查看 Application Integration 支持的连接器。
客户管理的加密密钥
默认情况下,应用集成会使用 Google 管理的加密密钥自动加密静态数据。如果您对保护数据的密钥有特定的合规性或监管要求,或者您希望自行控制和管理加密,则可以使用客户管理的加密密钥 (CMEK)。CMEK 密钥可以作为软件密钥存储在 HSM 集群中,也可以存储在 Cloud External Key Manager (Cloud EKM) 的外部位置。
如需详细了解 CMEK,请参阅 Cloud Key Management Service 文档。
准备工作
在将 CMEK 用于应用集成之前,请确保已完成以下任务:
- 为存储加密密钥的项目启用 Cloud KMS API。
- 为存储加密密钥的项目分配 Cloud KMS Admin IAM 角色,或为该项目授予以下 IAM 权限:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
如需了解如何授予其他角色或权限,请参阅授予、更改和撤消访问权限。
- 创建密钥环和密钥。
将服务账号添加到 CMEK 密钥
如需在 Application Integration 中使用 CMEK 密钥,您必须确保已添加默认服务账号,并为该 CMEK 密钥分配 CryptoKey Encrypter/Decrypter IAM 角色。
- 在 Google Cloud 控制台中,前往密钥目录页面。
- 选中所需 CMEK 密钥对应的复选框。
右侧窗格中的权限标签变为可用。
- 点击添加主账号,然后输入默认服务账号的电子邮件地址。
- 点击选择角色,然后从可用下拉列表中选择 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
- 点击保存。
为应用集成区域启用 CMEK 加密
CMEK 可用于加密和解密预配区域范围内 PD 上存储的数据。
如需为 Google Cloud 项目中的应用集成区域启用 CMEK 加密,请执行以下步骤:- 在 Google Cloud 控制台中,前往 Application Integration 页面。
- 在导航菜单中,点击地区。
系统随即会显示区域页面,其中列出了为 Apigee Integration 预配的区域。
- 对于要使用 CMEK 的现有集成,请点击 操作,然后选择修改加密。
- 在“修改加密”窗格中,展开高级设置部分。
- 选择使用客户管理的加密密钥 (CMEK),然后执行以下操作:
- 从可用下拉列表中选择一个 CMEK 密钥。下拉菜单中列出的 CMEK 密钥取决于预配的区域。如需创建新密钥,请参阅创建新的 CMEK 密钥。
- 点击验证,检查您的默认服务账号是否对所选 CMEK 密钥拥有加密密钥访问权限。
- 如果所选 CMEK 密钥的验证失败,请点击授予,将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务账号。
- 点击完成。
创建新的 CMEK 密钥
如果您不想使用现有密钥,或者您在指定区域没有密钥,则可以创建新的 CMEK 密钥。
如需创建新的对称加密密钥,请在创建新密钥对话框中执行以下步骤:- 选择“密钥环”:
- 点击密钥环,然后选择指定区域中的现有密钥环。
- 如果您想为密钥创建新的密钥环,请点击创建密钥环切换开关,然后执行以下步骤:
- 点击密钥环名称,然后输入密钥环的名称。
- 点击密钥环位置,然后选择密钥环所在的区域位置。
- 点击继续。
- 创建密钥:
- 点击密钥名称,然后为新密钥输入名称。
- 点击保护级别,然后选择软件或 HSM。
如需了解保护级别,请参阅 Cloud KMS 保护级别。
- 查看您的密钥和密钥环详细信息,然后点击继续。
- 点击创建。
Cloud KMS 配额和 Application Integration
在应用集成中使用 CMEK 时,您的项目可能会消耗 Cloud KMS 加密请求配额。例如,CMEK 密钥可为每次加密和解密调用消耗这些配额。
使用 CMEK 密钥执行的加密和解密操作通过以下方式影响 Cloud KMS 配额:
- 对于在 Cloud KMS 中生成的软件 CMEK 密钥,不会消耗 Cloud KMS 配额。
- 对于硬件 CMEK 密钥(有时称为 Cloud HSM 密钥),加密和解密操作会计入包含该密钥的项目中的 Cloud HSM 配额。
- 对于外部 CMEK 密钥(有时称为 Cloud EKM 密钥),加密和解密操作会计入包含该密钥的项目中的 Cloud EKM 配额。
如需了解详情,请参阅 Cloud KMS 配额。