Informationen zu den unterstützten Connectors für Application Integration.
Vom Kunden verwaltete Verschlüsselungsschlüssel
Standardmäßig verschlüsselt Application Integration Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben oder die Verschlüsselung selbst steuern und verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. CMEK-Schlüssel können als Softwareschlüssel, in einem HSM-Cluster oder extern im Cloud External Key Manager (Cloud EKM) gespeichert werden.
Weitere Informationen zu CMEK finden Sie in der Dokumentation zum Cloud Key Management Service.
Hinweise
Führen Sie die folgenden Aufgaben aus, bevor Sie CMEK für die Anwendungsintegration verwenden:
- Aktivieren Sie die Cloud KMS API für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.
- Weisen Sie die IAM-Rolle Cloud KMS Admin zu oder gewähren Sie dem Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden, die folgenden IAM-Berechtigungen:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Erstellen Sie einen Schlüsselbund und einen Schlüssel.
Dienstkonto zum CMEK-Schlüssel hinzufügen
Wenn Sie einen CMEK-Schlüssel in der Anwendungsintegration verwenden möchten, müssen Sie dafür sorgen, dass Ihr Standarddienstkonto hinzugefügt und ihm die IAM-Rolle CryptoKey-Verschlüsseler/Entschlüsseler für diesen CMEK-Schlüssel zugewiesen wird.
- Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.
- Klicken Sie das Kästchen für den gewünschten CMEK-Schlüssel an.
Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
- Klicken Sie auf Hauptkonto hinzufügen und geben Sie die E-Mail-Adresse des Standarddienstkontos ein.
- Klicken Sie auf Rolle auswählen und wählen Sie in der Drop-down-Liste die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
CMEK-Verschlüsselung für eine Region für die Anwendungsintegration aktivieren
Mit CMEK können auf PDs gespeicherte Daten im Bereich der bereitgestellten Region verschlüsselt und entschlüsselt werden.
So aktivieren Sie die CMEK-Verschlüsselung für eine Region der Anwendungsintegration in Ihrem Google Cloud-Projekt:- Rufen Sie in der Google Cloud Console die Seite Application Integration auf.
Gehen Sie zu „Application Integration“ (Anwendungsintegration).
- Klicken Sie im Navigationsmenü auf Regionen.
Die Seite Regionen wird angezeigt. Dort sind die bereitgestellten Regionen für Application Integration aufgeführt.
- Klicken Sie für die vorhandene Integration, für die Sie CMEK verwenden möchten, auf Aktionen und wählen Sie Verschlüsselung bearbeiten aus.
- Maximieren Sie im Bereich Verschlüsselung bearbeiten den Abschnitt Erweiterte Einstellungen.
- Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus und gehen Sie so vor:
- Wählen Sie einen CMEK-Schlüssel aus der Drop-down-Liste aus. Die im Drop-down-Menü aufgeführten CMEK-Schlüssel basieren auf der bereitgestellten Region. Informationen zum Erstellen eines neuen Schlüssels finden Sie unter Neuen CMEK-Schlüssel erstellen.
- Klicken Sie auf Überprüfen, um zu prüfen, ob Ihr Standarddienstkonto Kryptoschlüsselzugriff auf den ausgewählten CMEK-Schlüssel hat.
- Wenn die Überprüfung für den ausgewählten CMEK-Schlüssel fehlschlägt, klicken Sie auf Zuweisen, um dem Standarddienstkonto die IAM-Rolle CryptoKey-Verschlüsseler/Entschlüsseler zuzuweisen.
- Klicken Sie auf Fertig.
Neuen CMEK-Schlüssel erstellen
Sie können einen neuen CMEK-Schlüssel erstellen, wenn Sie den vorhandenen Schlüssel nicht verwenden möchten oder keinen Schlüssel in der angegebenen Region haben.
Führen Sie im Dialogfeld Neuen Schlüssel erstellen die folgenden Schritte aus, um einen neuen symmetrischen Verschlüsselungsschlüssel zu erstellen:- Wählen Sie „Schlüsselbund“ aus:
- Klicken Sie auf Schlüsselbund und wählen Sie einen vorhandenen Schlüsselbund in der angegebenen Region aus.
- Wenn Sie einen neuen Schlüsselbund für Ihren Schlüssel erstellen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Schlüsselbund erstellen und führen Sie die folgenden Schritte aus:
- Klicken Sie auf Schlüsselbundname und geben Sie einen Namen für den Schlüsselbund ein.
- Klicken Sie auf Ort für den Schlüsselbund und wählen Sie den regionalen Standort Ihres Schlüsselbunds aus.
- Klicken Sie auf Weiter.
- Schlüssel erstellen:
- Klicken Sie auf Schlüsselname und geben Sie einen Namen für den neuen Schlüssel ein.
- Klicken Sie auf Schutzniveau und wählen Sie entweder Software oder HSM aus.
Informationen zu den Schutzniveaus finden Sie unter Cloud KMS-Schutzniveaus.
- Überprüfen Sie die Details zum Schlüssel und Schlüsselring und klicken Sie auf Weiter.
- Klicken Sie auf Erstellen.
Cloud KMS-Kontingente und Anwendungsintegration
Wenn Sie CMEK in der Anwendungsintegration verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-Schlüssel können diese Kontingente beispielsweise pro Verschlüsselungs- und Entschlüsselungsaufruf verbrauchen.
Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:
- Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
- Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
- Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
Weitere Informationen finden Sie unter Cloud KMS-Kontingente.