Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden

Autopilot Standard

Auf dieser Seite wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) in Google Kubernetes Engine (GKE) verwenden. Wenn Sie die Verwaltung Ihrer Schlüssel steuern möchten, können Sie mit Cloud Key Management Service und CMEK angehängte nichtflüchtige Speicher und benutzerdefinierte Bootlaufwerke in Ihrem GKE-Cluster schützen.

Übersicht

Google Cloud verschlüsselt inaktive Kundeninhalte standardmäßig und GKE verwaltet die Verschlüsselung für Sie, ohne dass Sie etwas tun müssen.

Wenn Sie die Rotation von Verschlüsselungsschlüsseln selbst steuern und verwalten möchten, können Sie CMEK verwenden. Mit diesen Schlüsseln werden Datenverschlüsselungsschlüssel verschlüsselt, die wiederum Ihre Daten verschlüsseln. Weitere Informationen finden Sie unter Schlüsselverwaltung.

Mit von Ihnen verwalteten Schlüsseln können Sie außerdem Secrets in Ihrem Cluster verschlüsseln. Weitere Informationen finden Sie unter Verschlüsselung von Secrets auf Anwendungsebene.

In GKE kann CMEK die Daten von zwei Arten von Speicherlaufwerken schützen: Bootlaufwerken von Knoten und angehängten Laufwerken.

Bootlaufwerke von Knoten: Knoten-Bootlaufwerke sind Teil der Knotenpools des Clusters. Ein CMEK-verschlüsseltes Bootlaufwerk für Knoten können Sie beim Erstellen von Clustern und Knotenpools erstellen.
Angehängte Laufwerke: Angehängte Laufwerke sind PersistentVolumes, die von Pods zum dauerhaften Speichern verwendet werden. CMEK-verschlüsselte angehängte nichtflüchtige Speicher sind in GKE als dynamisch bereitgestelltes PersistentVolume verfügbar.

Weitere Informationen zu Speicherlaufwerken finden Sie unter Speicheroptionen. Laufwerke für Steuerungsebenen, die für GKE-Steuerungsebenen verwendet werden, können nicht mit CMEK geschützt werden.

Vorbereitung

Für die Übungen in diesem Thema benötigen Sie zwei Google Cloud-Projekte:
- Schlüsselprojekt: Hier erstellen Sie einen Verschlüsselungsschlüssel.
- Clusterprojekt: Hier erstellen Sie einen Cluster, der CMEK aktiviert.
Hinweis: Sie können als Schlüsselprojekt und Clusterprojekt dasselbe Projekt verwenden. Es wird jedoch empfohlen, separate Projekte zu verwenden.
Stellen Sie in Ihrem Schlüsselprojekt sicher, dass Sie die Cloud KMS API aktiviert haben.

Cloud KMS API aktivieren
In Ihrem Schlüsselprojekt benötigt der Nutzer, der den Schlüsselbund und Schlüssel erstellt, die folgenden IAM-Berechtigungen:
- cloudkms.keyRings.getIamPolicy
- cloudkms.keyRings.setIamPolicy
Diese Berechtigungen sind in der vordefinierten IAM-Rolle (Identity and Access Management) roles/cloudkms.admin enthalten. Weitere Informationen zum Erteilen von Berechtigungen zur Schlüsselverwaltung finden Sie in der Cloud KMS-Dokumentation.
Achten Sie darauf, dass in Ihrem Clusterprojekt die Cloud KMS API aktiviert ist.

Cloud KMS API aktivieren
Prüfen Sie, ob die gcloud CLI installiert ist.
Aktualisieren Sie gcloud auf die neueste Version:
```
gcloud components update
```

Cloud KMS-Schlüssel erstellen

Bevor Sie das Knoten-Bootlaufwerk oder das angehängte Laufwerk mit einem CMEK schützen können, benötigen Sie einen Cloud KMS-Schlüsselbund und -Schlüssel.

