加入 Google Workspace 適用的 Cloud HSM

本頁面說明如何啟用 Google Workspace 適用的 Cloud HSM (CHGWS)。這項服務由 Cloud Key Management Service (Cloud KMS) 提供，可做為 Google Workspace 的加密金鑰服務。Google Workspace 適用的 Cloud HSM 可為 Google Workspace 提供更完善的隱私權控管機制，協助您達到 DISA IL5 等法規標準，並提升資料安全性。Cloud HSM 是一項符合標準、高可用性且全代管的金鑰管理服務，以雲端規模運作，並將硬體支援的金鑰儲存在符合 FIPS 140-2 第 3 級標準的 HSM (硬體安全模組) 中。

CHGWS 與多租戶 Cloud HSM 和單一租戶 Cloud HSM 金鑰皆相容。

詳情請參閱「Google Workspace 適用的 Cloud HSM」。

事前準備

為 Google Workspace 啟用 Cloud HSM 之前，請先完成下列先決條件：

• 設定 Google Workspace。
• 在 Google Workspace 中啟用 Google Workspace 用戶端加密 (CSE)。
• 在 Google Workspace CSE 中設定身分識別提供者 (IdP)。請記下 IdP 的用戶端 ID。如果您使用 Google Identity Platform，請在 Google Cloud 專案中找出用戶端 ID。
• 選用：如要允許在網頁以外的平台應用程式 (例如行動裝置或電腦) 存取 CSE 加密內容，請在 Google Workspace 管理控制台的 IdP 設定中，新增這些平台的用戶端 ID。請記下這個 IdP 的所有用戶端 ID。如果您使用 Google Identity Platform，請在 Google Cloud 專案中找出這些用戶端 ID。如果是其他身分提供者，請分別建立這些用戶端 ID。

適用地點

您可以在美國或歐洲地理區域內的任何單一或多個地區位置儲存 Cloud KMS 金鑰。Google Workspace 適用的 Cloud HSM 支援多租戶和單一租戶 Cloud HSM 金鑰。如要尋找特定位置，請前往 Cloud KMS 位置，並依 HSM 類型篩選。

Google Workspace 適用的 Cloud HSM 會自動在下列其中一個多區域中提供端點，這些區域最接近您的金鑰位置：

• us
• eur3

設定 Cloud KMS 專案 Google Cloud

Google Workspace 端點適用的 Cloud HSM 會使用 Cloud KMS 金鑰執行密碼編譯作業。設定新 Google Cloud 專案，用於存放 Cloud KMS 金鑰。

1. 建立 Google Cloud 專案。這是您的主要專案。請記下專案 ID 和專案編號，您需要這些資訊才能完成設定。

2. 為您建立的專案啟用計費功能。

3. 在 Google Cloud 金鑰專案中啟用 Cloud KMS API。

   啟用 API

4. 在 Google Cloud 控制台中，按一下「終端機」 啟用 Cloud Shell。

5. 比較專案 ID 與 Cloud Shell 提示中的專案 ID，確認您位於正確的專案。

6. 使用 Cloud Shell 建立 Cloud HSM for Google Workspace 服務帳戶：

   gcloud beta services identity create \
       --service=cloudkmskacls-pa.googleapis.com
   

   請記下這項指令建立的服務身分。您會在下一個步驟中需要服務身分名稱。

7. 將「CHGWS key Service Agent」角色授予您建立的服務帳戶：

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
       --role=roles/cloudkmskacls.serviceAgent
   

   更改下列內容：

   • PROJECT_ID：金鑰專案的專案 ID。
   • PROJECT_NUMBER：金鑰專案的專案編號。

管理 CHGWS 服務端點

以下各節說明如何設定及管理 CHGWS 端點。

設定 Cloud KMS 金鑰

為 CHGWS 金鑰服務端點設定 Cloud KMS 資源。

1. 在其中一個支援的地區中建立金鑰環：

   gcloud kms keyrings create KEY_RING --location LOCATION
   

   • 將 KEY_RING 替換為要用於 CHGWS 金鑰環的名稱，例如 CHGWS_KEY_RING。
   • 將 LOCATION 替換為要建立金鑰環的位置，例如 us。

2. 建立 Cloud HSM 金鑰。

   多租戶 Cloud HSM

   如要建立防護等級為 hsm 的金鑰，請按照下列步驟操作：

   gcloud kms keys create KEY_NAME \
       --protection-level "hsm" \
       --keyring KEY_RING \
       --location LOCATION \
       --purpose "encryption" \
       --rotation-period ROTATION_PERIOD \
       --next-rotation-time NEXT_ROTATION_TIME
   

