Vom Kunden verwaltete Verschlüsselungsschlüssel
Integration Connectors verschlüsselt standardmäßig inaktive Kundendaten. Integration Connectors übernimmt die Verschlüsselung für Sie, sodass von Ihrer Seite keine weiteren Maßnahmen erforderlich sind. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Integration Connectors verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Integration Connectors-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Hinweise
Führen Sie die folgenden Aufgaben aus, bevor Sie CMEK für Integration Connectors verwenden:
- Aktivieren Sie die Cloud KMS API für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.
- Weisen Sie die IAM-Rolle Cloud KMS Admin zu oder gewähren Sie dem Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden, die folgenden IAM-Berechtigungen:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Erstellen Sie einen Schlüsselbund und einen Schlüssel.
Dienstkonto zum CMEK-Schlüssel hinzufügen
Wenn Sie einen CMEK-Schlüssel in Integration Connectors verwenden möchten, müssen Sie dafür sorgen, dass Ihr Standarddienstkonto (im Format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) hinzugefügt und ihm die IAM-Rolle CryptoKey-Verschlüsseler/Entschlüsseler für diesen CMEK-Schlüssel zugewiesen wird.
- Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.
- Klicken Sie das Kästchen für den gewünschten CMEK-Schlüssel an.
Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
- Klicken Sie auf Hauptkonto hinzufügen und geben Sie die E-Mail-Adresse des Standarddienstkontos ein.
- Klicken Sie auf Rolle auswählen und wählen Sie in der Drop-down-Liste die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
CMEK-Verschlüsselung für eine vorhandene Region von Integration Connectors aktivieren
Sie können CMEK verwenden, um die in einer Region (auch als Speicherort bezeichnet) gespeicherten unterstützten Daten zu verschlüsseln und zu entschlüsseln. So aktivieren Sie die CMEK-Verschlüsselung für eine vorhandene Region für Integration Connectors:
- Rufen Sie in der Google Cloud Console die Seite Integration Connectors > Connections auf.
- Filtern Sie die Verbindungen nach dem erforderlichen Standort.
Sie erhalten eine Liste aller Verbindungen für den angegebenen Standort (Region).
- Alle Verbindungen in der Region sperren
- Rufen Sie die Seite Integration Connectors > Regionen auf. Hier sind alle Regionen aufgeführt, in denen Integration Connectors verfügbar ist.
- Klicken Sie für die Region, in der Sie CMEK aktivieren möchten, im Menü Aktionen auf Verschlüsselung bearbeiten. Daraufhin wird der Bereich Verschlüsselung bearbeiten angezeigt.
- Wählen Sie Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) und dann den erforderlichen Schlüssel aus der Drop-down-Liste Vom Kunden verwalteter Schlüssel aus.
Möglicherweise werden Sie aufgefordert, dem Dienstkonto die Rolle
cloudkms.cryptoKeyEncrypterDecrypterzuzuweisen. Klicken Sie auf Zugewähren. - Klicken Sie auf Fertig.
CMEK-Verschlüsselung für eine neue Integration Connectors-Region aktivieren
Sie können CMEK verwenden, um die in einer Region (auch als Speicherort bezeichnet) gespeicherten unterstützten Daten zu verschlüsseln und zu entschlüsseln. So aktivieren Sie die CMEK-Verschlüsselung für eine neue Region für Integration Connectors:
- Rufen Sie in der Google Cloud Console die Seite Integration Connectors > Regions auf.
Rufen Sie die Seite Regionen auf.
- Klicken Sie auf Neue Region bereitstellen. Daraufhin wird die Seite zum Erstellen einer Region angezeigt.
- Wählen Sie in der Drop-down-Liste Region die gewünschte Region aus.
- Wählen Sie im Abschnitt Erweiterte Einstellungen die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) und dann in der Drop-down-Liste Vom Kunden verwalteter Schlüssel den erforderlichen Schlüssel aus.
Möglicherweise werden Sie aufgefordert, dem Dienstkonto die Rolle
cloudkms.cryptoKeyEncrypterDecrypterzuzuweisen. Klicken Sie auf Zugewähren. - Klicken Sie auf Fertig.
Cloud KMS-Kontingente und Integration Connectors
Wenn Sie CMEK in Integration Connectors verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-Schlüssel können diese Kontingente beispielsweise pro Verschlüsselungs- und Entschlüsselungsaufruf verbrauchen.
Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:
- Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
- Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
- Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
Weitere Informationen finden Sie unter Cloud KMS-Kontingente.