Diese Seite wurde von der Cloud Translation API übersetzt.

CMEK mit Dataproc Serverless verwenden

Wenn Sie Dataproc Serverless verwenden, werden Daten auf Laufwerken serverlose Infrastruktur und Cloud Storage Staging-Bucket Diese Daten werden mit einem von Google generierten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verschlüsselt und den Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK). Sie können einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden (CMEK) zum Erstellen, Verwenden und Widerrufen des Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK). Google behält die Kontrolle über den DEK. Weitere Informationen zu Datenverschlüsselungsschlüsseln von Google finden Sie unter Standardverschlüsselung inaktiver Daten:

CMEK verwenden

Führen Sie die Schritte in diesem Abschnitt aus, um mit einem CMEK Daten zu verschlüsseln, die von Dataproc Serverless schreibt in den nichtflüchtigen Speicher und den Dataproc-Staging-Bucket.

Ab 23. April 2024:

In Dataproc Serverless werden auch Ihre CMEK-Schlüssel zum Verschlüsseln von Argumenten für Batchjobs verwendet. Die IAM-Rolle Cloud KMS CryptoKey Encrypter/Decrypter muss dem Dienstkonto des Dataproc-Dienst-Agents zugewiesen sein, um dieses Verhalten zu ermöglichen. Wenn die Rolle „Dataproc-Dienst-Agent“ nicht mit dem Dienstkonto des Dataproc-Dienst-Agents verknüpft ist, fügen Sie die Berechtigung serviceusage.services.use einer benutzerdefinierten Rolle hinzu, die mit dem Dienstkonto des Dataproc-Dienst-Agents verknüpft ist. Die Cloud KMS API muss für das Projekt aktiviert sein, in dem Dataproc-serverlose Ressourcen ausgeführt werden.
batches.list gibt ein unreachable-Feld zurück, in dem alle Batches mit Jobargumenten aufgeführt sind, die nicht entschlüsselt werden konnten. Sie können batches.get-Anfragen senden, um weitere Informationen zu nicht erreichbaren Batches zu erhalten.
Der Schlüssel (CMEK) muss sich am selben Standort wie die verschlüsselte Ressource befinden. Beispielsweise muss sich der CMEK, der zum Verschlüsseln eines Batches verwendet wird, der in der Region us-central1 ausgeführt wird, ebenfalls in der Region us-central1 befinden.

Erstellen Sie einen Schlüssel mithilfe des Cloud Key Management Service (Cloud KMS).

Kopieren Sie den Ressourcennamen.

Der Ressourcenname wird so erstellt:

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Dienst-Agent für Compute Engine, Dataproc und Cloud Storage aktivieren Dienstkonten für die Verwendung Ihres Schlüssels:
1. Weitere Informationen zum Zuweisen der Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler dem Compute Engine-Dienst-Agent-Dienstkonto finden Sie unter Ressourcen mithilfe von Cloud KMS-Schlüsseln schützen > Erforderliche Rollen. Wenn dieses Dienstkonto nicht aufgeführt ist Klicken Sie in der Google Cloud Console auf der IAM-Seite auf Von Google bereitgestellte Rollenzuweisungen einbeziehen. um sie aufzulisten.
2. Weisen Sie den Cloud KMS CryptoKey Encrypter/Decrypter zu. Rolle für das Dataproc-Dienst-Agent-Dienstkonto. Sie können die Google Cloud CLI verwenden, um die Rolle zuzuweisen:
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Ersetzen Sie Folgendes:
  
  KMS_PROJECT_ID: die ID Ihres Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird. Dieses Projekt kann auch das Projekt sein, in dem Dataproc-Ressourcen ausgeführt werden.
  
  PROJECT_NUMBER: die Projektnummer (nicht die Projekt-ID) Ihres Google Cloud-Projekts, in dem Dataproc-Ressourcen ausgeführt werden.
3. Aktivieren Sie die Cloud KMS API für das Projekt, in dem Dataproc-Serverless-Ressourcen ausgeführt werden.
4. Wenn die Dataproc-Dienst-Agent-Rolle nicht mit dem Dataproc-Dienst-Agent-Dienstkonto verknüpft ist: und dann die Berechtigung serviceusage.services.use zum benutzerdefinierten Rolle, die mit dem Dataproc-Dienst-Agent-Dienstkonto verknüpft ist. Wenn die Dataproc-Dienst-Agent-Rolle mit dem Dataproc-Dienst-Agent-Dienstkonto verknüpft ist, können Sie diesen Schritt überspringen.
5. Folgen Sie der Anleitung, um Fügen Sie Ihren Schlüssel im Bucket hinzu.
Wenn Sie eine Batcharbeitslast einreichen, gilt Folgendes:
1. Gib deinen Schlüssel im Batch an kmsKey .
2. Geben Sie in der Datei Batch den Namen Ihres Cloud Storage-Bucket an. stagingBucket-Parameter.