CMEK für Cloud Logging konfigurieren

In diesem Dokument wird die Konfiguration und Verwaltung vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) für Cloud Logging für Ihre Compliance-Anforderungen Ihres Unternehmens. Sie können CMEK als Standardressourceneinstellung für eine Organisation, einen Ordner oder für beides konfigurieren. Durch die Konfiguration sorgt Cloud Logging dafür, dass alle neuen Log-Buckets in der Organisation oder im Ordner mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind.

In der Anleitung in diesem Leitfaden wird die Google Cloud CLI verwendet.

Übersicht

Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Von Logging in Log-Buckets gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüssel, ein Verfahren, das als Umschlagverschlüsselung bezeichnet wird. Für den Zugriff auf Ihre Logging-Daten ist der Zugriff auf diese Schlüsselverschlüsselungsschlüssel erforderlich. Google Cloud verwaltet die Verwaltung für Sie, ohne dass Sie etwas tun müssen.

Ihre Organisation kann regulatorische, Compliance- oder erweiterte Verschlüsselungsanforderungen haben, die unsere Standardverschlüsselung inaktiver Daten nicht anspricht. Anstatt die Verschlüsselungsschlüssel, die Ihre Daten schützen, von Google Cloud verwalten zu lassen, können Sie CMEK zur angepassten Steuerung und Verwaltung Ihrer Verschlüsselung konfigurieren.

Spezifische Informationen zu CMEK, einschließlich seiner Vorteile und Einschränkungen, Siehe Vom Kunden verwaltete Verschlüsselungsschlüssel

Wenn Sie CMEK als Standardressourceneinstellung für das Logging konfigurieren, geschieht Folgendes:

• Neue Protokoll-Buckets in der Organisation oder im Ordner werden automatisch mit dem konfigurierten Schlüssel verschlüsselt. Sie können diesen Schlüssel jedoch ändern oder Protokoll-Buckets erstellen und einen anderen Schlüssel angeben. Weitere Informationen finden Sie unter CMEK für Log-Buckets konfigurieren.

• Wenn Sie Loganalysen verwenden und mehrere Log-Buckets abfragen, gilt der Standardschlüssel zum Verschlüsseln temporärer Daten verwendet werden. Weitere Informationen finden Sie unter Einschränkungen für Log Analytics.

Hinweis

Führen Sie zunächst die folgenden Schritte aus:

1. Lesen Sie die Einschränkungen, bevor Sie einen Protokoll-Bucket mit aktivierter CMEK-Verschlüsselung erstellen.

2. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

3. Konfigurieren Sie das Google Cloud-Projekt, in dem Sie Ihre Schlüssel erstellen möchten:

   1. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

      Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

   2. Aktivieren Sie die Cloud KMS API.

   3. Erstellen Sie einen Schlüsselbund und Schlüssel.

      Mit Cloud Logging können Sie einen Schlüssel aus jeder Region verwenden. Wenn Sie jedoch einen Log-Bucket erstellen, muss dessen Speicherort mit dem Speicherort des Schlüssels übereinstimmen. Informationen zu unterstützten Regionen finden Sie hier:

      • Cloud KMS-Standorte
      • Logging unterstützte Regionen

      Wenn Sie CMEK als Standard-Ressourceneinstellung konfigurieren mit den Schritten in diesem Dokument. werden in der Organisation oder im Ordner neu erstellte Log-Buckets automatisch für CMEK konfiguriert. Da der Standort eines Log-Bucket muss nach der Konfiguration mit dem Speicherort des Schlüssels übereinstimmen CMEK als Standard-Ressourceneinstellung; können nicht erstellt werden Log-Buckets in der Region global

4. Achten Sie darauf, dass Ihre IAM-Rolle für die Organisation oder den Ordner, dessen die Standardeinstellungen, die Sie konfigurieren möchten, folgende Cloud Logging-Berechtigungen:

   • logging.settings.get
   • logging.settings.update

CMEK für eine Organisation oder einen Ordner aktivieren

Folgen Sie dieser Anleitung, um CMEK für Ihren Google Cloud-Ordner oder Ihre Google Cloud-Organisation zu aktivieren.

