Vom Kunden verwaltete Verschlüsselungsschlüssel für Log Router aktivieren

Auf dieser Seite wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys – CMEK) in Cloud Logging für Log Router verwenden können, um Compliance-Anforderungen zu erfüllen.

CMEK für Log Router

Standardmäßig werden alle inaktiven Daten, einschließlich der Daten in Logging, in Google Cloud durch die von Google verwaltete Standardverschlüsselung geschützt. Diese Standardverschlüsselung wird von Google Cloud durchgeführt und verwaltet. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich.

Wenn Sie bestimmte Compliance- oder behördlichen Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Log Router-Daten haben, können Sie CMEK verwenden. Anstatt die Verschlüsselungsschlüssel zum Schutz Ihrer Daten von Google verwalten zu lassen, werden Ihre Log Router-Daten mit einem Schlüssel geschützt, den Sie im Cloud Key Management Service (KMS) steuern und verwalten. Dies kann ein symmetrischer Schlüssel, ein Cloud HSM-Schlüssel oder ein Cloud External Key Manager-Schlüssel sein.

Derzeit ist es nicht möglich, CMEK für Logs zu verwenden, die in Cloud Logging gespeichert sind. Sie können jedoch mit CMEK sowohl die von Log Router verwendeten temporären Wiederherstellungsdateien als auch die verwendeten temporären Dateien schützen.{101 }beim Routing von Logs an Cloud Storage.

Sie können mit CMEK die folgenden Anforderungen für Ihre Google Cloud-Organisation erfüllen:

  • Compliance und interne Kontrolle: Mit CMEK können Sie sensible oder regulierte Daten verwalten, die Sie in Google Cloud-Produkten speichern. Diese Kontrolle ist häufig ein dokumentierter Bestandteil interner Compliance-Verfahren. könnte das den Aufsichtsbehörden offengelegt werden und schwer zu ändern sein.

  • Erweiterte Verschlüsselung: Ihre Organisation hat möglicherweise erweiterte Verschlüsselungsanforderungen (z. B. schnelles Löschen von Schlüsseln), die unsere Standardverschlüsselung inaktiver Daten nicht bietet. Durch die Einbindung in Cloud KMS können Sie diese Anforderungen durch CMEK erfüllen.

  • Gesetzliche Vorschriften: Möglicherweise ist Ihre Organisation aufgrund gesetzlicher Vorschriften, wie zum Beispiel der Export Administration Regulations (EAR), zur Kontrolle sensibler Daten verpflichtet.

Erste Schritte

  1. Erstellen oder identifizieren Sie das Google Cloud-Projekt, in dem Sie Cloud KMS ausführen möchten.

    Achten Sie darauf, dass die Richtlinien der Identitäts- und Zugriffsverwaltung der Google Cloud-Organisation Ihnen eine IAM-Rolle mit den Berechtigungen logging.cmekSettings.{get,update} gewähren. Es wird empfohlen, die Rolle Autor von Logkonfigurationen zu verwenden, die die erforderlichen Berechtigungen enthält.

  2. Aktivieren Sie die Cloud KMS API für das Cloud-Projekt, in dem Cloud KMS ausgeführt wird.

  3. Erstellen Sie einen Schlüsselbund und Schlüssel für das Cloud-Projekt, in dem Cloud KMS ausgeführt wird.

    Der regionale Geltungsbereich der Schlüssel sollte dem regionalen Geltungsbereich Ihrer Daten entsprechen. Unter Cloud KMS-Standorte sind die verfügbaren Regionen aufgeführt.

  4. Identifizieren Sie die nachstehend genannten, erforderlichen Parameter. In den Beispielen auf dieser Seite wird die folgende Konvention verwendet, um Google Cloud-Ressourcenmetadaten anzugeben:

    • ORGANIZATION_ID ist die eindeutige numerische ID der Google Cloud-Organisation, für die CMEK aktiviert werden soll.
    • KMS_PROJECT_ID ist die eindeutige alphanumerische Kennung aus dem Cloud-Projektnamen und einer zufällig zugewiesenen Nummer des Cloud-Projekts, auf dem Cloud KMS ausgeführt wird
    • KMS_KEY_NAME ist der Ressourcenname des Cloud KMS-Schlüssels Dieser hat das folgende Format: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEYRING/cryptoKeys/KEY

    Informationen zum Identifizieren dieser Parameter finden Sie unter Projekte identifizieren und Organisations-ID abrufen.