Für Ihren Schlüsselbund und Schlüssel gelten die folgenden Anforderungen:

Ihr Schlüssel sollte symmetrische Verschlüsselung verwenden.
Sie müssen GKE-Dienstkontoberechtigungen erteilen, um den Schlüssel verwenden zu können.
Der Schlüsselbund muss einen Speicherort haben, der dem Standort Ihres GKE-Clusters entspricht:
- Ein zonaler Cluster sollte einen Schlüsselbund von einem übergeordneten Ort aus verwenden. Ein Cluster in der Zone us-central1-a kann beispielsweise nur einen Schlüssel in der Region us-central1 verwenden.
- Ein regionaler Cluster sollte einen Schlüsselbund am selben Ort verwenden. Beispielsweise sollte ein Cluster in der Region asia-northeast1 mit einem Schlüsselbund aus der Region asia-northeast1 geschützt werden.
- Die Cloud KMS-Region global wird für die Verwendung mit GKE nicht unterstützt.

Eine Anleitung zum Erstellen eines Schlüsselbunds und eines Schlüssels finden Sie unter Symmetrische Schlüssel erstellen.

Verwendung des Schlüssels erlauben

Sie müssen dem Compute Engine-Dienstkonto, das von Knoten in Ihrem Cluster verwendet wird, die Rolle "Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler" zuweisen. Dies ist erforderlich, damit nichtflüchtige Speicher in GKE auf Ihren Verschlüsselungsschlüssel zugreifen und ihn verwenden können.

Der Name des Compute Engine-Dienstkontos hat folgendes Format:

service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

Ersetzen Sie PROJECT_NUMBER durch die Projektnummer des Clusters.

Um Zugriff auf das Dienstkonto zu gewähren, können Sie den Befehl gcloud oder die Google Cloud Console verwenden.

gcloud

Weisen Sie Ihrem Compute Engine-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring RING_NAME \
    --member serviceAccount:SERVICE_ACCOUNT \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KEY_PROJECT_ID

Dabei gilt:

KEY_NAME: der Name des Schlüssels
LOCATION: die Region, in der Sie Ihren Schlüsselbund erstellt haben
RING_NAME: der Name des Schlüsselbunds
SERVICE_ACCOUNT: der Name Ihres Compute Engine-Dienstkontos
KEY_PROJECT_ID: Ihre Schlüsselprojekt-ID

Console

Weisen Sie Ihrem Compute Engine-Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:

Öffnen Sie in der Google Cloud Console den Browser für Cloud Key Management Service-Schlüssel.
Zum Browser für Cloud KMS-Schlüssel
Klicken Sie auf den Namen des Schlüsselbunds, der den gewünschten Schlüssel enthält.
Klicken Sie das Kästchen für den gewünschten Schlüssel an.

Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse des Compute Engine-Dienstkontos an, dem Sie Zugriff gewähren.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Speichern.

CMEK-geschützte Knoten-Bootlaufwerke verwenden

In diesem Abschnitt erstellen Sie einen neuen Cluster oder Knotenpool mit einem CMEK-geschützten Bootlaufwerk.

Sie können die vom Kunden verwaltete Verschlüsselung für Knoten-Bootlaufwerke auf einem vorhandenen Cluster nicht aktivieren, da Sie den Bootlaufwerktyp eines vorhandenen Clusters oder Knotenpools nicht ändern können. Sie können jedoch einen neuen Knotenpool für Ihren Cluster erstellen, bei dem die vom Kunden verwaltete Verschlüsselung aktiviert ist, und den vorherigen Knotenpool löschen.

Es ist ebenfalls nicht möglich, die vom Kunden verwaltete Verschlüsselung für Knoten-Bootlaufwerke auf einem vorhandenen Cluster oder Knotenpool zu deaktivieren. Sie können jedoch einen neuen Knotenpool für Ihren Cluster erstellen, bei dem die vom Kunden verwaltete Verschlüsselung deaktiviert ist, und den vorherigen Knotenpool löschen.

