CMEK für Looker (Google Cloud Core) aktivieren

Standardmäßig verschlüsselt Google Cloud Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für die Anwendungsebene von Looker (Google Cloud Core) vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie in der Dokumentation zum Cloud Key Management Service.

Auf dieser Seite erfahren Sie, wie Sie eine Looker-Instanz (Google Cloud Core) für die Verwendung von CMEK konfigurieren.

Wie interagiert Looker (Google Cloud Core) mit CMEK?

In Looker (Google Cloud Core) wird ein einzelner CMEK-Schlüssel (über eine Hierarchie von sekundären Schlüsseln) verwendet, um die sensiblen Daten zu schützen, die von der Looker-Instanz (Google Cloud Core) verwaltet werden. Beim Starten sendet jeder Prozess innerhalb der Looker-Instanz einen ersten Aufruf an den Cloud Key Management Service (KMS), um den Schlüssel zu entschlüsseln. Während des normalen Betriebs (nach dem Start) ruft die gesamte Looker-Instanz etwa alle fünf Minuten KMS auf, um zu prüfen, ob der Schlüssel noch gültig ist.

Welche Arten von Looker (Google Cloud Core)-Instanzen unterstützen CMEK?

Looker (Google Cloud Core)-Instanzen unterstützen CMEK, wenn zwei Kriterien erfüllt sind:

  • Die auf dieser Seite beschriebenen CMEK-Konfigurationsschritte werden vor dem Erstellen der Looker (Google Cloud Core)-Instanz ausgeführt. Sie können keine vom Kunden verwalteten Verschlüsselungsschlüssel auf vorhandenen Instanzen aktivieren.
  • Die Instanzversionen müssen Enterprise oder Embed sein.

Workflow zum Erstellen einer Looker-Instanz (Google Cloud Core) mit CMEK

Auf dieser Seite erfahren Sie, wie Sie CMEK für eine Looker-Instanz (Google Cloud Core) einrichten.

  1. Richten Sie die Umgebung ein.
  2. Nur Google Cloud CLI-, Terraform- und API-Nutzer: Erstellen Sie ein Dienstkonto für jedes Projekt, für das vom Kunden verwaltete Verschlüsselungsschlüssel erforderlich sind, sofern für das Projekt noch kein Looker-Dienstkonto eingerichtet wurde.
  3. Erstellen Sie einen Schlüsselbund und Schlüssel und legen Sie den Speicherort für den Schlüssel fest. „location“ ist die Google Cloud-Region, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten.
  4. Nur Google Cloud CLI-, Terraform- und API-Nutzer:Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
  5. Nur Google Cloud CLI-, Terraform- und API-Nutzer: Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel.
  6. Rufen Sie Ihr Projekt auf und erstellen Sie eine Looker (Google Cloud Core)-Instanz mit den folgenden Optionen:
    1. Wählen Sie denselben Speicherort aus wie für den vom Kunden verwalteten Verschlüsselungsschlüssel.
    2. Legen Sie als Version Enterprise oder Embed fest.
    3. Aktivieren Sie die Konfiguration für vom Kunden verwaltete Schlüssel.
    4. Fügen Sie den vom Kunden verwalteten Verschlüsselungsschlüssel entweder per Name oder per ID hinzu.

Sobald Sie alle diese Schritte ausgeführt haben, wird CMEK für Ihre Looker (Google Cloud Core)-Instanz aktiviert.

Hinweis

Achten Sie darauf, dass Ihre Umgebung so konfiguriert ist, dass Sie der Anleitung auf dieser Seite folgen können. Führen Sie die Schritte in diesem Abschnitt aus, um sicherzustellen, dass die Einrichtung korrekt ist.

  1. Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Google Cloud Projekt aus oder erstellen Sie eines. Hinweis:Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen. Dadurch werden auch die mit dem Projekt verknüpften Ressourcen entfernt.

    Zur Projektauswahl

  2. Die Abrechnung für Ihr Projekt muss aktiviert sein. Google Cloud So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist
  3. Installieren Sie die Google Cloud CLI.