   更改下列內容：

   • KEY_NAME：您要使用的金鑰名稱，例如 CHGWS_KEY。
   • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY_RING。
   • LOCATION：建立金鑰環的位置，例如 us。
   • ROTATION_PERIOD：您要輪替金鑰的頻率，例如 7d。
   • NEXT_ROTATION_TIME：下次金鑰輪替的日期和時間，例如 2024-03-20T01:00:00。

   單一租戶 Cloud HSM

   如要建立防護等級為 hsm_single_tenant 的金鑰，您必須先在相同位置佈建單一租戶 Cloud HSM 執行個體。

   1. 建立及佈建單一租戶 Cloud HSM 執行個體： 請按照「建立及管理單一租戶 Cloud HSM 執行個體」 指南中的操作說明進行。請記下佈建的執行個體 ID，您會在下一個步驟中使用。

   2. 建立金鑰：

      gcloud kms keys create KEY_NAME \
          --protection-level "hsm_single_tenant" \
          --keyring KEY_RING \
          --location LOCATION \
          --purpose "encryption" \
          --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \
          --rotation-period ROTATION_PERIOD \
          --next-rotation-time NEXT_ROTATION_TIME
      

      更改下列內容：

      • KEY_NAME：您要使用的金鑰名稱，例如 CHGWS_KEY。
      • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY_RING。
      • LOCATION：建立金鑰環的位置，例如 us。
      • PROJECT_ID：金鑰專案的專案 ID。
      • INSTANCE_NAME：要建立金鑰的單一租戶 Cloud HSM 執行個體名稱。
      • ROTATION_PERIOD：您要輪替金鑰的頻率，例如 7d。
      • NEXT_ROTATION_TIME：下次金鑰輪替的日期和時間，例如 2024-03-20T01:00:00。

   如要進一步瞭解金鑰建立選項，請參閱「建立金鑰」。

要求啟用及建立端點

如要申請啟用及建立端點，請與帳戶代表聯絡，請對方協助提交端點啟用申請。請在要求中附上下列資訊：

• Google Workspace 詳細資料

  • Google Workspace ID：您的 Google Workspace ID。請按照「找出客戶 ID」一文中的操作說明，找出您的 Google Workspace ID。

  • Google Workspace 管理員電子郵件地址：請提供以逗號分隔的清單，其中包含管理員電子郵件地址。

• 識別資訊提供者 (IdP) 詳細資料

  • 主要識別資訊提供者 (IdP) 詳細資料：

    • IdP JSON Web Key Set (JWKS) 網址：如果是 Google Identity Platform，請使用 https://www.googleapis.com/oauth2/v3/certs。
    • JSON Web Token (JWT) 權杖簽發者：如果是 Google Identity Platform，請使用 https://accounts.google.com。
    • JWT 對象：網頁應用程式的 IdP 用戶端 ID。
    • 其他 JWT 目標對象：選填。如果已設定非網頁平台應用程式，請提供用戶端 ID。如果是 Google Identity Platform，請使用「如果以 Google 識別資訊做為 CSE 的 IdP」一文提供的用戶端 ID。

  • 訪客 IdP 詳細資料：選填。如果您使用訪客 IdP，請完成這個部分。

    • 訪客 IdP JWKS 網址：訪客 IdP 的 JWKS 網址。
    • 訪客 JWT 權杖核發者：訪客 IdP 的 JWT 權杖核發者。
    • 訪客 JWT 對象：訪客 IdP 的網頁應用程式用戶端 ID，Google Meet 除外。
    • 訪客額外 JWT 對象：選用。如果您設定 Google Meet 網頁用戶端 ID 或其他非網頁平台應用程式用戶端 ID，請為每個 ID 提供用戶端 ID。如果是 Google Identity Platform，請使用「如要使用 Google 身分進行 CSE」一文提供的用戶端 ID。

• CSE 金鑰詳細資料

  • Google Cloud 專案 ID：PROJECT_ID
  • Google Cloud 專案編號：PROJECT_NUMBER
  • Cloud KMS 金鑰環名稱：KEY_RING
  • Cloud KMS 金鑰環位置：LOCATION
  • Cloud KMS 金鑰名稱：KEY_NAME
  • Cloud KMS 金鑰防護等級：應為 hsm 或 hsm_single_tenant
  • CHGWS 基礎網址：選填。啟用金鑰遷移的網址清單。如果這是您第一次為這個 Google Workspace 設定 CHGWS，請將這個欄位留空。

• 其他詳細資料

  • 客戶名稱：提供客戶名稱。
  • 預計使用者人數：請提供 Google Workspace 執行個體中的預計使用者人數。

在 Google Workspace CSE 中設定 CHGWS 端點

設定 Google Workspace CSE，使用您建立 CHGWS 端點時產生的 CHGWS 網址。請按照「新增及管理金鑰服務以進行用戶端加密」一文的說明操作。

