查看 Application Integration 支援的連接器。

客戶管理的加密金鑰

根據預設，Application Integration 會加密靜態儲存的客戶內容。Application Integration 會為您處理加密作業，您不必採取任何其他動作。這項做法稱為「Google 預設加密」。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，並搭配 CMEK 整合式服務 (包括 Application Integration)。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪換時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 也能查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理這些金鑰，而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。

使用 CMEK 設定資源後，存取 Application Integration 資源的體驗與使用 Google 預設加密類似。如要進一步瞭解加密選項，請參閱客戶管理的加密金鑰 (CMEK)。

事前準備

使用 Application Integration 的 CMEK 前，請務必完成下列工作：

1. 針對要用來儲存加密金鑰的專案啟用 Cloud KMS API。

   啟用 Cloud KMS API

   • 如果您在其他專案 (共用或金鑰代管專案) 中使用 CMEK，而非設定 Application Integration 的專案：
   1. 在共用或金鑰代管專案中啟用下列 API：
      • Cloud Key Management Service API
   2. 在共用或金鑰代管專案中，將下列 IAM 角色授予 Application Integration 預設服務帳戶的 CMEK 金鑰：
      • Cloud KMS CryptoKey 加密者/解密者
2. 將 Cloud KMS 管理員 IAM 角色指派給管理 CMEK 金鑰的人員。此外，請授予儲存加密金鑰的專案下列 IAM 權限：
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create
   • cloudkms.cryptoKeyVersions.useToEncrypt

   如要瞭解如何授予其他角色或權限，請參閱「授予、變更及撤銷存取權」一文。

3. 建立金鑰環和金鑰。

將服務帳戶新增至 CMEK 金鑰

如要在 Application Integration 中使用 CMEK 金鑰，請務必新增預設服務帳戶，並為該 CMEK 金鑰指派 CryptoKey Encrypter/Decrypter IAM 角色。

1. 前往 Google Cloud 控制台的「Key Inventory」(金鑰清單) 頁面。

   前往「金鑰庫存」頁面

2. 勾選所需的 CMEK 金鑰核取方塊。

   右邊窗格的「Permissions」(權限) 分頁隨即顯示。

3. 按一下「新增主體」，然後輸入預設服務帳戶的電子郵件地址。
4. 按一下「選取角色」，然後從下拉式清單中選取「Cloud KMS CryptoKey Encrypter/Decrypter」角色。
5. 按一下「Save」(儲存)。

為 Application Integration 區域啟用 CMEK 加密

CMEK 可用於加密及解密佈建區域範圍內 PD 上儲存的資料。

如要為 Google Cloud 專案中的 Application Integration 區域啟用 CMEK 加密，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Application Integration」頁面。

   前往「Application Integration」

2. 在導覽選單中，按一下「區域」。

   系統會顯示「Regions」(區域) 頁面，列出 Application Integration 的佈建區域。

3. 如要為現有整合項目使用 CMEK，請按一下「動作」 more_vert，然後選取「編輯加密」。
4. 在「編輯加密」窗格中，展開「進階設定」部分。
5. 選取「使用客戶自行管理的加密金鑰 (CMEK)」，然後執行下列操作：
   1. 從下拉式選單中選取 CMEK 金鑰。下拉式選單中列出的 CMEK 金鑰會根據佈建的區域顯示。如要建立新金鑰，請參閱「建立新的 CMEK 金鑰」。
   2. 按一下「驗證」，檢查預設服務帳戶是否具有所選 CMEK 金鑰的加密金鑰存取權。
   3. 如果所選 CMEK 金鑰的驗證失敗，請按一下「授予」，將「CryptoKey Encrypter/Decrypter」 IAM 角色指派給預設服務帳戶。
6. 按一下 [完成]。

建立新的 CMEK

如果不想使用現有金鑰，或指定區域中沒有金鑰，可以建立新的 CMEK 金鑰。

如要建立新的對稱加密金鑰，請在「建立新金鑰」對話方塊中執行下列步驟：

1. 選取金鑰環：
   1. 按一下「金鑰環」，然後選擇指定區域中的現有金鑰環。
   2. 如要為金鑰建立新的金鑰環，請按一下「建立金鑰環」切換鈕，然後執行下列步驟：
      1. 按一下「金鑰環名稱」，然後輸入金鑰環的名稱。
      2. 按一下「金鑰環位置」，然後選擇金鑰環的區域位置。
   3. 按一下「繼續」。
2. 建立金鑰：
   1. 按一下「金鑰名稱」，然後輸入新金鑰的名稱。
   2. 按一下「Protection level」(防護等級)，然後選取「Software」(軟體) 或「HSM」。

      如要瞭解防護等級，請參閱 Cloud KMS 防護等級。

3. 檢查金鑰和鑰匙圈詳細資料，然後按一下「繼續」。
4. 點選「建立」。

加密資料

下表列出 Application Integration 中加密的資料：

資源	加密資料
整合詳細資料	工作設定參數 工作設定說明
整合執行作業資訊	要求參數 回應參數 工作執行詳細資料
驗證設定檔憑證	使用者名稱和密碼 API 金鑰 OAuth 2.0 授權碼 OAuth 2.0 用戶端憑證 OAuth 2.0 資源擁有者密碼憑證 驗證權杖 JWT 權杖 服務帳戶 SSL/TLS 用戶端憑證 Google OIDC ID 權杖
核准/暫停工作詳細資料	核准或暫停設定

Cloud KMS 配額和 Application Integration

在 Application Integration 中使用 CMEK 時，專案可能會耗用 Cloud KMS 密碼編譯要求配額。舉例來說，CMEK 金鑰可能會在每次加密和解密呼叫時耗用這些配額。

使用 CMEK 金鑰的加密和解密作業會以下列方式影響 Cloud KMS 配額：

• 如果是透過 Cloud KMS 產生的軟體 CMEK 金鑰，則不會消耗任何 Cloud KMS 配額。
• 如果是硬體 CMEK 金鑰 (有時稱為 Cloud HSM 金鑰)，加密和解密作業會計入包含金鑰的專案中 Cloud HSM 配額。
• 如果是外部 CMEK 金鑰 (有時稱為 Cloud EKM 金鑰)，加密和解密作業會計入包含金鑰的專案中 Cloud EKM 配額。

詳情請參閱「Cloud KMS 配額」。