请参阅 Application Integration 支持的连接器

客户管理的加密密钥

默认情况下,Application Integration 会使用由 Google 管理的加密密钥自动加密静态数据。如果您对保护数据的密钥有特定的合规性或监管要求,或者您希望自行控制和管理加密,则可以使用客户管理的加密密钥 (CMEK)。CMEK 密钥可以作为软件密钥存储在 HSM 集群中,也可以存储在外部 Cloud External Key Manager (Cloud EKM) 中。

如需详细了解 CMEK,请参阅 Cloud Key Management Service 文档

准备工作

在使用 CMEK 进行 Application Integration 之前,请确保完成以下任务:

  1. 为存储加密密钥的项目启用 Cloud KMS API。

    启用 Cloud KMS API

  2. 为将存储加密密钥的项目分配 Cloud KMS Admin IAM 角色或授予以下 IAM 权限:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    如需了解如何授予其他角色或权限,请参阅授予、更改和撤消访问权限

  3. 创建密钥环密钥

将服务帐号添加到 CMEK 密钥

为了在 Application Integration 中使用 CMEK 密钥,您必须确保为您的默认服务帐号添加并分配了该 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色。

  1. 在 Google Cloud 控制台中,前往 Key Inventory 页面。

    转到“密钥清单”页面

  2. 选中所需 CMEK 密钥对应的复选框。

    右侧窗格中的权限标签页变为可用。

  3. 点击添加主帐号,然后输入默认服务帐号的电子邮件地址。
  4. 点击选择角色,然后从可用下拉列表中选择 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
  5. 点击保存

为 Application Integration 区域启用 CMEK 加密

CMEK 可用于加密和解密预配区域范围内的永久性磁盘上存储的数据。

如需为 Google Cloud 项目中的 Application Integration 区域启用 CMEK 加密,请执行以下步骤:
  1. 在 Google Cloud 控制台中,前往 Application Integration 页面。

    转到 Application Integration

  2. 在导航菜单中,点击区域

    随即会出现区域页面,其中列出了为 Application Integration 预配的区域。

  3. 对于要使用 CMEK 的现有集成,请点击 操作,然后选择修改加密
  4. 修改加密窗格中,展开高级设置部分。
  5. 选择使用客户管理的加密密钥 (CMEK),然后执行以下操作:
    1. 从可用下拉列表中选择 CMEK 密钥。下拉菜单中列出的 CMEK 密钥基于预配的区域。如需创建新密钥,请参阅创建新的 CMEK 密钥
    2. 点击验证,检查您的默认服务帐号是否对所选 CMEK 密钥具有加密密钥访问权限。
    3. 如果对所选 CMEK 密钥的验证失败,请点击授予,将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务帐号。
  6. 点击完成

创建新的 CMEK 密钥

如果您不想使用现有密钥,或者您在指定区域中没有密钥,可以创建新的 CMEK 密钥。

如需创建新的对称加密密钥,请在创建新密钥对话框中执行以下步骤:
  1. 选择密钥环:
    1. 点击密钥环,然后选择指定区域中的现有密钥环。
    2. 如果您要为密钥创建新的密钥环,请点击创建密钥环切换开关,然后执行以下步骤:
      1. 点击密钥环名称,然后输入密钥环的名称。
      2. 点击密钥环位置,然后选择密钥环的单区域位置。
    3. 点击继续
  2. 创建密钥:
    1. 点击密钥名称,然后输入新密钥的名称。
    2. 点击保护级别,然后选择软件HSM

      如需了解保护级别,请参阅 Cloud KMS 保护级别

  3. 检查您的密钥和密钥环详细信息,然后点击继续
  4. 点击创建

Cloud KMS 配额和 Application Integration

在 Application Integration 中使用 CMEK 时,您的项目可以使用 Cloud KMS 加密请求配额。例如,CMEK 密钥可能会在每次加密和解密调用中使用这些配额。

使用 CMEK 密钥执行的加密和解密操作通过以下方式影响 Cloud KMS 配额:

  • 对于 Cloud KMS 中生成的软件 CMEK 密钥,不会消耗任何 Cloud KMS 配额。
  • 对于硬件 CMEK 密钥(有时称为 Cloud HSM 密钥),加密和解密操作会计入包含相应密钥的项目中的 Cloud HSM 配额
  • 对于外部 CMEK 密钥(有时称为 Cloud EKM 密钥),加密和解密操作会计入包含该密钥的项目中的 Cloud EKM 配额

如需了解详情,请参阅 Cloud KMS 配额