Daten mit CMEK schützen
Cloud Run Functions verschlüsselt inaktive Kundendaten standardmäßig. Die Verschlüsselung wird von Cloud Run Functions durchgeführt. Sie müssen nichts weiter tun. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Cloud Run-Funktionen verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Cloud Run-Funktionsressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Die folgenden Arten von Cloud Run Functions-Daten werden bei der Verwendung eines CMEK verschlüsselt:
- Der Funktionsquellcode, für die Bereitstellung hochgeladen und von Google in Cloud Storage gespeichert, wird für den Build-Prozess verwendet.
- Die Ergebnisse des Funktions-Build-Prozesses, einschließlich:
- Das Container-Image, das aus Ihrem Funktionsquellcode erstellt wurde.
- Jede Instanz der Funktion, die bereitgestellt wird.
Der Funktions-Build-Prozess selbst wird durch einen sitzungsspezifischen Schlüssel geschützt, der für jeden Build eindeutig generiert wird. Weitere Informationen finden Sie unter CMEK-Compliance in Cloud Build. Beachten Sie außerdem Folgendes:
Dateimetadaten wie Dateisystempfade oder Änderungszeitstempel sind nicht verschlüsselt.
Wenn ein CMEK-Schlüssel deaktiviert ist, kann das Container-Image nicht bereitgestellt werden und neue Instanzen können nicht gestartet werden.
Der CMEK-Schutz von Cloud Run Functions gilt nur für von Google verwaltete Cloud Run Functions-Ressourcen. Sie sind für den Schutz von Daten und Ressourcen verantwortlich, die von Ihnen verwaltet werden, z. B. Ihre Quellcode-Repositories, Ereigniskanäle im Kundenprojekt oder alle Dienste, die von Ihren Funktionen verwendet werden.
Das Einrichten von CMEK für Cloud Run Functions umfasst Folgendes:
Den erforderlichen Dienstkonten Zugriff auf den Schlüssel gewähren:
CMEK-geschütztes Artifact Registry-Repository zum Speichern Ihrer Funktions-Images erstellen
CMEK für die Funktion aktivieren
Optional können Sie Organisationsrichtlinien für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) aktivieren, um zu erzwingen, dass alle neuen Funktionen CMEK-konform sind.
Diese Schritte werden unten genauer beschrieben.
Vorbereitung
Erstellen Sie einen Schlüssel für eine einzelne Region, um Ihre Funktionen zu verschlüsseln. Informationen zum Erstellen eines Schlüssels finden Sie unter Symmetrische Verschlüsselungsschlüssel erstellen.
Erstellen Sie ein Artifact Registry-Repository mit aktiviertem CMEK. Sie müssen für das Artifact Registry-Repository denselben Schlüssel verwenden wie für das Aktivieren von CMEK für eine Funktion.
Führen Sie für ereignisgesteuerte Funktionen die zusätzlichen Einrichtungsschritte aus, die unter CMEK für einen Google-Kanal aktivieren beschrieben werden.
Dienstkonten Zugriff auf den Schlüssel gewähren
Für alle Funktionen müssen Sie den folgenden Dienstkonten Zugriff auf den Schlüssel gewähren:
Cloud Run Functions-Dienst-Agent (
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
)Artifact Registry-Dienst-Agent (
service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
)Cloud Storage-Dienst-Agent (
service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com
)
Außerdem müssen Sie den folgenden Dienstkonten Zugriff auf den Schlüssel gewähren:
Cloud Run-Dienst-Agent (
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com
)Eventarc-Dienst-Agent (
service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com
)
Wenn Sie diesen Dienstkonten Zugriff auf den Schlüssel gewähren möchten, fügen Sie jedes Dienstkonto als Hauptkonto des Schlüssels hinzu und weisen Sie dem Dienstkonto dann die Rolle Cloud KMS CryptoKey Encrypter/Decrypter
zu:
Console
Rufen Sie in der Google Cloud Console die Seite „Cloud Key Management Service“ auf:
Zur Cloud KMS-SeiteKlicken Sie auf den Namen des Schlüsselbunds, der den ausgewählten Schlüssel enthält.
Klicken Sie auf den Namen des Schlüssels, um die Schlüsseldetails aufzurufen.
Klicken Sie im Tab Berechtigungen auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten die E-Mail-Adressen aller drei Dienstkonten oben ein, um allen drei Konten gleichzeitig Berechtigungen zuzuweisen.