金鑰服務遷移

CHGWS 可讓您彈性地將金鑰服務移至 CHGWS 或從 CHGWS 移出。如要開始遷移金鑰服務，請與帳戶代表聯絡，協助您提交遷移要求。請在要求中附上下列資訊：

• 端點 ID：CHGWS 的端點 ID。

• 金鑰服務網址：啟用金鑰服務遷移作業的網址清單。

  • 如果您要遷移至 Cloud HSM for Google Workspace，請提供您要遷移的每個金鑰服務端點基本網址。
  • 如果您要從 Google Workspace 適用的 Cloud HSM 遷移，請提供要遷移的金鑰服務端點基本網址。

刪除或停用端點

系統不直接支援對 Google Workspace 端點的 Cloud HSM 執行刪除或停用作業。不過，您可以停用所有備份 Cloud KMS 金鑰版本，藉此停用 Google Workspace 端點的 Cloud HSM。

• 針對支援端點的每個 Cloud KMS 金鑰版本，執行下列指令：

  gcloud kms keys versions disable KEY_VERSION --keyring \
      KEY_RING --location LOCATION --key KEY_NAME
  

  更改下列內容：

  • KEY_VERSION：要停用的金鑰版本，例如 1。
  • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY_RING。
  • LOCATION：要停用的位置，例如 us。
  • KEY_NAME：金鑰名稱，例如 CHGWS_KEY。

啟用端點

如果您停用所有支援的 Cloud KMS 金鑰版本，導致 CHGWS 端點遭到停用，可以重新啟用該端點。如要重新啟用端點，請使用下列 gcloud CLI 指令，啟用所有有效版本的備份 Cloud KMS 金鑰：

• 針對支援端點的每個 Cloud KMS 金鑰版本，執行下列指令：

  gcloud kms keys versions enable KEY_VERSION --keyring \
      KEY_RING --location LOCATION --key KEY_NAME
  

  更改下列內容：

  • KEY_VERSION：要啟用的金鑰版本，例如 1。
  • KEY_RING：金鑰環的名稱，例如 CHGWS_KEY_RING。
  • LOCATION：要啟用服務的位置，例如 us。
  • KEY_NAME：金鑰名稱，例如 CHGWS_KEY。

管理 CHGWS 的帳單

系統提供您在新手上路要求中要求的 CHGWS 端點後，就會開始計費。從那時起，只要 Google Cloud 專案仍啟用帳單功能，即使您停用 CHGWS 端點，系統仍會持續收取 Cloud HSM for Google Workspace 的週期性訂閱費用。本節說明如何停止累計 Cloud HSM for Google Workspace 的費用，以及如何恢復累計。

停用/啟用專案計費功能

您可以為包含 Cloud KMS 金鑰的專案停用計費功能，以使用 Google Workspace 適用的 Cloud HSM。停用計費功能後，專案中的所有收費服務都會停止運作。停用專案層級的帳單後，Google Workspace 適用的 Cloud HSM 訂閱費用會在 24 小時內停止計費。

如要繼續使用 Google Workspace 適用的 Cloud HSM，可以重新啟用專案的帳單功能。重新啟用帳單後，系統會繼續收取訂閱費用，且 CHGWS 端點和 Cloud KMS 金鑰會恢復正常運作。

要求手動停用或啟用

如要停用 CHGWS 端點，但維持其他專案資源的運作狀態，請提出類似新手上路要求的要求。請提供 Google Workspace 詳細資料、CHGWS 端點 ID 和其他相關詳細資料，並說明您的需求。CHGWS 團隊可能需要 48 小時才能完成手動處理的案件。要求完成後，Google Workspace 適用的 Cloud HSM 訂閱費用會在 24 小時內停止計費。

如要重新啟用 CHGWS 端點和帳單，請提出類似要求。

刪除或還原專案

您可以刪除專案，當中包含 Google Workspace 適用的 Cloud HSM Cloud KMS 金鑰。刪除專案會停止專案中的所有服務。您可以在刪除專案後的 30 天內復原專案。不過，專案中的 Cloud KMS 金鑰無法復原，因此以復原專案中的金鑰加密的所有文件和其他資料，都會永久加密刪除。還原已刪除的專案後，即使 Cloud KMS 金鑰無法復原，系統仍會繼續收取 Google Workspace 適用的 Cloud HSM 訂閱費用。

後續步驟

• 進一步瞭解 Google Workspace 適用的 Cloud HSM。
• 進一步瞭解 Cloud Key Management Service。
• 瞭解如何新增及管理金鑰服務以進行用戶端加密。