Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Standardmäßig werden alle inaktiven Daten in Firestore im Datastore-Modus mit der Standardverschlüsselung von Google verschlüsselt. Der Datastore-Modus Handles und verwaltet diese Verschlüsselung für Sie, ohne dass Sie etwas tun müssen.

Wenn Sie bestimmte Compliance- oder behördlichen Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für den Datenspeichermodus vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Statt es Google zu überlassen, ist Ihre Datenbank im Datastore-Modus durch einen Schlüssel geschützt, mit dem Cloud Key Management Service (Cloud KMS) steuern und verwalten.

Auf dieser Seite wird der CMEK für den Datastore-Modus beschrieben. Weitere Informationen zu CMEK Informationen dazu, wann und warum sie aktiviert werden sollte, finden Sie in der folgenden Cloud KMS-Dokumentation:

• Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
• Best Practices für die Verwendung von CMEKs

Eine Anleitung zum Ausführen von CMEK-Aufgaben mit dem Datastore-Modus finden Sie unter CMEK verwenden.

Features

• Datenkontrolle: Mit einem CMEK können Sie den KMS-Schlüssel verwalten. Sie können den Schlüssel, der zum Verschlüsseln der ruhenden Daten in Ihrer Datastore-Modus-Datenbank verwendet wird, rotieren, deaktivieren und löschen.
• Leistung: CMEK hat keine Auswirkungen auf die Firestore-SLA.
• Nachvollziehbarkeit: Wenn Sie Audit-Logging für Cloud KMS aktivieren werden alle Vorgänge für den Schlüssel protokolliert und sind in Cloud Logging einsehbar.
• Einschränkungen für Organisationsrichtlinien: Sie können Folgendes verwenden: Einschränkungen für CMEK-Organisationsrichtlinien zum Festlegen von Compliance-Anforderungen an die Verschlüsselung für Datenbanken im Datastore-Modus in Ihrer Organisation.

Preise

Cloud KMS berechnet die Kosten für den Schlüssel und alle kryptografischen Vorgänge, die mit diesem Schlüssel ausgeführt werden. Weitere Informationen finden Sie unter Cloud KMS – Preise.

Die Betriebskosten werden Ihnen in Rechnung gestellt, wenn der Datastore-Modus den Cloud KMS-Schlüssel anweist, einen Verschlüsselungs- oder Entschlüsselungsvorgang durchzuführen. Verschlüsselung/Entschlüsselungsvorgang mit dem vom Kunden verwalteten Schlüssel alle fünf Minuten und wird nicht mit Datenbankanfragen synchronisiert. Die Kosten sind in der Regel niedrig, angesichts der erwarteten Anzahl von kryptografischen Vorgängen, die von Datastore-Modus. Kosten für Cloud-Audit-Logs sind zusätzliche Kosten, ist angesichts der erwarteten Anzahl von kryptografischen Geschäftsabläufe.

Für die Verwendung einer CMEK-geschützten Datenbank fallen keine zusätzlichen Kosten für den Datastore-Modus an Die Preise für den Datastore-Modus gelten weiterhin.

Wenn Sie Ihren Schlüssel für eine Datenbank widerrufen, werden Speicherkosten basierend auf dem des letzten Tages, an dem der Schlüssel verfügbar war. Für Ihr Konto werden weiterhin die Speicherkosten bei dieser Datenbankgröße, bis die Datenbank gelöscht wird oder der Schlüssel wieder verfügbar ist.

Mit CMEK geschützte Inhalte

Wenn Sie eine CMEK-geschützte Datenbank im Datastore-Modus erstellen, Der Cloud KMS-Schlüssel wird zum Schutz inaktiver Daten verwendet. Dazu gehören auch Daten, die Sie auf einer Festplatte oder einem USB-Stick speichern. Einige es gelten Ausnahmen. Die folgenden Datentypen werden mit der Standardverschlüsselung von Google und nicht mit dem CMEK-Schlüssel verschlüsselt:

• Daten bei der Übertragung oder im Speicher
• Datenbankmetadaten

Umgang mit einem nicht verfügbaren Schlüsselstatus

Ver- und Entschlüsselungsvorgänge werden nicht bei jeder Datenanfrage ausgeführt. Stattdessen Das Firestore-System fragt Cloud KMS alle fünf Minuten ab, um zu prüfen, der Schlüssel noch verfügbar ist, und führt dann Verschlüsselungs- und Entschlüsselungsvorgänge aus, Schlüssel verfügbar ist.

