创建 BigQuery 工作负载

本指南介绍如何使用 Google Cloud Console 在 Assured Workloads 环境中设置加密密钥,然后使用这些密钥保护 BigQuery。如需详细了解 Assured Workloads,请参阅 Assured Workloads 概览

准备工作

  1. 您必须是项目所有者、组织管理员或对项目拥有安全访问权限。对于首次使用的用户,请参阅 Assured Workloads 使用入门

  2. 选择合规性制度和加密策略。

  3. 为 Assured Workloads 环境创建一个文件夹

  4. 在 Assured Workloads 环境中创建一个支持您的合规性制度的文件夹,如下所示:

  5. 选择包含 Assured Workloads CMEK 密钥的项目的 ID。如果您选择 IL4(预览版)或 CJIS 作为合规性制度,则默认情况下,此项目以 cmek- 开头。

创建密钥

如需创建 CMEK 密钥,请执行以下操作:

  1. 在 Google Cloud Console 中,转到“加密密钥”:

    转到“加密密钥”

  2. 选择 Assured Workloads CMEK 项目。默认情况下,此项目 ID 以 cmek- 开头。

  3. 点击您的密钥环。

  4. 点击创建密钥

  5. “您要创建哪种类型的密钥?”下拉列表中,选择生成的密钥

  6. 密钥名称中输入密钥名称。

  7. 保护级别下拉列表中,选择软件

  8. 用途下拉列表中,选择对称加密/解密

  9. 轮替周期下拉列表中,选择 90 天

  10. 可选:要添加标签,请执行以下操作:

    1. 点击添加标签
    2. 密钥文本字段中输入一个密钥。
    3. 文本字段中输入一个值。
  11. 点击创建

您会看到该密钥已创建。

获取 CMEK 密钥资源 ID

  1. 在 Google Cloud Console 的项目选择器中,选择包含 CMEK 密钥的项目的 ID。默认情况下,如果 Assured Workloads 创建此项目,则会在项目 ID 前面加上 cmek-
  2. 安全性中,转到加密密钥

    转到“加密密钥”

  3. 密钥环下,点击密钥环名称。

  4. 密钥环详细信息密钥标签页中,点击密钥的名称。

  5. 点击密钥名称右侧的 更多图标。

  6. 点击复制资源名称

    资源字符串格式设置如下:

     projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

在 BigQuery 中使用密钥

  1. 转到 BigQuery。

    转到 BigQuery

  2. 项目选择器中,选择要在其中创建 BigQuery 资源的 Assured Workloads 资源项目。

  3. 浏览器中,点击要在其中创建数据集的项目旁边的

  4. 点击创建数据集

  5. Dataset ID 字段中,输入唯一的数据集名称

  6. (可选)在数据位置下拉列表中,选择数据集的地理位置。如果该值设置为 Default,则位置设置为 US。创建数据集后,就无法再更改此位置。

  7. 默认表过期时间下拉列表中,选择以下选项之一:

    1. 永不:(默认)BigQuery 永不删除在数据集中创建的表。您必须手动删除这些表。
    2. 创建表后的天数:此值确定 BigQuery 何时删除数据集中新创建的表。如果您在创建表时未设置表到期时间,则系统会应用此值。
  8. 对于加密,请选择 Customer-managed key

    1. 如果您没有看到您的密钥,请选择“没有看到您的密钥?输入密钥资源 ID。”
    2. 此时系统将显示“输入密钥资源 ID”对话框。
    3. 按照本指南前面获取 CMEK 密钥资源 ID 中的说明操作。
    4. 将密钥粘贴到密钥资源 ID 字段中。
    5. 点击授权
    6. 点击创建数据集
  9. 如果您在设置 Assured Workloads 时未创建客户管理的加密密钥 (CMEK) 项目,请执行以下操作:

    1. 选择 Google 管理的加密密钥
    2. 点击创建数据集

后续步骤