CMEK für eine Organisation aktivieren

Nachdem Sie den Abschnitt Erste Schritte abgeschlossen haben, können Sie CMEK für Ihre Google Cloud-Organisation so aktivieren:

Berechtigungen zum Verschlüsseln und Entschlüsseln erteilen

Legen Sie die entsprechende Dienstkonto-ID fest und erteilen Sie dem Dienstkonto die Berechtigung, Ihren Cloud KMS-Schlüssel zu nutzen.

Dienstkonto-ID ermitteln

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.

  2. Senden Sie eine GET-Anfrage zum Abruf der serviceAccountId der Google Cloud-Organisation, für die CMEK aktiviert werden soll:

     curl -H "Authorization: Bearer AUTH_TOKEN" \
        https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/cmekSettings
    
    {
        "serviceAccountId": "SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com"
    }
    

gcloud

Führen Sie zum Abruf der serviceAccountId der Google Cloud-Organisation, für die CMEK aktiviert werden soll, folgenden gcloud-Befehl aus:

gcloud logging cmek-settings describe --organization=ORGANIZATION_ID

serviceAccountId: "SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com"

Verschlüsseler-/Entschlüsselerrolle zuweisen

Damit CMEK genutzt werden kann, müssen Sie dem Dienstkonto die Berechtigung geben, Cloud KMS zu verwenden. Weisen Sie dem Dienstkonto hierfür die Rolle Cloud KMS CryptoKey Encrypter/Decrypter zu:

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.
  2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:

    {
      "policy": {
        "bindings": {
          "role": "roles/cloudkms.cryptoKeyEncrypterDecrypter",
          "members": "serviceAccount:SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com"
        },
      }
    }
  3. Verwenden Sie cURL, um die Cloud KMS API mit einer POST setIamPolicy-Anfrage aufzurufen:

    curl -X POST --data-binary @JSON_FILE_NAME.json \
    -H "Authorization: Bearer OAUTH2_TOKEN" \
    -H "Content-Type: application/json" \
    "https://cloudkms.googleapis.com/v1/KEY_RESOURCE:setIamPolicy"

gcloud

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY

Ersetzen Sie KMS_PROJECT_ID durch die ID Ihres Cloud-Projekts, in dem Cloud KMS ausgeführt wird. Ersetzen Sie außerdem KMS_KEY_LOCATION, KMS_KEY_RING, KMS_KEY_RING und KMS_KEY durch den Standort, Schlüsselbund und Schlüsselnamen Ihres Cloud KMS-Schlüssels.

Console

  1. Öffnen Sie in der Google Cloud Console den Browser für Cloud Key Management Service-Schlüssel.
    Zum Browser für Cloud KMS-Schlüssel
  2. Klicken Sie auf den Namen des Schlüsselbunds, der den gewünschten Schlüssel enthält.

  3. Klicken Sie das Kästchen für den gewünschten Schlüssel an.

    Der Tab Berechtigungen wird verfügbar.

  4. Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse des Logging-Dienstkontos an, auf das Sie Zugriff gewähren.

  5. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.

  6. Klicken Sie auf Hinzufügen.

Cloud KMS-Schlüssel konfigurieren

Aktualisieren Sie die CMEK-Einstellungen für die Google Cloud-Organisation mit einem Cloud KMS-Schlüsselnamen, um das Feature für Ihre Organisation zu aktivieren.

Diese Aktualisierung schlägt fehl, wenn KMS_KEY_NAME ungültig ist, das zugehörige Dienstkonto nicht die erforderliche Rolle als Verschlüsseler/Entschlüsseler hat oder der Zugriff auf den Schlüssel deaktiviert ist.

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.