Wenn das System feststellt, dass der Schlüssel nicht verfügbar ist, geben alle nachfolgenden Aufrufe der Firestore-Datenbank innerhalb von 10 Minuten den Fehler FAILED_PRECONDITION mit der Meldung The customer-managed encryption key required by the requested resource is not accessible zurück.

Wenn die Datenbank Richtlinien zur Gültigkeitsdauer (TTL) hat und Ablaufzeiten überschritten werden, während der Schlüssel nicht verfügbar ist, wird das Löschen von Daten durch die TTL verzögert, bis der Schlüssel reaktiviert wird. Wenn in der Datenbank lange laufende Vorgänge ausgeführt werden, sind diese davon betroffen:

• Der import oder -export wird nicht mehr ausgeführt und als Failed markiert werden. Die fehlgeschlagenen Vorgänge werden nicht falls der Schlüssel wiederhergestellt wird.
• Index-Builds und Vorgänge, mit denen neue TTL-Richtlinien aktiviert werden, werden nicht mehr fortgesetzt. Die angehaltenen Vorgänge wird ein erneuter Versuch unternommen, wenn der Schlüssel wieder aktiviert wird.

Schlüssel gelten in allen Situationen als nicht verfügbar, in denen die Verwendung Firestore nicht auf den Schlüssel zugreifen kann. Dazu zählen:

• Deaktivieren oder Löschen der verwendeten Schlüsselversion. Seien Sie beim Löschen einer Schlüsselversion vorsichtig, da dies zu nicht wiederherstellbaren Datenverlusten führen kann.
• Entfernen der Berechtigung zum Zugriff auf den Schlüssel aus dem Firestore-Dienstkonto.

Wenn der Schlüssel reaktiviert wird, wird beim Polling erkannt, dass der Schlüssel wieder verfügbar ist. Der Zugriff wird normalerweise innerhalb weniger Minuten wieder aktiviert. kann in seltenen Fällen auch mehrere Stunden dauern. Einige Vorgänge in Cloud KMS wie das Deaktivieren oder Löschen eines Schlüssels, Dauer innerhalb von 3 Stunden. Firestore unterstützt Änderungen erst dann zu erkennen, wenn sie in Cloud KMS wirksam werden.

Zur Reaktivierung eines Schlüssels sind je nach Situation folgende Schritte erforderlich:

• Aktivieren Sie eine deaktivierte Schlüsselversion wieder.
• Wiederherstellen einer gelöschten Schlüsselversion Vor dem endgültigen Löschen wird eine Schlüsselversion geplant für Zerstörung. Sie können einen Schlüssel nur während des Zeitraums wiederherstellen, in dem eine Schlüsselversion zum Löschen vorgemerkt ist. Ein Schlüssel, der bereits endgültig gelöscht wurde, kann nicht wiederhergestellt werden.
• Weisen Sie dem Firestore-Dienst-Agent noch einmal die Berechtigung zum Zugriff auf den Schlüssel zu.

Wichtige Überlegungen zur Rotation

Wenn Sie den CMEK-Schlüssel rotieren, wird die Datenbank im Datastore-Modus mit der neuesten primären Version des CMEK-Schlüssels neu verschlüsselt. Während der Neuverschlüsselung stellen Sie sicher, dass sowohl die alte als auch die neue Schlüsselversion verfügbar ist. Nach der Neuverschlüsselung Wenn Sie die alten Versionen des CMEK-Schlüssels deaktivieren oder löschen, auf die Datenbank zugreifen, da sie mit der neuen Primärschlüsselversion verschlüsselt ist.

Sie können sich auch die Schlüsselversionen ansehen, die zum Schutz einer Datenbank verwendet werden. Weitere Informationen finden Sie unter Aktuell verwendeten Schlüssel ansehen.

Überlegungen zu externen Schlüsseln

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.

Wenn ein extern verwalteter Schlüssel nicht verfügbar ist, unterstützt der Datastore-Modus weiterhin vollständige Datenbankvorgänge mithilfe einer im Cache gespeicherten Version des Schlüssels bis zu einer Stunde.

Wenn der Datastore-Modus nach einer Stunde immer noch keine Verbindung zu Im Datastore-Modus von Cloud KMS wird die Datenbank als Schutzmaßnahme ein. Aufrufe an die Datenbank schlagen mit dem Fehler FAILED_PRECONDITION fehl mit zusätzlichen Details angezeigt.

