Diese Seite wurde von der Cloud Translation API übersetzt.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Standardmäßig werden alle inaktiven Daten in Firestore mit Standardverschlüsselung von Google: Firestore verarbeitet und verarbeitet verwaltet diese Verschlüsselung für Sie, ohne dass Sie etwas tun müssen.

Wenn Sie bestimmte Compliance- oder regulatorische Anforderungen in Bezug auf die Schlüssel haben zum Schutz Ihrer Daten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) Firestore Statt es Google zu überlassen, ist Ihre Firestore-Datenbank mit einem Schlüssel geschützt, mit dem Cloud Key Management Service (Cloud KMS) steuern und verwalten.

Auf dieser Seite wird CMEK für Firestore beschrieben. Weitere Informationen zu CMEK Informationen dazu, wann und warum Sie sie aktivieren sollten, finden Sie in der Cloud KMS-Dokumentation Für eine Anleitung zur Durchführung CMEK-bezogene Aufgaben mit Firestore finden Sie unter CMEK verwenden.

Features

Datenkontrolle: Mit einem CMEK können Sie den Zugriff auf den KMS-Schlüssel verwalten. Sie können Rotieren, Deaktivieren und Löschen des Schlüssels, mit dem die ruhenden Daten verschlüsselt werden, Ihrer Firestore-Datenbank.
Leistung: CMEK wirkt sich nicht auf den Firestore-SLA.
Nachvollziehbarkeit: Wenn Sie Audit-Logging für Cloud KMS aktivieren werden alle Vorgänge für den Schlüssel protokolliert und sind in Cloud Logging einsehbar.
Einschränkungen für Organisationsrichtlinien: Sie können Folgendes verwenden: Einschränkungen für CMEK-Organisationsrichtlinien zum Festlegen von Compliance-Anforderungen an die Verschlüsselung für Firestore-Datenbanken in Ihrer Organisation.

Preise

Cloud KMS berechnet die Kosten für den Schlüssel und alle kryptografischen Vorgänge, die mit diesem Schlüssel ausgeführt werden. Weitere Informationen finden Sie unter Weitere Informationen zu Cloud KMS-Preisen

Ihnen werden die Vorgangskosten in Rechnung gestellt, wenn Firestore nach dem Cloud KMS-Schlüssel, um einen Verschlüsselungs- oder Entschlüsselungsvorgang auszuführen. Die Verschlüsselung/Entschlüsselung ist nicht mit Ihrer Anfrage synchronisiert. Es geht alle 5 Minuten. Minuten durch Abfrage von Cloud KMS. Die Kosten sind in der Regel niedrig, erwartete Anzahl kryptografischer Vorgänge, die von Firestore generiert wurden Kosten für Cloud-Audit-Logs sind zusätzliche Kosten, werden aber auch angesichts der erwarteten Anzahl kryptografischer Vorgänge im Allgemeinen niedrig.

Für die Verwendung einer CMEK-geschützten Datenbank fallen keine zusätzlichen Firestore-Kosten an und die Firestore-Preise gelten weiterhin.

Wenn Sie Ihren Schlüssel für eine Datenbank widerrufen, werden Speicherkosten basierend auf dem des letzten Tages, an dem der Schlüssel verfügbar war. Für Ihr Konto werden weiterhin die Speicherkosten bei dieser Datenbankgröße, bis die Datenbank gelöscht wird oder der Schlüssel wieder verfügbar ist.

Mit CMEK geschützte Inhalte

Wenn Sie eine Firestore-CMEK-geschützte Datenbank erstellen, wird Ihr Cloud KMS-Schlüssel verwendet um ruhende Daten zu schützen. Dazu gehören auch Daten, die auf Datenträgern oder Flash-Dateien gespeichert sind. Es gelten einige Ausnahmen. Die folgenden Datentypen werden mit Google verschlüsselt Standardverschlüsselung und nicht nach dem CMEK-Schlüssel:

Daten bei der Übertragung oder im Speicher
Datenbankmetadaten

Umgang mit einem nicht verfügbaren Schlüsselstatus

Ver- und Entschlüsselungsvorgänge werden nicht bei jeder Datenanfrage ausgeführt. Stattdessen Das Firestore-System fragt alle fünf Minuten Cloud Key Management Service ab, um zu prüfen, der Schlüssel noch verfügbar ist, und führt dann Verschlüsselungs- und Entschlüsselungsvorgänge aus, Schlüssel verfügbar ist. Erkennt das System, dass der Schlüssel nicht verfügbar ist, Minuten, alle nachfolgenden Aufrufe der Firestore-Datenbank einschließlich Lese-, Schreib- und Abfragen, wird ein FAILED_PRECONDITION-Fehler zurückgegeben, die Nachricht The customer-managed encryption key required by the requested resource is not accessible. Wenn in der Datenbank Richtlinien zur Gültigkeitsdauer (TTL) und ggf. Ablaufzeiten werden überschritten, solange der Schlüssel nicht verfügbar ist, Datenlöschung nach TTL wird der Schlüssel erst wieder freigegeben. Datenbank mit langer Ausführungszeit laufenden Vorgänge haben, sind sie wie folgt betroffen:

