Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)
Standardmäßig werden alle inaktiven Daten in Firestore mit der Standardverschlüsselung von Google verschlüsselt. Firestore übernimmt und verwaltet diese Verschlüsselung für Sie, ohne dass Sie etwas tun müssen.
Wenn Sie bestimmte Compliance- oder regulatorische Anforderungen in Bezug auf die Schlüssel haben, die Ihre Daten schützen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) für Firestore verwenden. Anstatt die Verschlüsselungsschlüssel zum Schutz Ihrer Daten von Google zu verwalten, wird Ihre Firestore-Datenbank mit einem Schlüssel geschützt, den Sie in Cloud Key Management Service (Cloud KMS) steuern und verwalten.
Auf dieser Seite wird CMEK für Firestore beschrieben. Weitere Informationen zu CMEK im Allgemeinen, einschließlich wann und warum sie aktiviert werden sollten, finden Sie in der Cloud KMS-Dokumentation. Eine Anleitung zum Ausführen von CMEK-bezogenen Aufgaben mit Firestore finden Sie unter CMEK verwenden.
Features
- Datenkontrolle: Mit CMEK können Sie den Zugriff auf den KMS-Schlüssel verwalten. Sie können den Schlüssel, der zum Verschlüsseln der inaktiven Daten in Ihrer Firestore-Datenbank verwendet wird, rotieren, deaktivieren und löschen.
- Leistung: CMEK wirkt sich nicht auf das Firestore-SLA aus.
- Überprüfbarkeit: Wenn Sie Audit-Logging für Cloud KMS aktivieren, werden alle Vorgänge für den Schlüssel protokolliert und in Cloud Logging eingesehen.
- Einschränkungen für Organisationsrichtlinien: Mit Einschränkungen für CMEK-Organisationsrichtlinien können Sie die Complianceanforderungen für die Verschlüsselung von Firestore-Datenbanken in Ihrer Organisation festlegen.
Preise
Cloud KMS berechnet die Kosten für den Schlüssel und alle kryptografischen Vorgänge, die mit diesem Schlüssel ausgeführt werden. Weitere Informationen finden Sie unter Cloud KMS-Preise.
Die Betriebskosten werden Ihnen in Rechnung gestellt, wenn Firestore den Cloud KMS-Schlüssel anfordert, einen Verschlüsselungs- oder Entschlüsselungsvorgang auszuführen. Verschlüsselung/Entschlüsselung wird nicht mit Ihrer Anfrage synchronisiert. Dies erfolgt alle fünf Minuten durch Abfragen von Cloud KMS. Die Kosten sind aufgrund der erwarteten Anzahl kryptografischer Vorgänge, die von Firestore generiert werden, in der Regel niedrig. Die Kosten für Cloud-Audit-Logs sind zusätzliche Kosten, sollten aber angesichts der erwarteten Anzahl kryptografischer Vorgänge im Allgemeinen niedrig sein.
Für die Verwendung einer CMEK-geschützten Datenbank fallen keine zusätzlichen Firestore-Kosten an und die Firestore-Preise gelten weiterhin.
Wenn Sie den Schlüssel für eine Datenbank widerrufen, werden die Speicherkosten auf Grundlage der Größe des letzten Tages berechnet, an dem der Schlüssel verfügbar war. Bei dieser Datenbankgröße fallen weiterhin Speicherkosten an, bis die Datenbank gelöscht wird oder der Schlüssel wieder verfügbar ist.
Mit CMEK geschützte Inhalte
Wenn Sie eine CMEK-geschützte Firestore-Datenbank erstellen, wird Ihr Cloud KMS-Schlüssel verwendet, um inaktive Daten zu schützen. Dies gilt auch für Daten, die auf dem Laufwerk oder Flash gespeichert sind. Es gelten einige Ausnahmen. Die folgenden Datentypen werden mit der Standardverschlüsselung von Google und nicht mit dem CMEK-Schlüssel verschlüsselt:
- Daten bei der Übertragung oder im Speicher
- Datenbankmetadaten
Umgang mit einem nicht verfügbaren Schlüsselstatus
Ver- und Entschlüsselungsvorgänge werden nicht bei jeder Datenanfrage ausgeführt. Stattdessen fragt das Firestore-System alle fünf Minuten den Cloud Key Management Service ab, um zu prüfen, ob der Schlüssel noch verfügbar ist. Wenn der Schlüssel verfügbar ist, werden Verschlüsselungs- und Entschlüsselungsvorgänge ausgeführt. Wenn das System erkennt, dass der Schlüssel nicht verfügbar ist, geben alle nachfolgenden Aufrufe der Firestore-Datenbank, einschließlich Lese-, Schreib- und Abfragen, innerhalb von 10 Minuten den Fehler FAILED_PRECONDITION mit der Meldung The customer-managed encryption key required by the requested
resource is not accessible zurück. Wenn die Datenbank Richtlinien zur Gültigkeitsdauer (TTL) hat und Ablaufzeiten überschritten werden, während der Schlüssel nicht verfügbar ist, wird die Datenlöschung nach TTL so lange verzögert, bis der Schlüssel wiederhergestellt wird. Wenn für die Datenbank lang andauernde Vorgänge ausgeführt werden, sind diese so betroffen:
- import oder Datenexportvorgänge werden nicht mehr ausgeführt und als
Failedmarkiert. Die fehlgeschlagenen Vorgänge werden nicht wiederholt, wenn der Schlüssel reaktiviert wird. - Indexerstellungsvorgänge und Vorgänge, die neue TTL-Richtlinien aktivieren, werden nicht mehr ausgeführt. Die angehaltenen Vorgänge werden wiederholt, wenn der Schlüssel wieder aktiviert wird.