Wählen Sie im Menü Rolle auswählen Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Speichern.
gcloud
Führen Sie für jedes der oben genannten Dienstkonten den folgenden Befehl aus:
gcloud kms keys add-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member serviceAccount:SERVICE_AGENT_EMAIL \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Ersetzen Sie dabei Folgendes:
KEY
: der Name des Schlüssels Beispiel:my-key
.KEY_RING
: der Name des Schlüsselbunds Beispiel:my-keyring
LOCATION
: der Speicherort des Schlüssels Beispiel:us-central1
SERVICE_AGENT_EMAIL
: die E-Mail-Adresse des Dienstkontos
CMEK für eine Funktion aktivieren
Nachdem Sie ein Artifact Registry-Repository mit aktiviertem CMEK eingerichtet und Cloud Run Functions Zugriff auf Ihren Schlüssel gewährt haben, können Sie CMEK für Ihre Funktion aktivieren.
So aktivieren Sie CMEK für eine Funktion:
Console
Rufen Sie in der Google Cloud Console die Seite „Cloud Run-Funktionen“ auf:
Zur Seite „Cloud Run-Funktionen“Klicken Sie auf den Namen der Funktion, für die Sie CMEK aktivieren möchten.
Klicken Sie auf Bearbeiten.
Klicken Sie auf Laufzeit, Build..., um die erweiterten Konfigurationsoptionen zu maximieren.
Wählen Sie den Tab Sicherheit und Image-Repository aus.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus.
Wählen Sie den ausgewählten Schlüssel aus dem Drop-down-Menü aus.
Wählen Sie unter Container-Speicherort die Option Vom Kunden verwaltete Artifact Registry aus.
Wählen Sie im Drop-down-Menü Artifact Registry das CMEK-geschützte Repository aus.
Klicken Sie auf Weiter.
Klicken Sie auf Bereitstellen.
gcloud
Führen Sie den folgenden Befehl aus:
gcloud functions deploy FUNCTION \ [--gen2] \ --kms-key=KEY \ --docker-repository=REPOSITORY \ --source=YOUR_SOURCE_LOCATION FLAGS...
Ersetzen Sie dabei Folgendes:
FUNCTION
: Name der Funktion, für die CMEK aktiviert werden soll Beispiel:cmek-function
.KEY
: der voll qualifizierte Schlüsselname im folgenden Format:projects/PROJECT_NAME/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME
.REPOSITORY
: Der voll qualifizierte Artifact Registry-Repository-Name im folgenden Format:projects/PROJECT_NAME/locations/LOCATION/repositories/REPOSITORY
.YOUR_SOURCE_LOCATION
: Wenn Sie CMEK für eine bereits vorhandene Funktion aktivieren, achten Sie darauf, dass der gewünschte Quellcode neu bereitgestellt wird, indem Sie diesen Parameter explizit angeben.FLAGS...
: Zusätzliche Flags, die möglicherweise zur Bereitstellung der Funktion erforderlich sind, insbesondere für Bereitstellungen vom Typ „Erstellen“. Weitere Informationen finden Sie unter Cloud Run Functions-Funktion bereitstellen.
CMEK ist für die Funktion aktiviert.
Beachten Sie, dass Cloud Run Functions immer die primäre Version eines Schlüssels für den CMEK-Schutz verwendet. Sie können keine bestimmte Schlüsselversion angeben, die beim Aktivieren von CMEK für die Funktionen verwendet werden soll.
Wenn ein Schlüssel gelöscht oder deaktiviert wird oder die erforderlichen Berechtigungen widerrufen werden, werden aktive Instanzen von Funktionen, die durch diesen Schlüssel geschützt sind, nicht heruntergefahren. Funktionsausführungen, die bereits ausgeführt werden, werden auch weiterhin ausgeführt, aber neue Ausführungen schlagen fehl, solange Cloud Run Functions keinen Zugriff auf den Schlüssel hat.
CMEK-Schutz testen
Wenn Sie prüfen möchten, ob der CMEK-Schutz funktioniert, können Sie den Schlüssel deaktivieren, den Sie zum Aktivieren von CMEK für eine Funktion verwendet haben. Versuchen Sie dann, die Funktion auszulösen:
Deaktivieren Sie den CMEK-Schlüssel, der zum Schutz Ihrer Funktion verwendet wird.
Versuchen Sie, den mit dieser Funktion verknüpften Quellcode aufzurufen. Der Versuch sollte fehlschlagen.
Versuchen Sie, die CMEK-geschützte Funktion auszulösen. Der Versuch sollte fehlschlagen.
Nachdem Sie geprüft haben, ob der CMEK-Schutz funktioniert, aktivieren Sie den Schlüssel.
Der CMEK-Schutz der Funktion wird jetzt bestätigt.
Nächste Schritte
- Schlüssel rotieren
- Mehr über die Standardverschlüsselung von Google erfahren
- Weitere Informationen zu CMEK
- Weitere Informationen zu CMEK-Organisationsrichtlinien