Der Datenimport oder -export wird nicht mehr ausgeführt und als Failed markiert werden. Die fehlgeschlagenen Vorgänge werden nicht falls der Schlüssel wiederhergestellt wird.
Vorgänge zur Indexerstellung und Vorgänge, die neue TTL aktivieren und Richtlinien keine Fortschritte mehr. Die angehaltenen Vorgänge wird ein erneuter Versuch unternommen, wenn der Schlüssel wieder aktiviert wird.

Schlüssel gelten in allen Situationen als nicht verfügbar, in denen die Verwendung Firestore nicht auf den Schlüssel zugreifen kann. Dazu zählen:

Deaktivieren oder Löschen der verwendeten Schlüsselversion Bitte beachten Sie wenn Sie eine Schlüsselversion löschen, kann zu einem nicht wiederherstellbaren Datenverlust führen.
Zugriffsberechtigung wird aufgehoben Schlüssel aus dem Firestore-Dienstkonto.

Wenn der Schlüssel reaktiviert wird, erkennt der Abfragevorgang, dass der Schlüssel wieder verfügbar sind. Der Zugriff wird normalerweise innerhalb weniger Minuten wieder aktiviert. kann in seltenen Fällen auch mehrere Stunden dauern. Einige Vorgänge in Cloud KMS wie das Deaktivieren oder Löschen eines Schlüssels, Dauer innerhalb von 3 Stunden. Firestore tut Folgendes nicht: Änderungen erst dann zu erkennen, wenn sie in Cloud KMS wirksam werden.

Zur Reaktivierung eines Schlüssels sind je nach Situation folgende Schritte erforderlich:

Aktivieren Sie eine deaktivierte Schlüsselversion wieder.
Eine gelöschte Schlüsselversion wiederherstellen Vor dem endgültigen Löschen ist eine Schlüsselversion geplant für Zerstörung. Sie können einen Schlüssel nur während des Zeitraums wiederherstellen, in dem eine Schlüsselversion zum Löschen vorgemerkt ist. Sie können keinen Schlüssel wiederherstellen, der bereits und dauerhaft zerstört werden.
Die Funktion wird wieder gewährt. Berechtigung für Firestore-Dienst-Agent zum Zugriff auf den Schlüssel.

Überlegungen zu externen Schlüsseln

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.

Wenn ein extern verwalteter Schlüssel nicht verfügbar ist, unterstützen vollständige Datenbankvorgänge mit einer im Cache gespeicherten Version des Schlüssels für bis zu einer Stunde.

Wenn Firestore nach einer Stunde immer noch keine Verbindung zu Cloud KMS und Firestore deaktiviert die Datenbank als Schutzmaßnahme. Aufrufe an die Datenbank schlagen mit dem Fehler FAILED_PRECONDITION fehl mit zusätzlichen Details angezeigt.

Weitere Informationen zur Verwendung externer Schlüssel finden Sie in der Dokumentation zu Cloud External Key Manager.

Beschränkungen

Das Ändern eines Schlüssels für eine CMEK-geschützte Datenbank wird nicht unterstützt. Schlüsselrotation, Aktivierung und Deaktivierung werden unterstützt.
Sicherungspläne und Wiederherstellungsvorgänge werden für CMEK-geschützt nicht unterstützt Datenbanken. Sie können die Wiederherstellung zu einem bestimmten Zeitpunkt verwenden. für die Notfallwiederherstellung.
Unterstützung von CMEK-geschützten Datenbanken Key Visualizer nur für Entität und Dokumentdaten, nicht für Indexdaten.
Sie können CMEK nicht für vorhandene Datenbanken aktivieren. Sie können CMEK nur für und Sie müssen es beim Erstellen der Datenbank aktivieren. Bis Daten aus einer vorhandenen Nicht-CMEK-Datenbank in eine CMEK-geschützte Datenbank zu migrieren, Ihre Daten exportieren und in eine neue CMEK-geschützte Datenbank importieren.
Schlüssel-Tracking wird für eine CMEK-geschützte Datenbank nicht unterstützt.
Während der Vorabversion unterstützt Firestore eine begrenzte Anzahl von von CMEK-geschützten Datenbanken.

Nächste Schritte

CMEK mit Firestore verwenden