BigQuery-Arbeitslast erstellen

In dieser Anleitung erfahren Sie, wie Sie Verschlüsselungsschlüssel in der Assured Workloads-Umgebung mit der Google Cloud Console einrichten und dann die Schlüssel zum Sichern von BigQuery verwenden. Weitere Informationen zu Assured Workloads finden Sie unter Assured Workloads-Übersicht.

Hinweis

  1. Sie müssen Projektinhaber oder Organisationsadministrator sein oder Sicherheitszugriff auf das Projekt haben. Informationen für Erstnutzer finden Sie unter Erste Schritte mit Assured Workloads.

  2. Wählen Sie eine Compliance-Regelung und eine Verschlüsselungsstrategie aus.

  3. Erstellen Sie einen Ordner für Ihre Assured Workloads-Umgebung.

  4. Erstellen Sie in der Assured Workloads-Umgebung ein Projekt, das Ihre Compliance-Regelung unterstützt:

  5. Wählen Sie die Projekt-ID des Projekts aus, das Ihre Assured Workloads-CMEK-Schlüssel enthält. Wenn Sie IL4 (Vorschau) oder CJIS als Compliance-Regelung ausgewählt haben, beginnt dieses Projekt standardmäßig mit cmek-.

Erstellen Sie den Schlüssel:

So erstellen Sie den CMEK:

  1. Rufen Sie in der Cloud Console die Seite "Kryptografische Schlüssel" auf:

    Zur Seite "Kryptografische Schlüssel"

  2. Wählen Sie das Assured Workloads-CMEK-Projekt aus. Diese Projekt-ID beginnt standardmäßig mit cmek-.

  3. Klicken Sie auf Ihren Schlüsselbund.

  4. Klicken Sie auf Schlüssel erstellen.

  5. Wählen Sie in der Drop-down-Liste Welche Art von Schlüssel möchten Sie erstellen? die Option Generierter Schlüssel aus.

  6. Geben Sie unter Schlüsselname den Schlüsselnamen ein.

  7. Wählen Sie in der Drop-down-Liste Schutzniveau die Option Software aus.

  8. Wählen Sie in der Drop-down-Liste Zweck die Option Symmetrische Verschlüsselung/Entschlüsselung aus.

  9. Wählen Sie in der Drop-down-Liste Rotationszeitraum die Option 90 Tage aus.

  10. Optional: So fügen Sie ein Label hinzu:

    1. Klicken Sie auf Label hinzufügen.
    2. Geben Sie einen Schlüssel in das Textfeld Schlüssel ein.
    3. Geben Sie einen Wert in das Textfeld Wert ein.
  11. Klicken Sie auf Erstellen.

Sie sehen, dass der Schlüssel erstellt wurde.

Ressourcen-ID des CMEK abrufen

  1. Wählen Sie in der Google Cloud Console in der Projektauswahl die Projekt-ID des Projekts aus, das Ihre CMEKs enthält. Wenn Assured Workloads dieses Projekt erstellt, wird standardmäßig der Projekt-ID cmek- vorangestellt.
  2. Gehen Sie unter Sicherheit zu Kryptografische Schlüssel:

    Zur Seite "Kryptografische Schlüssel"

  3. Klicken Sie unter Schlüsselbunde auf den Namen des Schlüsselbunds.

  4. Klicken Sie auf dem Tab Schlüssel in Schlüsselbunddetails auf den Namen des Schlüssels.

  5. Klicken Sie rechts neben dem Schlüsselnamen auf das Symbol  Mehr.

  6. Klicken Sie auf Ressourcennamen kopieren.

    Der Ressourcenstring wird so formatiert:

     projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

Schlüssel in BigQuery verwenden

  1. Rufen Sie BigQuery auf.

    BigQuery aufrufen

  2. Wählen Sie in der Projektauswahl das Assured Workloads-Ressourcenprojekt aus, in dem Sie die BigQuery-Ressource erstellen möchten.

  3. Klicken Sie in Explorer neben dem Projekt, in dem Sie das Dataset erstellen möchten, auf .

  4. Klicken Sie auf Dataset erstellen.

  5. Geben Sie im Feld Dataset ID einen eindeutigen Dataset-Namen ein.

  6. (Optional) Wählen Sie in der Drop-down-Liste Speicherort der Daten einen geografischen Standort für das Dataset aus. Wenn der Wert auf Default gesetzt ist, wird der Standort auf US gesetzt. Nach der Erstellung des Datasets kann der Standort nicht mehr geändert werden.

  7. Wählen Sie in der Drop-down-Liste Standard-Tabellenablauf eine der folgenden Optionen aus:

    1. Nie: (Standardeinstellung) Im Dataset erstellte Tabellen werden von BigQuery nie gelöscht. Sie müssen sie manuell löschen.
    2. Anzahl der Tage nach der Tabellenerstellung: Dieser Wert legt fest, wann BigQuery eine neu erstellte Tabelle im Dataset löscht. Der Wert wird angewendet, wenn Sie beim Erstellen der Tabelle keine Ablaufzeit für die Tabelle festlegen.
  8. Wählen Sie für Verschlüsselung die Option Customer-managed key aus.

    1. Wenn Sie Ihren Schlüssel nicht sehen, wählen Sie Ihr Schlüssel wird nicht angezeigt? Geben Sie den Ressourcennamen des Schlüssels ein aus.
    2. Das Dialogfeld "Schlüsselressourcen-ID eingeben" wird angezeigt.
    3. Folgen Sie der Anleitung unter Ressourcen-ID des CMEK abrufen weiter oben in dieser Anleitung.
    4. Fügen Sie den Schlüssel in das Feld Schlüsselressourcen-ID ein.
    5. Klicken Sie auf Erteilen.
    6. Klicken Sie auf Dataset erstellen.
  9. Wenn Sie beim Einrichten von Assured Workloads kein Projekt für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEKs) erstellt haben, gehen Sie so vor:

    1. Wählen Sie Von Google verwalteter Verschlüsselungsschlüssel aus.
    2. Klicken Sie auf Dataset erstellen.

Nächste Schritte