Cluster mit einem CMEK-geschützten Knoten-Bootlaufwerk erstellen

Sie können einen Cluster mit einem CMEK-geschützten Knoten-Bootlaufwerk mit der gcloud CLI oder der Google Cloud Console erstellen.

Bei Standardclustern kann nur nichtflüchtiger Standardspeicher (pd-standard) oder nichtflüchtiger SSD-Speicher (pd-ssd) mit einem CMEK-Schlüssel verschlüsselt werden.

gcloud

Geben Sie in Ihrem Erstellungsbefehl einen Wert für den Parameter --boot-disk-kms-key an, um einen Cluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird.

Standardcluster erstellen

Verwenden Sie den folgenden Befehl, um einen Standardcluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:

gcloud container clusters create CLUSTER_NAME \
    --cluster-version=latest \
    --region COMPUTE_REGION \
    --boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project CLUSTER_PROJECT_ID \
    --disk-type DISK_TYPE

Autopilot-Cluster erstellen

Verwenden Sie den folgenden Befehl, um einen Autopilot-Cluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:

gcloud container clusters create-auto CLUSTER_NAME \
    --cluster-version=latest \
    --region COMPUTE_REGION \
    --boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project CLUSTER_PROJECT_ID

Dabei gilt:

CLUSTER_NAME: der Name des neuen Clusters
COMPUTE_REGION: die Computing-Region für die Clustersteuerungsebene
KEY_PROJECT_ID: Ihre Schlüsselprojekt-ID
LOCATION: der Speicherort Ihres Schlüsselbunds
RING_NAME: der Name des Schlüsselbunds
KEY_NAME: der Name des Schlüssels
CLUSTER_PROJECT_ID ist Ihre Clusterprojekt-ID.
DISK_TYPE: pd-standard (Standard) oder pd-ssd

Console

Standardcluster erstellen

Führen Sie die folgenden Schritte aus, um einen Standardcluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite „Google Kubernetes Engine“
Klicken Sie auf Erstellen.
Klicken Sie unter Standard auf Konfigurieren.
Konfigurieren Sie den Cluster wie gewünscht.
Klicken Sie im Navigationsbereich unter Knotenpools auf Knoten.
Wählen Sie in der Drop-down-Liste Bootlaufwerktyp die Option Nichtflüchtiger Standardspeicher oder Nichtflüchtiger SSD-Speicher aus.
Aktivieren Sie das Kästchen Vom Kunden verwaltete Verschlüsselung des Bootlaufwerks aktivieren und wählen Sie den oben erstellten Cloud KMS-Verschlüsselungsschlüssel aus.
Klicken Sie auf Erstellen.

Autopilot-Cluster erstellen

Führen Sie die folgenden Schritte aus, um einen Autopilot-Cluster zu erstellen, dessen Bootlaufwerk mit einem CMEK-Schlüssel verschlüsselt wird:

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite „Google Kubernetes Engine“
Klicken Sie auf Erstellen.
Klicken Sie im Abschnitt Autopilot auf Konfigurieren.
Konfigurieren Sie den Cluster wie gewünscht.
Maximieren Sie den Abschnitt Erweiterte Optionen mit den Optionen für Sicherheit.
Aktivieren Sie das Kästchen Vom Kunden verwaltete Verschlüsselung des Bootlaufwerks aktivieren und wählen Sie den oben erstellten Cloud KMS-Verschlüsselungsschlüssel aus.
Klicken Sie auf Erstellen.

