Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden

In Colab Enterprise werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Colab Enterprise durchgeführt. Sie müssen nichts weiter tun. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Colab Enterprise verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Colab Enterprise-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

In diesem Leitfaden wird beschrieben, wie Sie CMEK für Colab Enterprise verwenden.

Weitere Informationen zur Verwendung von CMEK für Vertex AI finden Sie auf der Seite zu CMEK für Vertex AI.

CMEK für Colab Enterprise

Sie können CMEK verwenden, um Colab Enterprise-Laufzeiten und Notebookdateien (Notebooks) zu verschlüsseln.

Laufzeiten

Wenn Sie Code in einem Colab Enterprise-Notebook ausführen, wird der Code von einer Laufzeit auf einer oder mehreren von Colab Enterprise verwalteten VM-Instanzen ausgeführt. Wenn Sie CMEK für Ihre Colab Enterprise-Laufzeiten aktivieren, wird der von Ihnen festgelegte Schlüssel anstelle eines von Google verwalteten Schlüssels zum Verschlüsseln von Daten auf diesen VMs verwendet. Der CMEK-Schlüssel verschlüsselt die folgenden Arten von Daten:

  • Die Kopie Ihres Codes auf den VMs.
  • Alle Daten, die von Ihrem Code geladen werden.
  • Alle temporären Daten, die durch den Code auf dem lokalen Laufwerk gespeichert werden.

Sie können die Laufzeit starten, beenden und aktualisieren, ohne dass sich dies auf die CMEK-Verschlüsselung auswirkt.

Im Allgemeinen verschlüsselt der CMEK-Schlüssel keine Metadaten, die mit Ihrem Vorgang verknüpft sind, z. B. den Namen der Laufzeit oder den Namen und die Region Ihres Notebooks. Diese Metadaten werden immer mit dem Standardverschlüsselungsmechanismus von Google verschlüsselt.

Notebooks

Colab Enterprise-Notebooks werden in Dataform-Repositories gespeichert. Wenn Sie ein Notebook erstellen, erstellt Colab Enterprise automatisch ein ausgeblendetes Dataform-Repository, in dem das Notebook gespeichert wird. Da das Repository ausgeblendet ist, können Sie die Verschlüsselungseinstellungen nicht wie bei anderen Dataform-Repositories ändern.

Wenn Sie CMEK für Ihre Notebooks verwenden möchten, müssen Sie einen standardmäßigen Dataform-CMEK-Schlüssel für das Google Cloud Projekt festlegen, das Ihre Notebooks enthält. Nachdem Sie einen standardmäßigen Dataform-CMEK-Schlüssel festgelegt haben, wendet Dataform den Schlüssel standardmäßig auf alle neuen Repositories an, die im Google Cloud-Projekt erstellt werden, einschließlich aller ausgeblendeten Repositories, die zum Speichern Ihrer Notebooks erstellt wurden.

Der Standard-CMEK-Schlüssel von Dataform wird nicht auf vorhandene Repositories angewendet. Wenn Sie also bereits Notebooks in diesem Projekt haben, werden sie nicht mit dem standardmäßigen CMEK-Schlüssel von Dataform verschlüsselt. Wenn Sie CMEK mit einem Notebook verwenden möchten, das erstellt wurde, bevor Sie den Standard-CMEK-Schlüssel für Dataform für Ihr Projekt festgelegt haben, können Sie die Notebookdatei als neues Colab Enterprise-Notebook speichern.

Weitere Informationen zu Standard-CMEK-Schlüsseln von Dataform finden Sie unter Standard-CMEK-Schlüssel von Dataform verwenden.

Informationen zum Verwenden von CMEK für Ihre Notebooks finden Sie unter Standard-CMEK-Schlüssel für Dataform festlegen.

Unterstützte Schlüssel

Colab Enterprise unterstützt die folgenden CMEK-Schlüsseltypen:

Die Verfügbarkeit von Schlüsseln variiert je nach Schlüsseltyp und Region. Weitere Informationen zur geografischen Verfügbarkeit von CMEK-Schlüsseln finden Sie unter Cloud KMS-Standorte.

