Cloud KMS 是 Google Cloud 提供的雲端加密金鑰管理服務， 可讓您在雲端上安全地存儲和管理您的加密金鑰。

Cloud KMS 提供以下功能：

• 建立和管理加密金鑰： 建立和管理對稱和非對稱加密金鑰。
• 控制加密金鑰的使用： 控制加密金鑰在應用程式和 GCP 服務中的使用。
• 加密、解密和簽署資料： 提供 API 來加密、解密和簽署資料。
• 支援在本地建立的加密金鑰： 支援在本地建立的加密金鑰。
• 與其他 Google Cloud 服務整合： 與許多 Google Cloud 服務整合，以提供資料加密。

Cloud KMS 有三種金鑰類型：

• Google 管理的金鑰： Google 管理的金鑰由 Google 管理，並由 Google 的基礎架構保護。
• 客戶管理的金鑰： 客戶管理的金鑰由您管理，並由您存儲在 Cloud KMS 中。
• 客戶提供的金鑰： 客戶提供的金鑰由您在本地建立，並由您上傳到 Cloud KMS。

就我實際在工作的使用上，我們會使用 KMS 加密一些 Credentials 放到 GKE 集群中，當 Pods 被建立時，會透過 KMS 的 API 來解密這些 Credentials，以取得程式運行的必要資料，如 api key 等等，而這個加解密機制會透過 IAM 來控管。

總體而言，Cloud KMS 是一種強大的工具，可幫助您保護您的資料安全。