Weitere Informationen zur Verwendung externer Schlüssel finden Sie in der Dokumentation zu Cloud External Key Manager.

Sichern und wiederherstellen

Für eine Sicherung wird derselbe Verschlüsselungsmechanismus verwendet wie für die Datenbank, aus der sie erstellt wurde. Wenn eine CMEK-geschützte Datenbank im Datastore-Modus ein wird die Sicherung mit der Primärschlüsselversion verschlüsselt, die zum Zeitpunkt der Sicherung erstellt werden.

Im Datenspeichermodus wird die erste Sicherung einer CMEK-Datenbank 24 Stunden nach Aktivierung der Sicherungszeitpläne erstellt.

Weitere Informationen zu Sicherungen im Datastore-Modus finden Sie unter Sicherung und Daten wiederherstellen.

Eine Datenbank, die aus einer Sicherung wiederhergestellt wurde, verwendet den gleichen Verschlüsselungsmechanismus wie die ist standardmäßig eine Sicherung. Wenn Sie eine Datenbank wiederherstellen, können Sie auf eine der folgenden Arten einen anderen Verschlüsselungstyp angeben:

• Wiederherstellen in einer CMEK-Datenbank mit einem neu angegebenen Schlüssel.
• Wiederherstellen Sie die Daten in einer Datenbank ohne CMEK, die die Standardverschlüsselung von Google verwendet.
• Wiederherstellung in einer Datenbank, die dieselbe Verschlüsselung wie die Sicherung verwendet.

Weitere Informationen zum Wiederherstellen einer Datenbank im Datastore-Modus aus einer Sicherung finden Sie unter Daten aus einer Datenbanksicherung wiederherstellen. Weitere Informationen Informationen zum Wiederherstellen einer CMEK-geschützten Datenbank im Datastore-Modus Weitere Informationen finden Sie unter CMEK-geschützte Datenbank wiederherstellen.

Schlüssel-Tracking

Mithilfe des Schlüssel-Trackings können Sie sich Ressourcen ansehen, z. B. Datastore-Modus-Datenbanken, die durch einen Schlüssel geschützt sind. Weitere Informationen zum Schlüssel-Tracking finden Sie unter Schlüsselnutzung ansehen

CMEK und Schlüsselverfügbarkeit

Wenn Schlüssel nicht verfügbar oder deaktiviert sind, kann es in CMEK-fähigen Datenbanken zu folgenden Verhaltensweisen kommen:

• Sie können die Einstellungen für die Wiederherstellung zu einem bestimmten Zeitpunkt im Datastore-Modus für eine CMEK-fähige Datenbank auch dann ändern, wenn der Schlüssel nicht verfügbar ist, da es sich bei den PITR-Einstellungen um Datenbankmetadaten handelt, die nicht durch CMEK verschlüsselt werden.
• Sie können eine CMEK-Datenbank löschen, die nicht verfügbare Schlüssel enthält.
• Wenn Sie eine CMEK-fähige Datenbank erstellen, werden deaktivierte Schlüssel nicht in der Liste der verfügbaren Schlüssel in der Google Cloud Console angezeigt. Wenn Sie einen deaktivierten Schlüssel manuell eingeben, schlägt die Datenbankerstellung mit dem FAILED_PRECONDITION-Fehler 400 fehl.

Beschränkungen

• Sie können einen Schlüssel für eine CMEK-geschützte Datenbank nicht ändern. Sie können sie drehen, Schlüssel aktivieren und deaktivieren.
• Unterstützung von CMEK-geschützten Datenbanken Key Visualizer nur für Entität und Dokumentdaten, nicht für Indexdaten.
• Sie können CMEK nicht für vorhandene Datenbanken aktivieren. Sie können CMEK nur für neue Datenbanken und Sie müssen sie beim Erstellen der Datenbank aktivieren. So migrieren Sie Ihr Konto: Daten in einer vorhandenen nicht CMEK-geschützten Datenbank in eine CMEK-geschützte Datenbank exportieren, exportieren und importieren Sie die Daten in eine neue CMEK-geschützte Datenbank. Sie können Sie können auch Daten aus einer Nicht-CMEK-Datenbank in einer CMEK-Datenbank wiederherstellen.
• Firestore unterstützt eine begrenzte Anzahl von CMEK-geschützten Datenbanken.

Nächste Schritte

• Informationen zur Verwendung von CMEK mit Firestore im Datastore-Modus