Limits und Einschränkungen

Colab Enterprise unterstützt CMEK mit den folgenden Einschränkungen:

  • Das Standardkontingent in Vertex AI beträgt einen Verschlüsselungsschlüssel pro Projekt und Region. Wenn Sie mehr als einen Schlüssel für eine Region in Ihrem Projekt registrieren müssen, wenden Sie sich an Ihr Google-Kontoteam, um eine Erhöhung des Kontingents für CMEK-Konfigurationen zu beantragen. Geben Sie dabei an, warum Sie mehr als einen Schlüssel benötigen.

Cloud KMS-Kontingente und Colab Enterprise

Wenn Sie CMEK in Colab Enterprise verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

CMEK für Laufzeiten konfigurieren

In den folgenden Abschnitten wird beschrieben, wie Sie einen Schlüsselbund und einen Schlüssel in Cloud Key Management Service erstellen, Colab Enterprise-Berechtigungen zum Verschlüsseln und Entschlüsseln für Ihren Schlüssel gewähren und eine Laufzeitvorlage erstellen, die für die Verwendung von CMEK konfiguriert ist. Für jede Laufzeit, die Colab Enterprise aus dieser Laufzeitvorlage generiert, wird die CMEK-Verschlüsselung verwendet.

Hinweise

In diesem Leitfaden wird davon ausgegangen, dass Sie zwei separate Google Cloud Projekte verwenden, um CMEK für Colab Enterprise-Laufzeiten zu konfigurieren:

  • Ein Projekt zur Verwaltung Ihres Verschlüsselungsschlüssels, das als "Cloud KMS-Projekt" bezeichnet wird.
  • Ein Projekt für den Zugriff auf Ihre Colab Enterprise-Ressourcen und die Interaktion mit anderen Google Cloud Produkten, die Sie benötigen (als „Notebook-Projekt“ bezeichnet).

Diese empfohlene Einrichtung unterstützt eine Aufgabentrennung.

Alternativ können Sie für den gesamten Leitfaden ein einzelnes Google Cloud Projekt verwenden. Nutzen Sie dazu dasselbe Projekt für alle folgenden Aufgaben, die sich auf das Cloud KMS-Projekt beziehen, und die Aufgaben, die sich auf das Notebook-Projekt beziehen.

Cloud KMS-Projekt einrichten

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Enable the API

    8.

Notebookprojekt einrichten

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Vertex AI API.

    Enable the API

    8.

Google Cloud CLI einrichten

Die gcloud CLI ist für einige Schritte in diesem Leitfaden erforderlich und für andere optional.

Install the Google Cloud CLI, then initialize it by running the following command: 

gcloud init

Schlüsselbund und Schlüssel erstellen

Folgen Sie dem Cloud KMS-Leitfaden zum Erstellen von synchronen Schlüsseln, um einen Schlüsselbund und einen Schlüssel zu erstellen. Geben Sie beim Erstellen des Schlüsselbunds als Standort des Schlüsselbunds eine Region an, die Colab Enterprise-Vorgänge unterstützt. Colab Enterprise unterstützt CMEK nur, wenn Ihre Laufzeit und Ihr Schlüssel dieselbe Region verwenden. Sie dürfen keinen dual-regionalen, multiregionalen oder globalen Standort für Ihren Schlüsselbund angeben.

Achten Sie darauf, Schlüsselbund und Schlüssel in Ihrem Cloud KMS-Projekt zu erstellen.

Colab Enterprise-Berechtigungen gewähren

Wenn Sie CMEK für Ihre Ressourcen verwenden möchten, müssen Sie Colab Enterprise die Berechtigung gewähren, Daten mit Ihrem Schlüssel zu verschlüsseln und zu entschlüsseln. Colab Enterprise verwendet einen von Google verwalteten Dienst-Agent, um Vorgänge mit Ihren Ressourcen auszuführen. Dieses Dienstkonto wird durch eine E-Mail-Adresse im folgenden Format identifiziert: service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com.

Das Dienstkonto für Ihr Notebook-Projekt finden Sie in der Google Cloud Console auf der Seite IAM. Suchen Sie das Mitglied mit diesem E-Mail-Adressformat, wobei die Variable NOTEBOOK_PROJECT_NUMBER der Projektnummer Ihres Notebook-Projekts entspricht. Das Dienstkonto hat auch den Namen Vertex AI Service Agent.