Neuen Knotenpool mit CMEK-geschützten Knoten-Bootlaufwerken erstellen

Zum Erstellen eines neuen Knotenpools mit aktiviertem CMEK in einem vorhandenen Standard-Cluster können Sie die gcloud CLI oder die Google Cloud Console verwenden.

gcloud

Um einen Knotenpool mit vom Kunden verwalteter Verschlüsselung für Knoten-Bootlaufwerke zu erstellen, geben Sie in Ihrem Erstellungsbefehl einen Wert für den Parameter --boot-disk-kms-key an.

gcloud container node-pools create NODE_POOL_NAME \
    --region COMPUTE_REGION \
    --disk-type DISK_TYPE \
    --boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project CLUSTER_PROJECT_ID \
    --cluster CLUSTER_NAME

Dabei gilt:

NODE_POOL_NAME: der Name, den Sie für Ihren Knotenpool auswählen
COMPUTE_REGION: die Computing-Region für die Clustersteuerungsebene
DISK_TYPE: pd-standard (Standard) oder pd-ssd
KEY_PROJECT_ID: Ihre Schlüsselprojekt-ID
LOCATION: der Speicherort Ihres Schlüsselbunds
RING_NAME: der Name des Schlüsselbunds
KEY_NAME: der Name des Schlüssels
CLUSTER_PROJECT_ID: Ihre Clusterprojekt-ID
CLUSTER_NAME: der Name des Standard-Clusters, den Sie im vorherigen Schritt erstellt haben.

Console

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie in der Clusterliste auf den Namen des Clusters, den Sie ändern möchten.
Klicken Sie auf Knotenpool hinzufügen .
Klicken Sie im Navigationsbereich auf Knoten.
Prüfen Sie im Abschnitt Maschinenkonfiguration, ob der Bootlaufwerktyp entweder Nichtflüchtiger Standardspeicher oder Nichtflüchtiger SSD-Speicher ist.
Aktivieren Sie das Kästchen Vom Kunden verwaltete Verschlüsselung des Bootlaufwerks aktivieren und wählen Sie den oben erstellten Cloud KMS-Verschlüsselungsschlüssel aus.
Klicken Sie auf Erstellen.

CMEK-geschützte Filestore-Instanzen oder nichtflüchtige Speicher verwenden

Die folgenden Informationen zeigen, wie Sie neu erstellte Filestore-Instanzen oder nichtflüchtige Speicher verschlüsseln. Sie können CMEK für einen neuen oder vorhandenen Cluster mithilfe eines neuen oder vorhandenen Cloud KMS-Schlüssels aktivieren.

Diese Schritte müssen für jeden GKE-Cluster ausgeführt werden:

Erstellen Sie einen GKE-Cluster, falls noch keiner vorhanden ist.
Stellen Sie den CSI-Treiber für Filestore oder den CSI-Treiber für nichtflüchtigen Speicher von Compute Engine im Cluster bereit.
Erstellen Sie einen Cloud KMS-Schlüsselbund und eine Schlüsselversion, falls noch keine vorhanden sind.
Schlüsselzugriffsberechtigung für das Filestore-Dienstkonto gewähren
Erstellen Sie eine StorageClass, mit der von Kubernetes bereitgestellte Festplatten automatisch mit diesem Cloud KMS-Schlüssel verschlüsselt werden können. Weitere Informationen dazu finden Sie im folgenden Abschnitt.

