Informationen zu den unterstützten Connectors für Application Integration.
Vom Kunden verwaltete Verschlüsselungsschlüssel
Standardmäßig verschlüsselt Application Integration Daten bei Inaktivität automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder regulatorische Anforderungen in Bezug auf die Schlüssel haben, die Ihre Daten schützen, oder wenn Sie die Verschlüsselung selbst steuern und verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. CMEK-Schlüssel können als Softwareschlüssel, in einem HSM-Cluster oder extern in Cloud External Key Manager (Cloud EKM) gespeichert werden.
Weitere Informationen zu CMEK finden Sie in der Dokumentation zum Cloud Key Management Service.
Hinweise
Achten Sie darauf, dass die folgenden Aufgaben abgeschlossen sind, bevor Sie CMEK für Application Integration verwenden:
- Aktivieren Sie die Cloud KMS API für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.
- Weisen Sie die IAM-Rolle Cloud KMS-Administrator zu oder gewähren Sie die folgenden IAM-Berechtigungen für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Informationen zum Gewähren zusätzlicher Rollen oder Berechtigungen finden Sie unter Zugriff gewähren, ändern und widerrufen.
- Erstellen Sie einen Schlüsselbund und einen Schlüssel.
Dienstkonto zum CMEK-Schlüssel hinzufügen
Damit Sie einen CMEK-Schlüssel in Application Integration verwenden können, müssen Sie dafür sorgen, dass Ihr Standarddienstkonto hinzugefügt und die IAM-Rolle CryptoKey Encrypter/Decrypter für diesen CMEK-Schlüssel zugewiesen und zugewiesen ist.
- Rufen Sie in der Google Cloud Console die Seite Wichtiges Inventar auf.
- Klicken Sie auf das Kästchen für den gewünschten CMEK-Schlüssel.
Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
- Klicken Sie auf Hauptkonto hinzufügen und geben Sie die E-Mail-Adresse des Standarddienstkontos ein.
- Klicken Sie auf Rolle auswählen und wählen Sie die Rolle Cloud KMS CryptoKey Encrypter/Decrypter aus der verfügbaren Drop-down-Liste aus.
- Klicken Sie auf Speichern.
CMEK-Verschlüsselung für eine Application Integration-Region aktivieren
Mit CMEK können Daten ver- und entschlüsselt werden, die auf PDs im Bereich der bereitgestellten Region gespeichert sind.
Führen Sie die folgenden Schritte aus, um die CMEK-Verschlüsselung für eine Application Integration-Region in Ihrem Google Cloud-Projekt zu aktivieren:- Rufen Sie in der Google Cloud Console die Seite Anwendungsintegration auf.
- Klicken Sie im Navigationsmenü auf Regionen.
Die Seite Regionen wird geöffnet. Dort sind die bereitgestellten Regionen für Application Integration aufgeführt.
- Klicken Sie für die vorhandene Integration, die Sie CMEK verwenden möchten, auf Aktionen und wählen Sie Verschlüsselung bearbeiten aus.
- Maximieren Sie im Bereich Verschlüsselung bearbeiten den Bereich Erweiterte Einstellungen.
- Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus und gehen Sie so vor:
- Wählen Sie aus der verfügbaren Drop-down-Liste einen CMEK-Schlüssel aus. Die im Drop-down-Menü aufgeführten CMEK-Schlüssel basieren auf der bereitgestellten Region. Informationen zum Erstellen eines neuen Schlüssels finden Sie unter Neuen CMEK-Schlüssel erstellen.
- Klicken Sie auf Bestätigen, um zu prüfen, ob Ihr Standarddienstkonto Kryptoschlüsselzugriff auf den ausgewählten CMEK-Schlüssel hat.
- Wenn die Überprüfung für den ausgewählten CMEK-Schlüssel fehlschlägt, klicken Sie auf Erteilen, um dem Standarddienstkonto die IAM-Rolle CryptoKey Encrypter/Decrypter zuzuweisen.
- Klicken Sie auf Fertig.
Neuen CMEK-Schlüssel erstellen
Sie können einen neuen CMEK-Schlüssel erstellen, wenn Sie den vorhandenen Schlüssel nicht verwenden möchten oder in der angegebenen Region keinen Schlüssel haben.
Führen Sie im Dialogfeld Neuen Schlüssel erstellen die folgenden Schritte aus, um einen neuen symmetrischen Verschlüsselungsschlüssel zu erstellen:- Wählen Sie einen Schlüsselbund aus:
- Klicken Sie auf Schlüsselbund und wählen Sie einen vorhandenen Schlüsselbund in der angegebenen Region aus.
- Wenn Sie einen neuen Schlüsselbund für Ihren Schlüssel erstellen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Schlüsselbund erstellen und führen Sie die folgenden Schritte aus:
- Klicken Sie auf Schlüsselbundname und geben Sie einen Namen für den Schlüsselbund ein.
- Klicken Sie auf Schlüsselbund-Speicherort und wählen Sie den regionalen Standort für Ihren Schlüsselbund aus.
- Klicken Sie auf Weiter.
- Schlüssel erstellen:
- Klicken Sie auf Schlüsselname und geben Sie einen Namen für den neuen Schlüssel ein.
- Klicken Sie auf Schutzniveau und wählen Sie entweder Software oder HSM aus.
Informationen zu Schutzniveaus finden Sie unter Cloud KMS-Schutzniveaus.
- Prüfen Sie die Details zu Schlüssel und Schlüsselbund und klicken Sie auf Weiter.
- Klicken Sie auf Erstellen.
Cloud KMS-Kontingente und Application Integration
Wenn Sie CMEK in Application Integration verwenden, können Ihre Projekte Cloud KMS-Kontingente für kryptografische Anfragen verbrauchen. CMEK-Schlüssel können diese Kontingente beispielsweise für jeden Verschlüsselungs- und Entschlüsselungsaufruf nutzen.
Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:
- Für CMEK-Softwareschlüssel, die in Cloud KMS generiert wurden, wird kein Cloud KMS-Kontingent verbraucht.
- Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
- Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
Weitere Informationen finden Sie unter Cloud KMS-Kontingente.