CMEK für Looker (Google Cloud Core) aktivieren

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für die Verschlüsselung von Looker (Google Cloud Core) auf Anwendungsebene vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Allgemeine Informationen zu CMEK, einschließlich wann und warum sie aktiviert werden sollten, finden Sie im Cloud Key Management Service. Dokumentation.

Auf dieser Seite wird beschrieben, wie Sie eine Looker (Google Cloud Core)-Instanz für die Verwendung von CMEK konfigurieren.

Wie interagiert Looker (Google Cloud Core) mit CMEK?

Looker (Google Cloud Core) verwendet einen einzelnen CMEK-Schlüssel (über eine Hierarchie von Sekundärschlüsseln), um die sensiblen Daten zu schützen, die von der Looker (Google Cloud Core)-Instanz verwaltet werden. Beim Start sendet jeder Prozess in der Looker-Instanz einen ersten Aufruf an den Cloud Key Management Service (KMS), um den Schlüssel zu entschlüsseln. Während des normalen Betriebs (nach dem Start) ruft die gesamte Looker-Instanz etwa alle fünf Minuten KMS auf, um zu prüfen, ob der Schlüssel noch gültig ist.

Welche Arten von Looker (Google Cloud Core)-Instanzen unterstützen CMEK?

Looker (Google Cloud Core)-Instanzen unterstützen CMEK, wenn zwei Kriterien erfüllt sind:

  • Die auf dieser Seite beschriebenen CMEK-Konfigurationsschritte sind abgeschlossen, bevor die Looker (Google Cloud Core)-Instanz erstellt wird. Sie können vom Kunden verwaltete Verschlüsselungsschlüssel nicht auf vorhandenen Instanzen aktivieren.
  • Die Instanzversionen müssen Enterprise oder Embed sein.

Workflow zum Erstellen einer Looker (Google Cloud Core)-Instanz mit CMEK

Auf dieser Seite erfahren Sie, wie Sie CMEK für eine Looker-Instanz (Google Cloud Core) einrichten.

  1. Richten Sie Ihre Umgebung ein.
  2. Nur Google Cloud CLI-, Terraform- und API-Nutzer:Erstellen Sie ein Dienstkonto für jedes Projekt, das vom Kunden verwaltete Verschlüsselungsschlüssel erfordert, wenn noch kein Looker-Dienstkonto für das Projekt eingerichtet wurde.
  3. Erstellen Sie einen Schlüsselbund und Schlüssel und legen Sie den Speicherort für den Schlüssel fest. „location“ ist die Google Cloud-Region, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten.
  4. Nur Google Cloud CLI-, Terraform- und API-Nutzer:Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort des Schlüssels sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
  5. Nur Google Cloud CLI-, Terraform- und API-Nutzer: Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel.
  6. Rufen Sie Ihr Projekt auf und erstellen Sie eine Looker (Google Cloud Core)-Instanz mit den folgenden Optionen:
    1. Wählen Sie denselben Standort aus, den der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet.
    2. Legen Sie als Version Enterprise oder Embed fest.
    3. Aktivieren Sie die Konfiguration des vom Kunden verwalteten Schlüssels.
    4. Fügen Sie den vom Kunden verwalteten Verschlüsselungsschlüssel entweder per Name oder per ID hinzu.

Sobald Sie alle diese Schritte ausgeführt haben, wird CMEK für Ihre Looker (Google Cloud Core)-Instanz aktiviert.

Hinweis

Falls Sie dies noch nicht getan haben, prüfen Sie, ob Ihre Umgebung so konfiguriert ist, dass Sie der Anleitung auf dieser Seite folgen können. Folgen Sie den Schritten in diesem Abschnitt, um sicherzustellen, dass Ihre Einrichtung korrekt ist.

  1. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines. Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen. Dadurch werden die mit dem Projekt verknüpften Ressourcen entfernt.

    Zur Projektauswahl

  2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. Hier erfahren Sie, wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist.
  3. Installieren Sie die Google Cloud CLI.
  4. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

    gcloud init
    

  5. Aktivieren Sie die Cloud Key Management Service API.

    API aktivieren

  6. Aktivieren Sie die Looker (Google Cloud Core) API.

    API aktivieren

Erforderliche Rollen

Informationen zu den erforderlichen Rollen für die Einrichtung von CMEK finden Sie auf der Seite Zugriffssteuerung mit IAM in der Cloud Key Management Service-Dokumentation.

Zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen Sie die IAM-Rolle Looker Admin für das Projekt, in dem Ihre Looker (Google Cloud Core)-Instanz erstellt wird. Wenn Sie CMEK für die Instanz in der Google Cloud Console aktivieren möchten, müssen Sie die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den verwendeten Schlüssel haben.

Wenn Sie dem Looker-Dienstkonto Zugriff auf einen Cloud KMS-Schlüssel gewähren möchten, benötigen Sie die IAM-Rolle Cloud KMS-Administrator für den verwendeten Schlüssel.

Dienstkonto erstellen

Wenn Sie die Google Cloud CLI, Terraform oder die API verwenden, um Ihre Looker (Google Cloud Core)-Instanz zu erstellen, und noch kein Looker-Dienstkonto für das Google Cloud-Projekt erstellt wurde, in dem es sich befinden wird, müssen Sie ein Dienstkonto für dieses Projekt erstellen. Wenn Sie mehr als eine Looker (Google Cloud Core)-Instanz im Projekt erstellen, gilt dasselbe Dienstkonto für alle Looker (Google Cloud Core)-Instanzen in diesem Projekt und die Erstellung des Dienstkontos muss nur einmal erfolgen. Wenn Sie die Console zum Erstellen einer Instanz verwenden, erstellt Looker (Google Cloud Core) automatisch das Dienstkonto und gewährt ihm Zugriff auf den CMEK-Schlüssel, während Sie die Option Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden konfigurieren.

Gewähren Sie eine der folgenden Rollen, um zuzulassen, dass ein Nutzer Dienstkonten verwalten kann:

  • Dienstkontonutzer (roles/iam.serviceAccountUser): Umfasst Berechtigungen zum Auflisten von Dienstkonten, Abrufen von Details zu einem Dienstkonto und zum Übernehmen der Identität eines Dienstkontos.
  • Dienstkontoadministrator (roles/iam.serviceAccountAdmin): Umfasst Berechtigungen zum Auflisten von Dienstkonten und zum Abrufen von Details zu einem Dienstkonto. Umfasst außerdem Berechtigungen zum Erstellen, Aktualisieren und Löschen von Dienstkonten.

Derzeit können Sie mit den Google Cloud CLI-Befehlen nur die Art von Dienstkonto erstellen, die Sie für vom Kunden verwaltete Verschlüsselungsschlüssel benötigen. Wenn Sie die Google Cloud Console verwenden, erstellt Looker (Google Cloud Core) dieses Dienstkonto automatisch für Sie.

gcloud

Führen Sie den folgenden Befehl aus, um das Dienstkonto zu erstellen:

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch das Projekt, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

Mit diesem Befehl wird das Dienstkonto erstellt und der Dienstkontoname zurückgegeben. Sie verwenden diesen Dienstkontonamen, während Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Warten Sie nach dem Erstellen des Dienstkontos einige Minuten, bis das Dienstkonto übernommen wurde.

Schlüsselbund und Schlüssel erstellen

Sie können den Schlüssel im selben Google Cloud-Projekt wie die Looker (Google Cloud Core)-Instanz oder in einem separaten Nutzerprojekt erstellen. Der Speicherort des Cloud KMS-Schlüsselbunds muss mit der Region übereinstimmen, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten. Ein Schlüssel für mehrere Regionen oder eine globale Region funktioniert nicht. Die Erstellungsanfrage der Looker-Instanz (Google Cloud Core) schlägt fehl, wenn die Regionen nicht übereinstimmen.

Folgen Sie der Anleitung auf den Dokumentationsseiten Schlüsselbund erstellen und Schlüssel erstellen, um einen Schlüsselbund und einen Schlüssel zu erstellen, die die folgenden beiden Kriterien erfüllen:

  • Das Feld Schlüsselbundspeicherort muss mit der Region übereinstimmen, die Sie für die Looker (Google Cloud Core)-Instanz festlegen.
  • Das Feld Zweck des Schlüssels muss Symmetrisches Ver-/Entschlüsseln sein.

Im Abschnitt Schlüssel rotieren erfahren Sie, wie Sie den Schlüssel rotieren und neue Schlüsselversionen erstellen.