Dienstkonto-ID ermitteln

Führen Sie den folgenden gcloud logging settings describe-Befehl aus, um die Dienstkonto-ID der Organisation oder des Ordners zu ermitteln, für die bzw. den CMEK gelten soll:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Der vorherige Befehl generiert Dienstkonten für die Organisation wenn sie nicht vorhanden sind. Der Befehl gibt auch die IDs Zwei Dienstkonten, eines im Feld kmsServiceAccountId und das anderen im Feld loggingServiceAccountId ein. So konfigurieren Sie den CMEK als eine Standardeinstellung ist, verwenden Sie den Wert im Feld kmsServiceAccountId.

Im Folgenden sehen Sie eine Beispielantwort auf den vorherigen Befehl, wenn ein Organisation angegeben ist:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

Führen Sie den Bereitstellungsprozess einmal pro Ressource aus. Die wiederholte Ausführung des Befehls describe gibt denselben Wert für das Feld kmsServiceAccountId zurück.

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den Cloud Logging API-Methode getSettings.

Verschlüsseler-/Entschlüsselerrolle zuweisen

Damit CMEK genutzt werden kann, müssen Sie dem Dienstkonto die Berechtigung geben, Ihren Cloud KMS zu verwenden. Weisen Sie dem Konto hierfür die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Organisationsrichtlinien konfigurieren

Logging unterstützt Organisationsrichtlinien, die einen CMEK-Schutz erfordern und einschränken können, welche Cloud KMS-CryptoKeys für den CMEK-Schutz verwendet werden können:

• Wenn logging.googleapis.com in der Deny-Richtlinienliste der Dienste für die Einschränkung constraints/gcp.restrictNonCmekServices, Logging weigert sich, neue benutzerdefinierte Buckets zu erstellen, die nicht CMEK-geschützt sind. Diese Einschränkung verhindert jedoch nicht, dass Cloud Logging die Protokoll-Buckets _Required und _Default erstellt, die beim Erstellen eines Google Cloud-Projekts erstellt werden.

• Wenn constraints/gcp.restrictCmekCryptoKeyProjects erzwungen wird, werden beim Logging CMEK-geschützte Ressourcen erstellt, die durch einen CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation geschützt sind.

Weitere Informationen zu CMEK und Organisationsrichtlinien Siehe CMEK-Organisationsrichtlinien.

Wenn eine Organisationsrichtlinie mit einer CMEK-Einschränkung vorhanden ist, müssen diese Einschränkungen mit den Standardeinstellungen für die Protokollierung für eine Organisation oder einen Ordner übereinstimmen. Falls Sie Ihre Standardeinstellungen ändern möchten, bevor Sie aktualisieren Sie die Standardeinstellungen, prüfen und aktualisieren Sie bei Bedarf die Organisationsrichtlinien.

So rufen Sie Organisationsrichtlinien auf oder konfigurieren sie:

1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

   Gehen Sie zu den Organisationsrichtlinien.

   Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung.

2. Wählen Sie Ihre Organisation aus.

3. Prüfen und aktualisieren Sie gegebenenfalls die für CMEK spezifischen Einschränkungen.

   Informationen zum Ändern einer Organisationsrichtlinie finden Sie unter Richtlinien erstellen und bearbeiten.

Cloud Logging mit dem Cloud KMS-Schlüssel konfigurieren

Führen Sie den folgenden gcloud logging settings update-Befehl aus, um CMEK als Standardressourceneinstellung für die Protokollierung zu konfigurieren:

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

--storage-location = KMS_KEY_LOCATION

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

--storage-location = KMS_KEY_LOCATION

Nach dem Anwenden des Schlüssels werden neue Log-Buckets in der Organisation oder im Ordner erstellt sind so konfiguriert, dass ihre inaktiven Daten mit diesem Schlüssel verschlüsselt werden. Sie können auch Schlüssel ändern für einzelne Log-Buckets. Sie können keine Log-Buckets erstellen in Die Region global, da Sie einen Schlüssel verwenden müssen, dessen Region mit dem regionalen Geltungsbereich Ihrer Daten übereinstimmt.

