如果使用 Dataproc Serverless,则数据存储在无服务器底层基础架构上的磁盘以及 Cloud Storage 暂存存储桶中。此数据使用 Google 生成的数据加密密钥 (DEK) 和密钥加密密钥 (KEK) 进行加密。您可以使用客户管理的加密密钥 (CMEK) 来创建、使用和撤消密钥加密密钥 (KEK)。Google 保留对数据加密密钥 (DEK) 的控制权。如需详细了解 Google 数据加密密钥,请参阅默认静态加密。
使用 CMEK
按照本部分中的步骤使用 CMEK 对 Dataproc Serverless 写入永久性磁盘和 Dataproc 暂存存储桶的数据进行加密。
复制资源名称。
projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
允许 Compute Engine、Dataproc 和 Cloud Storage Service Agent 服务帐号使用您的密钥:
- 请参阅使用 Cloud KMS 密钥保护资源 > 所需角色,将 Cloud KMS CryptoKey Encrypter/Decrypter 角色分配给 Compute Engine Service Agent 服务帐号。如果此服务帐号未在 Google Cloud 控制台的 IAM 页面上列出,请点击包括 Google 提供的角色授权以列出它。
将 Cloud KMS CryptoKey Encrypter/Decrypter 角色分配给 Dataproc Service Agent 服务帐号。您可以使用 Google Cloud CLI 分配角色:
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
请替换以下内容:
KMS_PROJECT_ID:运行 Cloud KMS 的 Google Cloud 项目的 ID。此项目也可以是运行 Dataproc 资源的项目。PROJECT_NUMBER:运行 Dataproc 资源的 Google Cloud 项目的项目编号(不是项目 ID)。对运行 Dataproc Serverless 资源的项目启用 Cloud KMS API。
如果 Dataproc Service Agent 角色未关联到 Dataproc Service Agent 服务帐号,请将
serviceusage.services.use权限添加到附加到 Dataproc Service Agent 服务帐号的自定义角色。如果 Dataproc Service Agent 角色已关联到 Dataproc Service Agent 服务帐号,则可以跳过此步骤。按照相关步骤在存储桶中添加密钥。
当您提交批量工作负载时:
- 在
BatchkmsKey 参数中指定您的密钥。 - 在
BatchstagingBucket 参数中指定 Cloud Storage 存储桶的名称。
- 在