  2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:

    {
        "kms_key_name": "KMS_KEY_NAME"
    }
    
  3. Senden Sie eine PATCH-Anfrage für die Aktualisierung von kms_key_name zur Verknüpfung mit der Google Cloud-Organisation, für die Sie CMEK aktivieren möchten:

    curl -X PATCH \
        -H "Authorization: Bearer AUTH_TOKEN \
        -H "Content-Type: application/json" \
        --data-binary @JSON_FILE_NAME
        https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/cmekSettings?update_mask="kms_key_name"
    

gcloud

Führen Sie den folgenden gcloud-Befehl aus:

gcloud logging cmek-settings update \
    --organization=ORGANIZATION_ID --kms-key-name=KMS_KEY_NAME

Schlüsselaktivierung prüfen

Aktualisieren Sie die CMEK-Einstellungen für die Google Cloud-Organisation mit einem Cloud KMS-Schlüsselnamen, um zu prüfen, ob CMEK für Ihre Organisation aktiviert ist.

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.

  2. Senden Sie eine GET-Anfrage, um die CMEK-Einstellungen der Google Cloud-Organisation abzurufen, für die Sie die Schlüsselaktivierung prüfen möchten. Wenn kms_key_name ausgefüllt ist, ist CMEK für Ihre Organisation aktiviert:

     curl -H "Authorization: Bearer AUTH_TOKEN" \
        https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/cmekSettings
    
    {
        "kmsKeyName": "KMS_KEY_NAME",
        "serviceAccountId": "SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com"
    }
    

gcloud

Führen Sie den folgenden gcloud-Befehl aus, um die CMEK-Einstellungen der Google Cloud-Organisation abzurufen, für die Sie die Schlüsselaktivierung prüfen möchten. Wenn kmsKeyName ausgefüllt ist, ist CMEK für Ihre Organisation aktiviert:

gcloud logging cmek-settings describe --organization=ORGANIZATION_ID

kmsKeyName: KMS_KEY_NAME
serviceAccountId: SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com

Cloud KMS-Schlüssel verwalten

Im Folgenden wird erläutert, wie Sie Ihren Cloud KMS-Schlüssel ändern, den Zugriff widerrufen oder ihn löschen können.

Cloud KMS-Schlüssel ändern

Wenn Sie den mit Ihrer Organisation verknüpften Cloud KMS-Schlüssel ändern möchten, erstellen Sie einen Schlüssel und aktualisieren Sie die CMEK-Einstellungen für die Organisation mit dem neuen Cloud KMS-Schlüsselnamen.

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.

  2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:

    {
        "kms_key_name": "NEW_KMS_KEY_NAME"
    }
    
  3. Senden Sie eine PATCH-Anfrage zur Aktualisierung von kms_key_name:

    curl -X PATCH \
        -H "Authorization: Bearer AUTH_TOKEN \
        -H "Content-Type: application/json" \
        --data-binary @JSON_FILE_NAME
        https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/cmekSettings?update_mask="kms_key_name"
    

gcloud

Führen Sie den folgenden gcloud-Befehl aus:

gcloud logging cmek-settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME

Diese Aktualisierung schlägt fehl, wenn KMS_KEY_NAME ungültig ist, das zugehörige Dienstkonto nicht die erforderliche Rolle als Verschlüsseler/Entschlüsseler hat oder der Zugriff auf den Schlüssel deaktiviert ist.

Zugriff auf Cloud KMS-Schlüssel widerrufen

Um den Zugriff von Logging auf den Cloud KMS-Schlüssel zu widerrufen entziehen Sie die IAM-Berechtigung für diesen Schlüssel.

Wenn Sie Logging den Zugriff auf einen Schlüssel entziehen, kann es bis zu einer Stunde dauern, bis die Änderung wirksam wird.

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.

  2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:

    revoke.json:
    {
      "policy": {
        "bindings": {
          "role": "roles/cloudkms.cryptoKeyEncrypterDecrypter",
          "members":
        },
      }
    }
    
  3. Senden Sie eine POST-Anfrage:

    curl -X POST --data-binary @revoke.json -H "Authorization: Bearer
    ${OAUTH_TOKEN}" -H "Content-Type: application/json"
    "https://cloudkms.googleapis.com/v1/{$KEY}:setIamPolicy"
    

gcloud

Führen Sie den folgenden gcloud-Befehl aus:

gcloud kms keys remove-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY

CMEK für die Organisation deaktivieren

API

  1. Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden.

