Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren

Auf dieser Seite wird gezeigt, wie Sie in Repositories gespeicherte Inhalte mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln.

Übersicht

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder gesetzliche Anforderungen für die Schlüssel zum Schutz Ihrer Daten erfüllen müssen, können Sie Repositories erstellen, die mit CMEK-Schlüsseln verschlüsselt sind. Metadaten zu einem Repository, z. B. der Name des Repositorys, werden mit der Standardverschlüsselung von Google verschlüsselt.

Wenn Sie CMEK aktivieren, werden inaktive Daten in Repositories mit einem Schlüssel verschlüsselt, den Sie in Cloud Key Management Service verwalten. Sie können den Zugriff auf den CMEK-Schlüssel mithilfe der Identitäts- und Zugriffsverwaltung steuern. Wenn Sie den CMEK-Schlüssel vorübergehend deaktivieren oder dauerhaft löschen, kann nicht auf die mit diesem Schlüssel verschlüsselten Daten zugegriffen werden.

Mit CMEK können Sie mehr Elemente des Lebenszyklus und die Verwaltung Ihrer Schlüssel steuern. Für den Cloud KMS-Dienst fallen aber zusätzliche Kosten an. Mit CMEK-verschlüsselten Repositories wird bei jedem Upload oder Download auch ein Kontingent für kryptografische Anfragen von Cloud Key Management Service verbraucht.

Cloud KMS kann im selben Google Cloud-Projekt wie Artifact Registry oder in einem eigenen Projekt ausgeführt werden, in dem Sie Schlüssel für mehrere Projekte zentral verwalten.

Sie weisen einen Cloud KMS-Schlüssel beim Erstellen eines Repositorys zu.

Der bestehende Verschlüsselungsmechanismus eines vorhandenen Repositories lässt nicht mehr ändern. Für ein mit CMEK verschlüsseltes Repository lässt sich also der Verschlüsselungsmechanismus nicht in die Google-Standardverschlüsselung ändern und es kann auch kein anderer Cloud KMS-Schlüssel für die Verschlüsselung zugewiesen werden.

Weitere Informationen zu CMEK und deren Aktivierung finden Sie in der Cloud KMS-Dokumentation.

Schlüssel erstellen und Berechtigungen gewähren

Mit den unten aufgeführten Schritten erstellen Sie einen Schlüssel für das Repository und gewähren Berechtigungen zum Ver- und Entschlüsseln von Repository-Daten mit dem Schlüssel.

  1. Im Google Cloud-Projekt, in dem Sie Ihre Schlüssel verwalten möchten:

    1. Aktivieren Sie die Cloud KMS API.
    2. Erstellen Sie einen Schlüsselbund und einen Schlüssel. Der Schlüsselspeicherort muss mit dem Speicherort des Repositorys übereinstimmen, das Sie verschlüsseln möchten.
  2. Wenn Sie im Artifact Registry-Projekt noch kein Repository erstellt haben, ist das Artifact Registry-Dienstkonto noch nicht vorhanden. Um das Dienstkonto zu erstellen, führen Sie den folgenden Befehl aus:

    gcloud beta services identity create --service=artifactregistry.googleapis.com --project=PROJECT
    

    Ersetzen Sie dabei PROJECT durch die ID des Projekts, in dem Artifact Registry ausgeführt wird.

  3. Weisen Sie dem Artifact Registry-Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.

    Console

    1. Rufen Sie die Seite "Kryptografische Schlüssel" auf.

      Zur Cloud KMS-Seite

    2. Wählen Sie den erstellten Schlüssel aus.

    3. Wählen Sie INFOFELD ZEIGEN aus.

    4. Klicken Sie auf Mitglied hinzufügen.

    5. Fügen Sie das Artifact Registry-Dienstkonto hinzu. Das Dienstkonto ist service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com. Dabei ist PROJECT-NUMBER die Projektnummer des Google Cloud-Projekts, in dem Artifact Registry ausgeführt wird.

    6. Wählen Sie unter Rolle auswählen Cloud KMS > Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.

    7. Klicken Sie auf SPEICHERN.

    8. Kehren Sie zur Seite Kryptografische Schlüssel zurück und wählen Sie den Schlüssel noch einmal aus.

    9. Wählen Sie das Optionsfeld Infofeld ansehen aus. In der Spalte Rolle/Mitglied sollten die Rollen angezeigt werden.

    gcloud

    Führen Sie dazu diesen Befehl aus:

    gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
           KEY --location LOCATION --keyring=KEYRING \
           --member serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \
           --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    
    • PROJECT ist die ID des Projekts, das den Schlüssel enthält.
    • KEY ist der Schlüsselname.
    • LOCATION ist der Speicherort des Schlüssels. Der Schlüsselspeicherort muss mit dem Speicherort des Repositorys übereinstimmen, das Sie verschlüsseln möchten.
    • KEYRING ist der Schlüsselbundname.
    • PROJECT-NUMBER ist die Projektnummer des Google Cloud-Projekts, in dem Artifact Registry ausgeführt wird.

    Weitere Informationen zu diesem Befehl finden Sie in der Dokumentation zu gcloud kms keys add-iam-policy-binding.

Sie können jetzt ein Repository erstellen und dabei den Schlüssel für die Verschlüsselung angeben.

Zugriff entfernen

Es gibt verschiedene Möglichkeiten, um den Zugriff auf ein mit CMEK verschlüsseltes Repository wieder aufzuheben:

Wir empfehlen, die Berechtigungen des Artifact Registry-Dienstkontos zu widerrufen, bevor Sie einen Schlüssel deaktivieren oder löschen. Die Änderung von Berechtigungen wird innerhalb von Sekunden wirksam, sodass Sie sofort nachvollziehen können, wie sich das Deaktivieren oder Löschen eines Schlüssels auswirkt.

Wenn Sie den Verschlüsselungsschlüssel für ein Repository deaktivieren oder löschen, können Sie die Artefaktdaten nicht mehr aufrufen oder abrufen. Auf alle im Repository gespeicherten Artefaktdaten kann dann nicht mehr zugegriffen werden. Dies gilt auch für erstellte Artefakte, beliebige Binärdaten (Blobs) und Manifeste wie Docker-Manifest- oder npm-Paketdateien. Nutzer mit der Rolle Artifact Registry-Leser oder -Betrachter haben aber weiterhin die Möglichkeit, Artefaktmetadaten wie den Artefaktnamen, die Version oder das Tag aufzurufen.

Nutzer mit der Rolle „Artifact Registry-Administrator“ oder „Inhaber“ können das Repository löschen.

Nächste Schritte