谷歌终于决定为管理员提供在谷歌Cloud Platform(简称GCP)上管理自有加密密钥的能力，而具体服务正是云密钥管理服务(简称KMS)。谷歌方面亦是三大主要云供应商中最后一家提供此类密钥管理服务的厂商——Amazon与微软此次已经推出这类方案。

目前尚处于beta测试阶段的Cloud KMS能帮助管理员管理企业内的加密密钥，且无需额外维护内部密钥管理系统或者部署硬件安全模块。利用Cloud KMS，管理员能够管理企业中的全部加密密钥，而不仅限于GCP内用于保护数据的密钥。

管理员能够通过Cloud KMS API创建、使用、轮换及销毁AES-256对称加密密钥。一条密钥的多个版本可随意用于进行加密，但其中只有一套主密钥版本可用于对新数据进行加密。轮换计划可进行定义，从而自动通过固定时间周期生成新的密钥版本。其中还内置有24小时的密钥销毁延迟，这是为了避免尝试销毁密钥时造成意外或者不良影响。Cloud KMS可与GCP的云身份访问管理与云审计日志记录服务相结合，管理员可借此管理个人密钥权限并监控其使用情况。

Cloud KMS还提供一个REST API，允许在Galois/Counter模式下进行AES-256加密或解密，其使用谷歌云存储内用于数据加密的同一套加密库。AES GCM由谷歌维护的BoringSSL库实现，且该公司仍在利用多种工具对这套加密库的薄弱环节进行检查，“包括与近期Wycheproof项目中所使用的开源加密测试工具类似的各类工具，”谷歌公司产品经理Maya Kaczorowski在谷歌Cloud Platform的博客中指出。

相较于AWS与微软Azure，GCP在加密方面一直表现得比较滞后。Amazon早在2014年6月就为其S3服务提供了客户提供加密密钥(简称CSEK)选项，并于当年晚些时候推出了AWS密钥管理服务。微软于2015年1月通过Key Vault添加了CSEK功能。谷歌的CSEK支持出现于2015年6月，而且直到现在才推出Cloud KMS。

谷歌云存储服务默认对服务器端数据进行加密，而管理员必须专门选择“云密钥管理服务”以管理该云服务中的密钥，或者使用“客户提供加密密钥”管理内部密钥。CSEK亦可与谷歌Compute Engine配合使用。

Kaczorowski表示，来自金融服务及医疗卫生等行业的客户能够充分享受托管密钥管理服务带来的便利。然而，管理员应当考虑到如果政府下达法律命令强迫谷歌提供密钥信息，那么这种便捷性是否会给敏感信息造成威胁——因为根据现有政策，谷歌必须配合政府执法并允许其访问所有服务管理密钥。

另外，企业还应考虑谷歌方面是否会从欧洲区域内收集个人信息。欧洲一般性数据保护监管要求适用于欧洲区域内的个人数据，无论其存储在全球哪个位置，且监管机构建议客户不要使用由云供应商提供的加密密钥。如果该密钥由客户方安全持有，则云供应商只能负责维持数据的访问与可用性。使用GCP及Cloud KMS有可能(也有可能不)与欧洲监管机构要求产生冲突。

云加密厂商CipherCloud公司创始人、董事长兼CEO Pravin Kothari表示，“加密机制只在将加密数据与密钥分别存储时才会生效。如果使用同一家供应商，无论是AWS或者谷歌，那么密钥与数据共存的情况都会给很多企业造成合规性与安全性挑战。”