  2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:

    {
        "kms_key_name": ""
    }
    
  3. Senden Sie eine PATCH-Anfrage zur Aktualisierung von kms_key_name:

    curl -X PATCH \
        -H "Authorization: Bearer AUTH_TOKEN \
        -H "Content-Type: application/json" \
        --data-binary @JSON_FILE_NAME
        https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/cmekSettings?update_mask="kms_key_name"
    

gcloud

Führen Sie den folgenden gcloud-Befehl aus, um die serviceAccountId der Organisation, für die Sie CMEK deaktivieren möchten, zu aktualisieren:

gcloud logging cmek-settings update --organization=ORGANIZATION_ID --clear-kms-key

Diese Aktualisierung schlägt fehl, wenn KMS_KEY_NAME ungültig ist, das zugehörige Dienstkonto nicht die erforderliche Rolle als Verschlüsseler/Entschlüsseler hat oder der Zugriff auf den Schlüssel deaktiviert ist.

Eine Anleitung zum Löschen eines Schlüssels finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Auswirkung der Cloud KMS-Schlüsselrotation

Wenn der mit der Google Cloud-Organisation verknüpfte Cloud KMS-Schlüssel rotiert wird, rotiert Log Router den Verschlüsselungsschlüssel für temporäre Wiederherstellungsdateien nicht automatisch mit. Bereits vorhandene Wiederherstellungsdateien verwenden weiterhin die Schlüsselversion, mit der sie erstellt wurden. Neue Wiederherstellungsdateien verwenden die aktuelle Primärschlüsselversion.

Logs an unterstützte Ziele weiterleiten

Wenn Sie Logs mithilfe von Logsenken an ein unterstütztes Ziel weiterleiten, sollten Sie Folgendes berücksichtigen:

Überlegungen zu externen Schlüsseln

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.

Wenn kein extern verwalteter Schlüssel verfügbar ist, versucht Cloud Logging weiterhin, auf den Schlüssel zuzugreifen und die eingehenden Logdaten bis zu eine Stunde lang zwischenzuspeichern.

Wenn Cloud Logging nach einer Stunde immer noch nicht auf den extern verwalteten Schlüssel zugreifen kann, beginnt Cloud Logging mit dem Löschen der Daten.

Weitere Überlegungen und mögliche Alternativen bei der Verwendung externer Schlüssel finden Sie in der Dokumentation zu Cloud External Key Manager.

Beschränkungen

Folgende Einschränkungen des CMEK für Log Router sind bekannt.

Nur Konfiguration auf Organisationsebene

CMEK für Log Router kann derzeit nur für Google Cloud-Organisationen konfiguriert werden. Nach der Konfiguration gilt es für alle Cloud-Projekte und -Ordner in der Google Cloud-Organisation.

CMEK für Cloud Logging-Speicher wird nicht unterstützt

Für Logs, die in Cloud Logging gespeichert sind, wird CMEK nicht unterstützt. Sie können mit CMEK die von Log Router verwendeten temporären Dateien zur Notfallwiederherstellung sowie die temporären Dateien schützen, die beim Weiterleiten von Logs an Cloud Storage verwendet werden.

Sie können Logeinträge ausschließen, um zu verhindern, dass sie in den Cloud Logging-Speicher geschrieben werden. Eine Anleitung dazu finden Sie unter Ausschlussabfragen verwenden.

Nichtverfügbarkeit der Datei zur Notfallwiederherstellung

Wenn Logging keinen Zugriff mehr auf den Cloud KMS-Schlüssel hat, können Datenverluste auftreten und der Nutzerkomfort erheblich beeinträchtigt werden. Auf die Daten in diesen mit CMEK geschützten, temporären Wiederherstellungsdateien und temporären Dateien für das Routing von Logs an Cloud Storage kann dann nicht mehr zugegriffen werden.

Ein Cloud KMS-Schlüssel gilt unter folgenden Voraussetzungen als verfügbar und über Logging zugänglich:

  • Der Schlüssel ist aktiviert.
  • Das Logging-Dienstkonto hat Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.

Wenn der Cloud KMS-Schlüssel nicht mehr verfügbar ist, kann Log Router keine temporären Wiederherstellungsdateien schreiben. Für Daten, die während dieser Zeit verarbeitet werden, stehen keine Dateien zur Notfallwiederherstellung zur Verfügung.

Das Routing von Logs an Cloud Storage kann ebenfalls beeinträchtigt werden, da Log Router keine temporären Dateien schreiben kann, die für das Routing erforderlich sind. Wenn beim Verschlüsseln oder Entschlüsseln von Daten ein Fehler auftritt, wird eine Benachrichtigung an das Cloud-Projekt gesendet, das den Cloud KMS-Schlüssel enthält.