Schlüssel gelten als nicht verfügbar, wenn Firestore den Zugriff auf den Schlüssel absichtlich verhindert. Dazu zählen:
- Aktive Schlüsselversion deaktivieren oder löschen Gehen Sie beim Löschen einer Schlüsselversion vorsichtig vor, da dies zu einem nicht wiederherstellbaren Datenverlust führen kann.
- Berechtigung für den Zugriff auf den Schlüssel aus dem Firestore-Dienstkonto wird entfernt.
Wenn der Schlüssel reaktiviert wird, erkennt der Abfragevorgang, dass der Schlüssel wieder verfügbar ist. Der Zugriff wird in der Regel innerhalb weniger Minuten wieder aktiviert, in seltenen Fällen kann es aber auch einige Stunden dauern. Beachten Sie, dass es bis zu 3 Stunden dauern kann, bis einige Vorgänge mit Cloud KMS-Schlüsseln wirksam werden, z. B. das Deaktivieren oder Löschen eines Schlüssels. Firestore erkennt Änderungen erst, nachdem sie in Cloud KMS wirksam geworden sind.
Die Reaktivierung eines Schlüssels umfasst je nach Situation folgende Schritte:
- Eine deaktivierte Schlüsselversion wieder aktivieren
- Eine gelöschte Schlüsselversion wiederherstellen Bevor eine Schlüsselversion endgültig gelöscht wird, wird sie zum Löschen vorgemerkt. Sie können einen Schlüssel nur für den Zeitraum wiederherstellen, in dem das Löschen einer Schlüsselversion geplant ist. Schlüssel, die bereits endgültig gelöscht wurden, können nicht wiederhergestellt werden.
- Gewähren Sie dem Firestore-Dienst-Agent noch einmal die Berechtigung, auf den Schlüssel zuzugreifen.
Überlegungen zu externen Schlüsseln
Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.
Wenn kein extern verwalteter Schlüssel verfügbar ist, unterstützt Firestore bis zu eine Stunde lang weiterhin vollständige Datenbankvorgänge mit einer im Cache gespeicherten Version des Schlüssels.
Wenn Firestore nach einer Stunde immer noch keine Verbindung zu Cloud KMS herstellen kann, schaltet Firestore die Datenbank als Vorsichtsmaßnahme offline. Aufrufe an die Datenbank schlagen mit dem Fehler FAILED_PRECONDITION fehl, der zusätzliche Details enthält.
Weitere Informationen zur Verwendung externer Schlüssel finden Sie in der Dokumentation zu Cloud External Key Manager.
Beschränkungen
- Das Ändern eines Schlüssels für eine CMEK-geschützte Datenbank wird nicht unterstützt. Schlüsselrotation, Aktivierung und Deaktivierung werden unterstützt.
- Sicherungspläne und Wiederherstellungsvorgänge werden für CMEK-geschützte Datenbanken nicht unterstützt. Sie können die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-in-Time Recovery, PITR) für die Notfallwiederherstellung verwenden.
- CMEK-geschützte Datenbanken unterstützen Key Visualizer nur für Entitäts- und Dokumentdaten, nicht für Indexdaten.
- Sie können CMEK für vorhandene Datenbanken nicht aktivieren. Sie können CMEK nur für neue Datenbanken aktivieren. Sie müssen es beim Erstellen der Datenbank aktivieren. Wenn Sie Daten aus einer vorhandenen nicht CMEK-geschützten Datenbank in eine CMEK-geschützte Datenbank migrieren möchten, exportieren Sie die Daten und importieren Sie sie in eine neue CMEK-geschützte Datenbank.
- Schlüssel-Tracking wird für eine CMEK-geschützte Datenbank nicht unterstützt.
- Während der Vorabversion unterstützt Firestore eine begrenzte Anzahl von CMEK-geschützten Datenbanken.