StorageClass erstellen, die auf den Cloud KMS-Schlüssel verweist

Kopieren Sie den nachstehenden Inhalt in eine YAML-Datei mit dem Namen cmek-sc.yaml. Diese Konfiguration ermöglicht die dynamische Bereitstellung verschlüsselter Volumes:
Filestore-Instanzen
```
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: csi-filestore-cmek
provisioner: filestore.csi.storage.gke.io
allowVolumeExpansion: true
parameters:
  tier: enterprise
  instance-encryption-kms-key: projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
```
- Das Feld instance-encryption-kms-key muss die voll qualifizierte Ressourcenkennung für den Schlüssel sein, der zum Verschlüsseln neuer Filestore-Instanzen verwendet wird.
- Bei den Werten in instance-encryption-kms-key wird zwischen Groß- und Kleinschreibung unterschieden (z. B. keyRings und cryptoKeys). Die Bereitstellung eines neuen Volumes mit falschen Werten führt zum Fehler invalidResourceUsage.
- Sie können den Parameter instance-encryption-kms-key nicht einem vorhandenen StorageClass-Objekt hinzufügen. Sie können das StorageClass-Objekt jedoch löschen und mit demselben Namen, jedoch mit einer anderen Gruppe von Parametern neu erstellen.
Nichtflüchtiger Speicher
```
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: csi-gce-pd-cmek
provisioner: pd.csi.storage.gke.io
volumeBindingMode: "WaitForFirstConsumer"
allowVolumeExpansion: true
parameters:
  type: pd-standard
  disk-encryption-kms-key: projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
```
- Das Feld disk-encryption-kms-key muss die voll qualifizierte Ressourcenkennung für den Schlüssel sein, der zum Verschlüsseln neuer Laufwerke verwendet wird.
- Bei den Werten in disk-encryption-kms-key wird zwischen Groß- und Kleinschreibung unterschieden (z. B. keyRings und cryptoKeys). Die Bereitstellung eines neuen Volumes mit falschen Werten führt zum Fehler invalidResourceUsage.
- Sie können den Parameter disk-encryption-kms-key nicht einem vorhandenen StorageClass-Objekt hinzufügen. Sie können das StorageClass-Objekt jedoch löschen und mit demselben Namen, jedoch mit einer anderen Gruppe von Parametern neu erstellen. Der Bereitsteller der vorhandenen Klasse muss pd.csi.storage.gke.io sein.
Sie können die StorageClass als Standard festlegen.
Stellen Sie StorageClass mithilfe von kubectlin Ihrem GKE-Cluster bereit:
```
kubectl apply -f cmek-sc.yaml
```

Prüfen Sie noch, ob die StorageClass den CSI-Treiber für den nichtflüchtigen Speicher oder für Filestore von Compute Engine verwendet hat und die ID Ihres Schlüssels enthält.

Filestore-Instanzen

kubectl describe storageclass csi-filestore-cmek

Prüfen Sie in der Ausgabe des Befehls Folgendes:

Als Bereitsteller ist filestore.csi.storage.gke.io festgelegt.
Die ID Ihres Schlüssels folgt instance-encryption-kms-key.

Name:                  csi-filestore-cmek
IsDefaultClass:        No
Annotations:           None
Provisioner:           filestore.csi.storage.gke.io
Parameters:            instance-encryption-kms-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME,type=pd-standard
AllowVolumeExpansion:  true
MountOptions:          none
ReclaimPolicy:         Delete
VolumeBindingMode:     WaitForFirstConsumer
Events:                none

Nichtflüchtiger Speicher

kubectl describe storageclass csi-gce-pd-cmek

Prüfen Sie in der Ausgabe des Befehls Folgendes:

Der Bereitsteller wird auf pd.csi.storage.gke.io gesetzt.
Die ID Ihres Schlüssels folgt auf disk-encryption-kms-key.

Name:                  csi-gce-pd-cmek
IsDefaultClass:        No
Annotations:           None
Provisioner:           pd.csi.storage.gke.io
Parameters:            disk-encryption-kms-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME,type=pd-standard
AllowVolumeExpansion:  unset
MountOptions:          none
ReclaimPolicy:         Delete
VolumeBindingMode:     WaitForFirstConsumer
Events:                none

Verschlüsseltes Speicher-Volume in GKE erstellen

In diesem Abschnitt stellen Sie verschlüsselte Kubernetes-Speicher-Volumes dynamisch mit Ihrer neuen StorageClass und Ihrem Cloud KMS-Schlüssel bereit.