  4. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  5. Aktivieren Sie die Cloud Key Management Service API.

    API aktivieren

  6. Aktivieren Sie die Looker (Google Cloud Core) API.

    API aktivieren

Erforderliche Rollen

Informationen zu den erforderlichen Rollen für die Einrichtung von CMEK finden Sie auf der Seite Zugriffssteuerung mit IAM in der Dokumentation zum Cloud Key Management Service.

Wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen möchten, benötigen Sie die IAM-Rolle Looker Admin für das Projekt, in dem die Looker (Google Cloud Core)-Instanz erstellt wird. Wenn Sie CMEK für die Instanz in der Google Cloud Console aktivieren möchten, müssen Sie die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den verwendeten Schlüssel haben.

Wenn Sie dem Looker-Dienstkonto Zugriff auf einen Cloud KMS-Schlüssel gewähren möchten, benötigen Sie die IAM-Rolle Cloud KMS-Administrator für den verwendeten Schlüssel.

Dienstkonto erstellen

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Erstellen Ihrer Looker-Instanz (Google Cloud Core) verwenden und für das Google Cloud Projekt, in dem sie sich befinden soll, noch kein Looker-Dienstkonto erstellt wurde, müssen Sie ein Dienstkonto für dieses Projekt erstellen. Wenn Sie im Projekt mehrere Looker-Instanzen (Google Cloud Core) erstellen, gilt dasselbe Dienstkonto für alle Looker-Instanzen (Google Cloud Core) in diesem Projekt. Das Dienstkonto muss also nur einmal erstellt werden. Wenn Sie die Console zum Erstellen einer Instanz verwenden, erstellt Looker (Google Cloud Core) automatisch das Dienstkonto und gewährt ihm Zugriff auf den CMEK-Schlüssel, wenn Sie die Option Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden konfigurieren.

Gewähren Sie eine der folgenden Rollen, um zuzulassen, dass ein Nutzer Dienstkonten verwalten kann:

  • Dienstkontonutzer (roles/iam.serviceAccountUser): Umfasst Berechtigungen zum Auflisten von Dienstkonten, Abrufen von Details zu einem Dienstkonto und zum Übernehmen der Identität eines Dienstkontos.
  • Dienstkontoadministrator (roles/iam.serviceAccountAdmin): Umfasst Berechtigungen zum Auflisten von Dienstkonten und zum Abrufen von Details zu einem Dienstkonto. Umfasst außerdem Berechtigungen zum Erstellen, Aktualisieren und Löschen von Dienstkonten.

Derzeit können Sie mit den Google Cloud CLI-Befehlen nur die Art von Dienstkonto erstellen, die Sie für vom Kunden verwaltete Verschlüsselungsschlüssel benötigen. Wenn Sie die Google Cloud Console verwenden, wird dieses Dienstkonto automatisch von Looker (Google Cloud Core) erstellt.

gcloud

Führen Sie den folgenden Befehl aus, um das Dienstkonto zu erstellen:

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch das Projekt, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

Mit diesem Befehl wird das Dienstkonto erstellt und der Name des Dienstkontos zurückgegeben. Sie verwenden diesen Dienstkontonamen, während Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Warten Sie nach dem Erstellen des Dienstkontos einige Minuten, bis es übernommen wurde.

Schlüsselbund und Schlüssel erstellen

Sie können den Schlüssel im selben Google Cloud Projekt wie die Looker (Google Cloud Core)-Instanz oder in einem separaten Nutzerprojekt erstellen. Der Speicherort des Cloud KMS-Schlüsselbunds muss mit der Region übereinstimmen, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten. Ein Schlüssel für mehrere Regionen oder für eine globale Region funktioniert nicht. Die Erstellungsanfrage der Looker-Instanz (Google Cloud Core) schlägt fehl, wenn die Regionen nicht übereinstimmen.