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den Cloud Logging API-Methode updateSettings.

Schlüsselaktivierung prüfen

Führen Sie folgenden Befehl aus, um zu prüfen, ob CMEK für eine Organisation oder einen Ordner erfolgreich aktiviert wurde:

gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Wenn der vorherige Befehl den Namen des Cloud KMS-Schlüssels zurückgibt und das Feld kmsKeyName ausgefüllt ist, ist CMEK für die Organisation oder den Ordner aktiviert:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

Logs an unterstützte Ziele weiterleiten

• Cloud Logging-Log-Buckets können so konfiguriert werden, dass Daten mit CMEK verschlüsselt werden. Wenn Sie CMEK als Standardeinstellung für eine Organisation oder einen Ordner konfigurieren, werden neue Log-Buckets in der Organisation oder im Ordner automatisch mit CMEK verschlüsselt. Sie können den Schlüssel dieser Log-Buckets ändern und Log-Buckets erstellen, für die ein anderer KMS-Schlüssel als der in den Standardeinstellungen angegebene verwendet wird.

  Informationen zum CMEK, der auf Log-Buckets angewendet wird, einschließlich der Anleitung zum Ändern von CMEK. Schlüssel und Einschränkungen beim Aktivieren von CMEK für einen Log-Bucket finden Sie unter CMEK für Log-Buckets konfigurieren

• Cloud Storage unterstützt CMEK für die Weiterleitung von Logs. Eine Anleitung dazu, wie Sie Informationen zum Konfigurieren eines CMEK für Cloud Storage finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden

  Wenn Daten aufgrund der Nichtverfügbarkeit von Schlüsseln verloren gehen, wenn Logdaten weitergeleitet werden an Cloud Storage hinzufügen, können Sie rückwirkend mehrere Logs gleichzeitig Cloud Storage, wenn diese Logs auch in einem Log-Bucket gespeichert sind. Weitere Informationen finden Sie unter Logeinträge kopieren.

• BigQuery verschlüsselt inaktive Kundeninhalte standardmäßig. Weitere Informationen finden Sie unter Daten mit Cloud Key Management Service-Schlüsseln schützen.

• Pub/Sub verschlüsselt standardmäßig inaktive Kundendaten. Weitere Informationen finden Sie unter Nachrichtenverschlüsselung konfigurieren.

Cloud KMS-Schlüssel verwalten

In folgenden Abschnitten wird erläutert, wie Sie Ihren Cloud KMS-Schlüssel ändern, den Zugriff auf ihn widerrufen oder ihn deaktivieren können.

Cloud KMS-Schlüssel ändern

Wenn Sie den mit einer Organisation oder einem Ordner verknüpften Cloud KMS-Schlüssel ändern möchten, erstellen Sie einen Schlüssel und führen Sie dann den Befehl gcloud logging settings update aus. Geben Sie dabei Informationen zum neuen Cloud KMS-Schlüssel an:

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

--storage-location = NEW_KMS_KEY_LOCATION

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

--storage-location = NEW_KMS_KEY_LOCATION

Zugriff auf Cloud KMS-Schlüssel widerrufen

Sie können den Zugriff von Logging auf den Cloud KMS-Schlüssel widerrufen. indem Sie die IAM-Berechtigung für diesen Schlüssel.

Wenn Sie Logging den Zugriff auf einen Schlüssel entziehen, kann es bis zu bis die Änderung wirksam wird.

Führen Sie den folgenden Google Cloud CLI-Befehl aus, um den Zugriff von Logging auf den Cloud KMS-Schlüssel zu widerrufen:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

• KMS_PROJECT_ID: die eindeutige alphanumerische Kennung, die aus dem Namen Ihres Google Cloud-Projekts und einer zufällig zugewiesene Nummer des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird. Informationen zum Abrufen dieser ID finden Sie unter Projekte identifizieren.
• KMS_SERVICE_ACCT_NAME: Der Name des das im kmsServiceAccountId-Feld der Antwort von gcloud logging settings describe .
• KMS_KEY_LOCATION: Region des Cloud KMS-Schlüssels.
• KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
• KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Sie hat folgendes Format: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

CMEK deaktivieren

Wenn Sie CMEK für eine Organisation oder einen Ordner deaktivieren, wird die Erzwingung der CMEK-Richtlinie nur für zukünftige Vorgänge entfernt. Alle zuvor angewendeten Konfigurationen bleiben intakt.