Kopieren Sie den folgenden Inhalt in eine neue Datei mit dem Namen pvc.yaml und achten Sie darauf, dass der Wert für storageClassName mit dem Namen Ihres StorageClass-Objekts übereinstimmt:

Filestore-Instanzen

kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: podpvc
spec:
  accessModes:
    - ReadWriteMany
  storageClassName: csi-filestore-cmek
  resources:
    requests:
      storage: 1Ti

Nichtflüchtiger Speicher

kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: podpvc
spec:
  accessModes:
    - ReadWriteOnce
  storageClassName: csi-gce-pd-cmek
  resources:
    requests:
      storage: 6Gi

Wenden Sie den PersistentVolumeClaim (PVC) auf Ihren GKE-Cluster an:
```
kubectl apply -f pvc.yaml
```
Wenn das volumeBindingMode-Feld für StorageClass auf WaitForFirstConsumer gesetzt ist, müssen Sie einen Pod erstellen, um den PVC zu verwenden, bevor Sie ihn prüfen können. Kopieren Sie den folgenden Inhalt in eine neue Datei mit dem Namen pod.yaml und achten Sie darauf, dass der Wert für claimName mit dem Namen Ihres PersistentVolumeClaim-Objekts übereinstimmt:
```
apiVersion: v1
kind: Pod
metadata:
  name: web-server
spec:
  containers:
   - name: web-server
     image: nginx
     volumeMounts:
       - mountPath: /var/lib/www/html
         name: mypvc
  volumes:
   - name: mypvc
     persistentVolumeClaim:
       claimName: podpvc
       readOnly: false
```
Wenden Sie den Pod auf Ihren GKE-Cluster an:
```
kubectl apply -f pod.yaml
```

Rufen Sie den Status des PersistentVolumeClaim Ihres Clusters ab und prüfen Sie, ob der PVC erstellt und an ein neu bereitgestelltes PersistentVolume gebunden ist.

Filestore-Instanzen

kubectl get pvc

Die entsprechende Ausgabe sieht etwa so aus:

NAME      STATUS    VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS     AGE
podpvc    Bound     pvc-e36abf50-84f3-11e8-8538-42010a800002   1Ti        RWO            csi-filestore-cmek  9s

Nichtflüchtiger Speicher

kubectl get pvc

Die entsprechende Ausgabe sieht etwa so aus:

NAME      STATUS    VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS     AGE
podpvc    Bound     pvc-e36abf50-84f3-11e8-8538-42010a800002   6Gi       RWO            csi-gce-pd-cmek  9s

Sie können nun den durch CMEK geschützten nichtflüchtigen Speicher mit dem GKE-Cluster verwenden.

CMEK-Schutz entfernen

Folgen Sie der Anleitung in der Compute Engine-Dokumentation, um den CMEK-Schutz von einem nichtflüchtigen Speicher zu entfernen.

Die CMEK-Verschlüsselung kann nicht aus Filestore-Instanzen entfernt werden.

Organisationsrichtlinien für GKE und CMEK

GKE unterstützt CMEK-Organisationsrichtlinien (Vorschau), die einen CMEK-Schutz erfordern und einschränken können, welche Cloud KMS-Schlüssel Sie für den CMEK-Schutz verwenden können.

Wenn sich container.googleapis.com in der Richtlinienliste Deny für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, lehnt GKE das Erstellen der folgenden Ressourcen ab, wenn Sie den CMEK-Schutz nicht aktivieren:

Neue Cluster und Knotenpools
Neue Filestore-Instanzen und nichtflüchtige Speicher

Wenn die Einschränkung constraints/gcp.restrictNonCmekCryptoKeyProjects in einer Organisationsrichtlinie konfiguriert ist, erstellt GKE nur CMEK-geschützte Ressourcen, die einen Verschlüsselungsschlüssel aus einem zulässigen Projekt, Ordner oder einer Organisation verwenden.

Nächste Schritte

Häufig gestellte Fragen zum Cloud Key Management Service
Weitere Informationen zum Schützen von Ressourcen mit Cloud KMS-Schlüsseln