Folgen Sie der Anleitung auf den Dokumentationsseiten Schlüsselbund erstellen und Schlüssel erstellen, um einen Schlüsselbund und einen Schlüssel zu erstellen, die die folgenden beiden Kriterien erfüllen:

  • Das Feld Schlüsselbundspeicherort muss mit der Region übereinstimmen, die Sie für die Looker (Google Cloud Core)-Instanz festlegen.
  • Das Feld Zweck des Schlüssels muss Symmetrische Verschlüsselung/Entschlüsselung lauten.

Im Abschnitt Schlüssel rotieren erfahren Sie, wie Sie den Schlüssel rotieren und neue Schlüsselversionen erstellen.

Kopieren oder notieren Sie sich die KMS_KEY_ID und die KMS_KEYRING_ID.

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Einrichten Ihrer Looker-Instanz (Google Cloud Core) verwenden, folgen Sie der Anleitung auf der Dokumentationsseite Cloud KMS-Ressourcen-ID abrufen, um die Ressourcen-IDs für den Schlüsselbund und den Schlüssel zu ermitteln, die Sie gerade erstellt haben. Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel

Führen Sie diese Schritte nur aus, wenn beide der folgenden Bedingungen erfüllt sind:

  • Sie verwenden die Google Cloud CLI, Terraform oder die API.
  • Dem Dienstkonto wurde noch kein Zugriff auf den Schlüssel gewährt. Wenn sich beispielsweise bereits eine Looker (Google Cloud Core)-Instanz im selben Projekt befindet, die denselben Schlüssel verwendet, müssen Sie keinen Zugriff gewähren. Wenn der Zugriff auf den Schlüssel bereits von einer anderen Person gewährt wurde, müssen Sie den Zugriff nicht gewähren.

Sie benötigen die IAM-Rolle Cloud KMS Admin für den verwendeten Schlüssel, um dem Dienstkonto Zugriff zu gewähren.

So gewähren Sie dem Dienstkonto Zugriff:

gcloud 

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ersetzen Sie Folgendes:

  • KMS_KEY_ID: die ID des KMS-Schlüssels
  • REGION: die Region, in der Looker (Google Cloud Core) erstellt wird, und der Speicherort des Schlüsselbunds
  • KMS_KEYRING_ID: die ID des KMS-Schlüsselbunds
  • SERVICE_ACCOUNT_NAME: Der Name des Dienstkontos, der zurückgegeben wurde, als Sie das Dienstkonto erstellt haben

Nachdem Sie dem Dienstkonto die IAM-Rolle zugewiesen haben, warten Sie einige Minuten, bis die Berechtigung übernommen wurde.

Looker (Google Cloud Core)-Instanz mit CMEK erstellen

Wenn Sie in der Google Cloud Console eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln erstellen möchten, folgen Sie zuerst den Schritten im Abschnitt Schlüsselbund und Schlüssel erstellen, um einen Schlüsselbund und einen Schlüssel in derselben Region zu erstellen, die Sie für Ihre Looker (Google Cloud Core)-Instanz verwenden. Folgen Sie dann der Anleitung zum Erstellen einer Looker (Google Cloud Core)-Instanz mit den folgenden Einstellungen.

Wählen Sie eine der folgenden Optionen aus, um eine Looker (Google Cloud Core)-Instanz mit CMEK-Einstellungen zu erstellen:

