Google cloud storage 使用CMEK和云存储限制云KMS密钥的加密/解密权限
我在一个谷歌云项目中有两个存储桶,比如说存储项目。一个bucket使用默认加密,另一个bucket使用在另一个名为security project的项目中创建的客户管理密钥CMEK进行加密。我已将Cloud KMS CryptoKey Encrypter/Decrypter角色授予云存储服务帐户服务-xxxxxxxx@gs-存储项目中的project-accounts.iam.gserviceaccount.com。我可以成功地上传文件到这个存储桶使用谷歌帐户谁是所有者的两个项目。这是意料之中的行为 现在,我有了另一个用户帐户,该帐户在存储项目上具有角色查看器和存储对象创建者,但对安全项目没有权限。我担心的是,上述用户能够从第二个存储桶上载和下载文件,即使用户没有被授予上述密钥的加密/解密权限 根据链接,使用客户管理的加密密钥进行加密和解密是使用服务帐户完成的。这意味着在存储项目中具有存储对象创建者角色的任何人都可以使用该密钥进行加密/解密Google cloud storage 使用CMEK和云存储限制云KMS密钥的加密/解密权限,google-cloud-storage,google-cloud-kms,Google Cloud Storage,Google Cloud Kms,我在一个谷歌云项目中有两个存储桶,比如说存储项目。一个bucket使用默认加密,另一个bucket使用在另一个名为security project的项目中创建的客户管理密钥CMEK进行加密。我已将Cloud KMS CryptoKey Encrypter/Decrypter角色授予云存储服务帐户服务-xxxxxxxx@gs-存储项目中的project-accounts.iam.gserviceaccount.com。我可以成功地上传文件到这个存储桶使用谷歌帐户谁是所有者的两个项目。这是意料之中的
有没有办法限制用户的加密/解密权限?更具体地说,该用户应该能够将文件上载到第一个存储桶,而不是第二个存储桶,就像我们使用AWS KMS+S3所做的那样。对于您可以为其设置细粒度云IAM权限的每个云KMS对象类型,该对象都有一个testIamPermissions方法。testIamPermissions方法返回调用者为该对象授予的权限集。 您可以使用此后台限制用户的加密/解密权限 一些背景背景对于理解这一点很重要。在谷歌云上,许多服务作为一个整体运行。例如,谷歌云存储在每个谷歌云项目中都有一个唯一的服务帐户。您可以通过云控制台、API甚至curl,如下所示:
$ curl https://storage.googleapis.com/storage/v1/projects/${PROJECT_ID}/serviceAccount \
--header "Authorization: Bearer $(gcloud auth print-access-token)"
service-1234567890@gs-project-accounts.iam.gserviceaccount.com
+-----------+ +---------------+ +-------+
| Developer | | Cloud Storage | | Disk |
+-----------+ +---------------+ +-------+
| | |
| Upload object | |
|---------------------->| |
| | ----------------------------------\ |
| |-| Encrypt with Google-managed key | |
| | |---------------------------------| |
| | |
| | Write encrypted object |
| |-------------------------------------->|
| | |
+-----------+ +---------------+ +-----------+ +-------+
| Developer | | Cloud Storage | | Cloud KMS | | Disk |
+-----------+ +---------------+ +-----------+ +-------+
| | | |
| Upload object | | |
|---------------------->| | |
| | | |
| | Encrypt this object | |
| |---------------------------------->| |
| | | |
| | Here's the encrypted object | |
| |<----------------------------------| |
| | | |
| | Write encrypted object | |
| |---------------------------------------------->|
| | | |
+-----------+ +---------------+ +-------+
| Developer | | Cloud Storage | | Disk |
+-----------+ +---------------+ +-------+
| | |
| Upload object | |
|---------------------->| |
| | ----------------------------------\ |
| |-| Encrypt with Google-managed key | |
| | |---------------------------------| |
| | |
| | Write encrypted object |
| |-------------------------------------->|
| | |
+-----------+ +---------------+ +-----------+ +-------+
| Developer | | Cloud Storage | | Cloud KMS | | Disk |
+-----------+ +---------------+ +-----------+ +-------+
| | | |
| Upload object | | |
|---------------------->| | |
| | | |
| | Encrypt this object | |
| |---------------------------------->| |
| | | |
| | Here's the encrypted object | |
| |<----------------------------------| |
| | | |
| | Write encrypted object | |
| |---------------------------------------------->|
| | | |
+-----------+ +-----------+ +---------------+ +-------+
| Developer | | Cloud KMS | | Cloud Storage | | Disk |
+-----------+ +-----------+ +---------------+ +-------+
| | | |
| Encrypt this object | | |
|---------------------------------->| | |
| | | |
| Here's the encrypted object | | |
|<----------------------------------| | |
| | | |
| Upload KMS-encrypted object | | |
|-------------------------------------------------->| |
| | | ----------------------------------\ |
| | |-| Encrypt with Google-managed key | |
| | | |---------------------------------| |
| | | |
| | | Write KMS-encrypted, Google-encrypted object |
| | |------------------------------------------------->|
| | | |
我知道我们可以向每个用户授予粒度访问权限。但在我的例子中,即使用户没有在CMEK上明确授予加密权限,用户也可以将文件上载到启用加密的bucket。预期的行为是,只有在CMEK上具有云KMS加密密钥加密/解密器权限的用户才能将文件上载到上述存储桶,而其他用户
无法。我们可以在使用CMEK加密文件时满足上述要求,例如通过gcloud shell。在CMEK上分配了Cloud KMS CryptoKey Encrypter角色的用户可以使用该CMEK加密文件。但当从用户取消分配角色时,它将获得加密命令的权限拒绝错误。然而,当涉及GCS时,是云存储服务帐户代表用户执行加密/解密操作。因此,我们无法在用户级别限制访问。我正在寻找解决这个问题的方法。谢谢你的解释。我提到的场景和解决方案在AWS中运行良好。因此,我想确保Google Cloud KMS是否可行。@sethvargo这样看起来密钥不会离开KMS,因为云存储通过将数据发送到KMS并接收加密版本来加密对象?你能提供这个流程的参考吗?这是正确的,有点。云存储生成数据加密密钥DEK,并使用该密钥加密数据。然后将DEK发送到KMS以加密DEK。这称为信封加密。KMS从未看到明文存储对象。