So deaktivieren Sie CMEK für eine Ressource, für die CMEK als konfiguriert ist: Standardressourceneinstellung verwenden, führen Sie den folgenden Google Cloud CLI-Befehl aus:

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

Informationen zum Löschen eines Schlüssels finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Überlegungen zur Cloud KMS-Schlüsselrotation

Cloud Logging rotiert die Verschlüsselung nicht automatisch Schlüssel für temporäre Dateien zur Notfallwiederherstellung, wenn der Cloud KMS-Schlüssel rotiert, die mit der Google Cloud-Organisation oder dem Google Cloud-Ordner verknüpft sind. Bereits vorhandene Wiederherstellungsdateien verwenden weiterhin die Schlüsselversion, mit der sie erstellt wurden. Neue Wiederherstellungsdateien verwenden die aktuelle Primärschlüsselversion.

Beschränkungen

Folgende Einschränkungen sind bekannt, wenn Sie CMEK als Standard-Ressourceneinstellung für Logging konfigurieren.

Nichtverfügbarkeit der Datei zur Notfallwiederherstellung

Ein Cloud KMS-Schlüssel gilt als verfügbar und zugänglich Logging, wenn die beiden folgenden Bedingungen zutreffen:

• Der Schlüssel ist aktiviert.
• Das Dienstkonto, das im Feld kmsServiceAccountId der Antwort des Befehls gcloud logging settings describe aufgeführt ist, hat Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.

Wenn Logging keinen Zugriff mehr auf den Cloud KMS-Schlüssel hat, kann Logging keine temporären Dateien zur Notfallwiederherstellung schreiben. Für Nutzer funktionieren Abfragen dann nicht mehr. Die Abfrageleistung kann auch nach Wiederherstellung des Schlüsselzugriffs beeinträchtigt bleiben.

Das Routing von Logs an Cloud Storage kann ebenfalls betroffen sein, Logging kann keine temporären Dateien schreiben, die für den einfacheren Zugriff erforderlich sind. die Routenplanung. Wenn beim Verschlüsseln oder Entschlüsseln von Daten ein Fehler auftritt, wird eine Benachrichtigung an das Google Cloud-Projekt gesendet, das den Cloud KMS-Schlüssel enthält.

Verfügbarkeit der Clientbibliothek

Logging-Clientbibliotheken bieten keine Methoden zum Konfigurieren von CMEK.

Beeinträchtigung aufgrund der Nichtverfügbarkeit von Cloud EKM-Schlüsseln

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.

Wenn CMEK als Standardressourceneinstellung für eine Organisation oder einen Ordner konfiguriert ist und ein extern verwalteter Schlüssel nicht verfügbar ist, versucht Cloud Logging kontinuierlich, auf den Schlüssel zuzugreifen. Außerdem werden die eingehenden Logdaten bis zu einer Stunde lang in Cloud Logging zwischengespeichert. Kann Cloud Logging nach einer Stunde immer noch nicht auf den extern verwalteten Schlüssel zugreifen, beginnt Cloud Logging mit dem Löschen der Daten.

Wenn CMEK auf einen Log-Bucket angewendet wird und kein extern verwalteter Schlüssel verfügbar ist, werden in Cloud Logging weiterhin Logs in Log-Buckets gespeichert, Nutzer können jedoch nicht auf diese Daten zugreifen.

Weitere Informationen und mögliche Alternativen bei der Verwendung externer Schlüssel finden Sie in der Dokumentation zum Cloud External Key Manager.

Einschränkungen für Log-Buckets

Informationen zu den Einschränkungen bei der Verwendung von CMEK mit Protokoll-Buckets finden Sie unter Einschränkungen.

Kontingente

Ausführliche Informationen zu den Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung bei CMEK-Konfigurationsfehlern finden Sie unter Fehlerbehebung bei CMEK- und Standardeinstellungsfehlern.