Console

  1. Sie benötigen die IAM-Rolle Cloud KMS CryptoKey Encrypter/Decrypter für den verwendeten Schlüssel für CMEK.
  2. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Version die Version Enterprise oder Embed aus, um CMEK zu verwenden.
  3. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Verschlüsselung das Optionsfeld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Daraufhin wird das Drop-down-Feld Vom Kunden verwalteten Schlüssel auswählen angezeigt.
  4. Legen Sie im Feld Vom Kunden verwalteten Schlüssel auswählen den gewünschten Schlüssel fest. Der Schlüssel muss sich in einem Schlüsselbund befinden, dessen Speicherort auf dieselbe Region wie die von Ihnen erstellte Looker (Google Cloud Core)-Instanz festgelegt ist. Andernfalls schlägt die Instanzerstellung fehl. Sie haben zwei Möglichkeiten, den Schlüssel auszuwählen:
    1. Wählen Sie den Namen des Schlüssels in der Drop-down-Liste aus:Die verfügbaren Schlüssel in Ihrem Google Cloud-Projekt werden in einer Drop-down-Liste angezeigt. Klicken Sie nach der Auswahl auf OK.
    2. Geben Sie die Ressourcen-ID des Schlüssels ein:Klicken Sie auf den Text Ihr Schlüssel wird nicht angezeigt? „Schlüsselressourcen-ID eingeben“, das unten im Drop-down-Menü angezeigt wird.Daraufhin wird das Dialogfeld Schlüsselressourcen-ID eingeben geöffnet, in dem Sie die ID des Schlüssels eingeben können. Wählen Sie nach Eingabe der ID Speichern aus.
  5. Nachdem Sie einen Schlüssel ausgewählt haben, werden Sie aufgefordert, Ihrem Dienstkonto die Berechtigung zur Verwendung des Schlüssels zu erteilen. Klicken Sie auf die Schaltfläche Gewähren.
  6. Wenn das Dienstkonto keine Berechtigung zum Verschlüsseln und Entschlüsseln mit dem ausgewählten Schlüssel hat, wird eine Meldung angezeigt. Klicken Sie in diesem Fall auf Erteilen, um dem Dienstkonto die IAM-Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ für den ausgewählten KMS-Schlüssel zuzuweisen.
  7. Wenn Sie die Konfiguration Ihrer Looker (Google Cloud Core)-Instanz abgeschlossen haben, klicken Sie auf Erstellen.

gcloud 

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Name für Ihre Looker-Instanz (Google Cloud Core); er ist nicht mit der Instanz-URL verknüpft
  • PROJECT_ID: der Name des Google Cloud Projekts, in dem Sie die Looker-Instanz (Google Cloud Core) erstellen
  • OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Authorized redirect URIs (Autorisierte Weiterleitungs-URIs) des OAuth-Clients ein.
  • KMS_KEY_ID: die ID des KMS-Schlüssels
  • REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird. Verfügbare Regionen sind auf der Dokumentationsseite Standorte für Looker (Google Cloud Core) aufgeführt.
  • EDITION: Wenn CMEK aktiviert werden soll, muss EDITION core-embed-annual oder core-enterprise-annual sein.
  • CONSUMER_NETWORK: Ihr VPC-Netzwerk oder Ihre freigegebene VPC. Muss festgelegt werden, wenn Sie eine Instanz mit privater IP-Adresse erstellen.
  • RESERVED_RANGE: der IP-Adressbereich innerhalb des VPC, in dem Google ein Subnetz für Ihre Looker-Instanz (Google Cloud Core) bereitstellt. Muss festgelegt werden, wenn Sie eine Instanz mit privater IP-Adresse erstellen.

Sie können die folgenden Flags angeben:

  • --private-ip-enabled aktiviert die private IP-Adresse.
  • --public-ip-enabled ermöglicht öffentliche IP-Adressen.
  • --no-public-ip-enabled deaktiviert die öffentliche IP-Adresse.

Terraform

Verwenden Sie die folgende Terraform-Ressource, um eine Enterprise Looker (Google Cloud Core)-Instanz mit einer privaten Netzwerkverbindung bereitzustellen:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Ihre Looker (Google Cloud Core)-Instanz ist jetzt mit CMEK aktiviert.

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Nachdem Sie eine Looker-Instanz (Google Cloud Core) erstellt haben, können Sie prüfen, ob CMEK aktiviert ist.

