恢复已删除的项目会恢复收取 Cloud HSM for Google Workspace 的订阅费用,即使 Cloud KMS 密钥仍无法恢复也是如此。

后续步骤