Zur Seite "IAM"

Notieren Sie sich die E-Mail-Adresse für dieses Dienstkonto und erteilen Sie ihm in den folgenden Schritten die Berechtigung, Daten mit Ihrem Schlüssel zu verschlüsseln und zu entschlüsseln. Sie können die Berechtigung mithilfe der Google Cloud Console oder mithilfe der Google Cloud CLI gewähren:

Google Cloud Console

  1. Klicken Sie in der Google Cloud Console auf Sicherheit und wählen Sie Schlüsselverwaltung aus. Dadurch gelangen Sie zur Seite Kryptografische Schlüssel und wählen Ihr Cloud KMS-Projekt aus.

    Zur Seite "Kryptografische Schlüssel"

  2. Klicken Sie auf den Namen des Schlüsselbunds, den Sie in einem vorherigen Abschnitt dieses Leitfadens erstellt haben, um zur Seite Schlüsselbunddetails zu gelangen.

  3. Klicken Sie auf das Kästchen für den Schlüssel, den Sie in einem der vorherigen Abschnitte dieses Leitfadens erstellt haben. Wenn ein Infofeld mit dem Namen Ihres Schlüssels noch nicht geöffnet ist, klicken Sie auf Infofeld ansehen.

  4. Klicken Sie im Infobereich auf Mitglied hinzufügen, um das Dialogfeld Mitglieder zu "KEY_NAME" hinzufügen zu öffnen. Führen Sie in diesem Dialogfeld die folgenden Schritte aus:

    1. Geben Sie im Feld Neue Mitglieder die E-Mail-Adresse des Dienstkontos ein, die Sie im vorherigen Abschnitt notiert haben: service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com

    2. Klicken Sie in der Drop-down-Liste Rolle auswählen auf Cloud KMS und wählen Sie dann die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.

    3. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ersetzen Sie in diesem Befehl die folgenden Platzhalter:

  • KEY_NAME: Name des Schlüssels, den Sie in diesem Abschnitt des Leitfadens erstellt haben.
  • KEY_RING_NAME: Schlüsselbund, den Sie in diesem Abschnitt des Leitfadens erstellt haben.
  • REGION: Region, in der Sie Ihren Schlüsselbund erstellt haben.
  • KMS_PROJECT_ID: ID Ihres Cloud KMS-Projekts.
  • NOTEBOOK_PROJECT_NUMBER: Projektnummer Ihres Notebookprojekts, die Sie im vorherigen Abschnitt als Teil der E-Mail-Adresse eines Dienstkontos notiert haben.

Laufzeitvorlage mit dem KMS-Schlüssel konfigurieren

Wenn Sie eine neue von CMEK unterstützte Ressource erstellen, können Sie Ihren Schlüssel als einen der Erstellungsparameter angeben. Wenn Sie eine Colab Enterprise-Laufzeit erstellen möchten, erstellen Sie eine Laufzeitvorlage, in der Ihr CMEK-Schlüssel als Parameter angegeben ist. Für jede Laufzeit, die Colab Enterprise aus dieser Laufzeitvorlage generiert, wird die CMEK-Verschlüsselung verwendet.

Wenn Sie eine Laufzeitvorlage mit der Google Cloud Console erstellen möchten, geben Sie den Schlüssel im Dialogfeld Neue Laufzeitvorlage erstellen an. Gehen Sie dazu so vor:

  1. Rufen Sie in der Google Cloud Console die Colab Enterprise-Seite Laufzeitvorlagen auf.

    Laufzeitvorlagen aufrufen

  2. Klicken Sie auf  Neue Vorlage.

    Das Dialogfeld Neue Laufzeitvorlage erstellen wird angezeigt.

  3. Wählen Sie im Abschnitt Compute konfigurieren unter Verschlüsselung die Option Cloud KMS-Schlüssel aus.

  4. Wählen Sie unter Schlüsseltyp die Option Cloud KMS und dann im nächsten Feld den vom Kunden verwalteten Verschlüsselungsschlüssel aus.

  5. Schließen Sie den Rest des Dialogfelds zur Instanzerstellung ab und klicken Sie dann auf Erstellen.

    Die Laufzeitvorlage wird in der Liste auf dem Tab Laufzeitvorlagen angezeigt.

Nächste Schritte