Wählen Sie eine der folgenden Optionen aus, um zu prüfen, ob CMEK aktiviert ist:

Console

  1. Google Cloud Rufen Sie in der Console die Seite Looker-Instanzen auf.
  2. Klicken Sie auf einen Instanznamen, um die zugehörige Seite Details zu öffnen. Wenn für eine Instanz CMEK aktiviert ist, gibt die Zeile Verschlüsselung die für die Instanz verwendete Verschlüsselung an. Im Feld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) wird die Schlüssel-ID angezeigt.

gcloud 

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Name für Ihre Looker-Instanz (Google Cloud Core); er ist nicht mit der Instanz-URL verknüpft
  • REGION: die Region, in der die Instanz erstellt wurde

Dieser Befehl sollte kmsKeyName, kmsKeyNameVersion und kmsKeyState zurückgeben, um zu bestätigen, dass die Instanz mit CMEK konfiguriert wurde.

Cloud External Key Manager (Cloud EKM) verwenden

Zum Schutz von Daten in Looker-Instanzen (Google Cloud Core) können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten. Weitere Informationen finden Sie auf der Dokumentationsseite Cloud External Key Manager, einschließlich des Abschnitts Hinweise.

Informationen zum Erstellen eines Cloud EKM-Schlüssels finden Sie auf der Dokumentationsseite Cloud External Key Manager im Abschnitt Funktionsweise. Nachdem ein Schlüssel erstellt wurde, geben Sie den Namen des Schlüssels an, wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen.

Google hat keine Kontrolle über die Verfügbarkeit von Schlüsseln in einem Partnersystem für die externe Schlüsselverwaltung.

Schlüssel drehen

Sie sollten Ihren Schlüssel aus Sicherheitsgründen regelmäßig wechseln. Jedes Mal, wenn der Schlüssel rotiert wird, wird eine neue Schlüsselversion erstellt. Weitere Informationen zur Schlüsselrotation finden Sie auf der Dokumentationsseite Schlüsselrotation.

Wenn Sie den Schlüssel rotieren, der zum Schutz Ihrer Looker-Instanz (Google Cloud Core) verwendet wird, ist die vorherige Schlüsselversion weiterhin erforderlich, um auf Sicherungen oder Exporte zuzugreifen, die erstellt wurden, als diese Schlüsselversion verwendet wurde. Aus diesem Grund empfiehlt Google, die vorherige Schlüsselversion nach der Rotation mindestens 45 Tage lang aktiviert zu lassen, damit diese Elemente weiterhin zugänglich sind. Schlüsselversionen werden standardmäßig so lange aufbewahrt, bis sie deaktiviert oder gelöscht werden.

Schlüsselversionen deaktivieren und reaktivieren

Weitere Informationen finden Sie auf den folgenden Dokumentationsseiten:

Wenn eine Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, deaktiviert ist, muss die Looker (Google Cloud Core)-Instanz den Betrieb beenden, alle unverschlüsselten vertraulichen Daten im Arbeitsspeicher löschen und warten, bis der Schlüssel wieder verfügbar ist. So läuft der Vorgang ab:

  1. Die Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist deaktiviert.
  2. Innerhalb von etwa 15 Minuten erkennt die Looker-Instanz (Google Cloud Core), dass die Schlüsselversion widerrufen wurde, beendet den Betrieb und löscht alle verschlüsselten Daten im Arbeitsspeicher.
  3. Nach dem Ende der Instanzausführung geben Aufrufe von Looker APIs eine Fehlermeldung zurück.
  4. Nachdem die Instanz nicht mehr funktioniert, wird in der Looker (Google Cloud Core)-Benutzeroberfläche eine Fehlermeldung zurückgegeben.
  5. Wenn Sie die Schlüsselversion wieder aktivieren, müssen Sie die Instanz manuell neu starten.

Wenn Sie eine Schlüsselversion deaktivieren und nicht warten möchten, bis die Looker (Google Cloud Core)-Instanz automatisch beendet wird, können Sie einen manuellen Neustart der Instanz auslösen, damit die Looker (Google Cloud Core)-Instanz die widerrufene Schlüsselversion sofort erkennt.