Verfügbarkeit der Clientbibliothek

Logging-Clientbibliotheken unterstützen keine Befehle zum Konfigurieren von CMEK.

Kontingente

Ausführliche Informationen zu Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Preise

Einzelheiten zu den möglicherweise anfallenden Kosten finden Sie unter Cloud Logging-Preise.

Konfigurationsfehler beheben

In den folgenden Abschnitten wird beschrieben, wie häufige CMEK-Konfigurationsfehler identifiziert und behoben werden können.

Konfigurationsfehler identifizieren

So können Sie CMEK-Konfigurationsfehler finden und anzeigen lassen:

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Wählen Sie das Cloud-Projekt aus, das den Verschlüsselungsschlüssel enthält.

    Sie können die Projekt-ID ermitteln, indem Sie den folgenden gcloud-Befehl ausführen:

    gcloud logging cmek-settings describe --organization=ORGANIZATION_ID
    
    kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEYRING/cryptoKeys/KEY
    serviceAccountId: SERVICE_ACCOUNT_ID@gcp-sa-logging.iam.gserviceaccount.com
    

    Der vollständige Name des Cloud KMS-Schlüssels in der Ausgabe des Befehls enthält im Feld kmsKeyName die Projekt-ID.

  3. Wählen Sie in der Cloud Console den Tab Aktivität aus.

  4. Suchen Sie nach Cloud Logging-Benachrichtigungen zu Stackdriver Logging-CMEK-Konfigurationsfehlern für das ausgewählte Cloud-Projekt.

In jeder Fehlerbenachrichtigung finden Sie Hinweise zur Behebung des Problems:

Fehler Empfehlung
Berechtigung für kryptografischen Schlüssel verweigert Das mit Ihrem Cloud-Projekt verknüpfte Logging-Dienstkonto hat keine ausreichenden IAM-Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung, die in der Fehlermeldung oder in dieser Dokumentation beschrieben ist, um die entsprechende IAM-Berechtigung zu erteilen.
Kryptografischer Schlüssel ist deaktiviert Der angegebene Cloud KMS-Schlüssel wurde deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren.
Kryptografischer Schlüssel wurde gelöscht Der angegebene Cloud KMS-Schlüssel wurde gelöscht. Folgen Sie der Anleitung in der Fehlermeldung oder in dieser Dokumentation, um die CMEK-Verschlüsselung mit einem anderen Schlüssel zu konfigurieren.

Folgen Sie den Hinweisen in der Fehlerbenachrichtigung, um das Problem zu beheben.

Schlüssel auf Nutzbarkeit prüfen

Führen Sie den folgenden gcloud-Befehl aus, um alle Schlüssel aufzulisten und den Schlüssel auf Nutzbarkeit zu prüfen:

    gcloud kms keys list 
--location=KMS_KEY_LOCATION
--keyring=KMS_KEY_RING

NAME    PURPOSE   ALGORITHM   PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
<var>KMS_KEY_NAME</var>  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE  1  ENABLED

Prüfen Sie, ob in der Befehlsausgabe Cloud KMS CryptoKey als aktiviert aufgeführt und dass als Schlüsselzweck symmetrische Verschlüsselung angegeben ist: Die Spalte PURPOSE muss ENCRYPT_DECRYPT enthalten und die Spalte PRIMARY_STATE muss ENABLED enthalten.

Erstellen Sie bei Bedarf einen neuen Schlüssel nach der Anleitung in den vorstehenden Abschnitten.

Berechtigungskonfiguration prüfen

Dienstkonten, die mit den CMEK-Einstellungen der Organisation verknüpft sind, müssen die IAM-Rolle Cloud KMS CryptoKey Encrypter/Decrypter für den konfigurierten Schlüssel haben.

Führen Sie folgenden gcloud-Befehl aus, um die IAM-Richtlinie des Schlüssels aufzulisten:

    gcloud kms keys get-iam-policy KMS_KEY_NAME
   

Fügen Sie dem Schlüssel bei Bedarf das Dienstkonto hinzu, das die IAM-Rolle Cloud KMS CryptoKey Encrypter/Decrypter enthält.