Schlüsselversionen löschen

Weitere Informationen finden Sie auf der folgenden Dokumentationsseite:

Wenn eine Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, gelöscht wird, ist kein Zugriff mehr auf die Looker-Instanz möglich. Die Instanz muss gelöscht werden und Sie können nicht mehr auf die zugehörigen Daten zugreifen.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, welche Maßnahmen Sie ergreifen können, wenn Sie beim Einrichten oder Verwenden von CMEK-fähigen Instanzen eine Fehlermeldung erhalten.

Looker-Administratorvorgänge (Google Cloud-Kern) wie Erstellen oder Aktualisieren können aufgrund von Cloud KMS-Fehlern und fehlenden Rollen oder Berechtigungen fehlschlagen. Häufige Gründe für einen Fehler sind eine fehlende, deaktivierte oder gelöschte Cloud KMS-Schlüsselversion, unzureichende IAM-Berechtigungen für den Zugriff auf die Cloud KMS-Schlüsselversion oder wenn sich die Cloud KMS-Schlüsselversion in einer anderen Region als die Looker-Instanz (Google Cloud Core) befindet. Verwenden Sie die folgende Tabelle zur Fehlerbehebung, um häufige Probleme zu diagnostizieren und zu beheben.

Tabelle zur Fehlerbehebung für vom Kunden verwaltete Verschlüsselungsschlüssel

Fehlermeldung Mögliche Ursachen Strategien zur Fehlerbehebung
Dienstkonto pro Produkt und Projekt wurde nicht gefunden Der Name des Dienstkontos ist falsch. Sie müssen ein Dienstkonto für das richtige Nutzerprojekt erstellt haben.

Zur Seite „Dienstkonten“

Zugriff auf das Dienstkonto kann nicht gewährt werden Das Nutzerkonto ist nicht berechtigt, Zugriff auf diese Schlüsselversion zu gewähren.

Weisen Sie Ihrem Nutzer- oder Dienstkonto die Rolle Organisationsadministrator zu.

Zur Seite „IAM-Konten“
Die Cloud KMS-Schlüsselversion wurde gelöscht. Die Schlüsselversion wurde gelöscht. Wenn die Schlüsselversion gelöscht wurde, können Sie sie nicht zum Verschlüsseln oder Entschlüsseln von Daten verwenden. Die Looker (Google Cloud Core)-Instanz muss gelöscht werden.
Die Cloud KMS-Schlüsselversion ist deaktiviert. Die Schlüsselversion ist deaktiviert.

Aktivieren Sie die Cloud KMS-Schlüsselversion wieder.

Zur Seite „Schlüsselverwaltung“
Unzureichende Berechtigung zur Verwendung des Cloud KMS-Schlüssels Die Rolle cloudkms.cryptoKeyEncrypterDecrypter fehlt in dem Nutzer- oder Dienstkonto, das Sie zum Ausführen von Vorgängen auf Looker-Instanzen (Google Cloud Core) verwenden, oder die Cloud KMS-Schlüsselversion ist nicht vorhanden.

Weisen Sie Ihrem Nutzer- oder Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu.

Zur Seite „IAM-Konten“

Wenn die Rolle Ihrem Konto bereits zugewiesen ist, finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen Informationen zum Erstellen einer neuen Schlüsselversion. Führen Sie dann die Schritte zur Instanzerstellung noch einmal aus.
Cloud KMS-Schlüssel wurde nicht gefunden Die Schlüsselversion ist nicht vorhanden. Erstellen Sie eine neue Schlüsselversion und führen Sie die Schritte zur Instanzerstellung noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.
Die Looker-Instanz (Google Cloud Core) und die Cloud KMS-Schlüsselversion befinden sich in verschiedenen Regionen. Die Cloud KMS-Schlüsselversion und die Looker-Instanz (Google Cloud Core) müssen sich in derselben Region befinden. Es kommt zu einem Fehler, wenn sich die Cloud KMS-Schlüsselversion in einer globalen Region oder Mehrfachregion befindet. Erstellen Sie eine Schlüsselversion in derselben Region, in der Sie Instanzen erstellen möchten, und führen Sie die Schritte zur Instanzerstellung noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.

Nächste Schritte