Kopieren oder notieren Sie die KMS_KEY_ID und die KMS_KEYRING_ID.

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Einrichten Ihrer Looker-Instanz (Google Cloud Core) verwenden, folgen Sie der Anleitung auf der Dokumentationsseite Cloud KMS-Ressourcen-ID abrufen, um die Ressourcen-IDs für den Schlüsselbund und den Schlüssel zu ermitteln, die Sie gerade erstellt haben. Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel

Führen Sie diese Schritte nur aus, wenn beide der folgenden Bedingungen erfüllt sind:

  • Sie verwenden die Google Cloud CLI, Terraform oder die API.
  • Dem Dienstkonto wurde noch kein Zugriff auf den Schlüssel gewährt. Wenn sich beispielsweise bereits eine Looker (Google Cloud Core)-Instanz im selben Projekt befindet, die denselben Schlüssel verwendet, müssen Sie keinen Zugriff gewähren. Wenn eine andere Person bereits Zugriff auf den Schlüssel gewährt hat, müssen Sie den Zugriff auch nicht selbst gewähren.

Sie benötigen die IAM-Rolle Cloud KMS-Administrator für den Schlüssel, der verwendet wird, um dem Dienstkonto Zugriff zu gewähren.

So gewähren Sie dem Dienstkonto Zugriff:

gcloud

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ersetzen Sie Folgendes:

  • KMS_KEY_ID: die ID des KMS-Schlüssels
  • REGION: die Region, in der Looker (Google Cloud Core) erstellt wird, und der Speicherort des Schlüsselbunds
  • KMS_KEYRING_ID: die ID des KMS-Schlüsselbunds
  • SERVICE_ACCOUNT_NAME: Der Name des Dienstkontos, der zurückgegeben wurde, als Sie das Dienstkonto erstellt haben

Nachdem Sie dem Dienstkonto die IAM-Rolle zugewiesen haben, warten Sie einige Minuten, bis die Berechtigung übernommen wurde.

Looker (Google Cloud Core)-Instanz mit CMEK erstellen

Wenn Sie in der Google Cloud Console eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln erstellen möchten, folgen Sie zuerst den Schritten im Abschnitt Schlüsselbund und Schlüssel erstellen oben, um einen Schlüsselbund und einen Schlüssel in derselben Region zu erstellen, die Sie für Ihre Looker (Google Cloud Core)-Instanz verwenden. Folgen Sie dann der Anleitung zum Erstellen einer Looker (Google Cloud Core)-Instanz mit den folgenden Einstellungen.

Wählen Sie eine der folgenden Optionen aus, um eine Looker (Google Cloud Core)-Instanz mit CMEK-Einstellungen zu erstellen:

Console

  1. Sie benötigen die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den verwendeten Schlüssel für CMEK.
  2. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Edition eine Enterprise- oder eine Einbettungsversion aus, um CMEK zu verwenden.
  3. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Verschlüsselung das Optionsfeld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Daraufhin wird das Drop-down-Feld Vom Kunden verwalteten Schlüssel auswählen angezeigt.
  4. Legen Sie im Feld Vom Kunden verwalteten Schlüssel auswählen den Schlüssel fest, den Sie verwenden möchten. Der Schlüssel muss sich in einem Schlüsselbund befinden, dessen Speicherort auf dieselbe Region wie die von Ihnen erstellte Looker (Google Cloud Core)-Instanz festgelegt ist. Andernfalls schlägt die Instanzerstellung fehl. Sie haben zwei Möglichkeiten, den Schlüssel auszuwählen:
    1. Wählen Sie den Namen des Schlüssels in der Drop-down-Liste aus: Die verfügbaren Schlüssel in Ihrem Google Cloud-Projekt werden in einer Drop-down-Liste angezeigt. Nachdem Sie Ihren Schlüssel ausgewählt haben, klicken Sie auf OK.
    2. Geben Sie die Ressourcen-ID des Schlüssels ein: Klicken Sie auf den Text Sie können Ihren Schlüssel nicht finden? Schlüsselressourcen-ID eingeben, die unten im Drop-down-Menü angezeigt wird.Daraufhin wird das Dialogfeld Schlüsselressourcen-ID eingeben angezeigt, in das Sie die ID des Schlüssels eingeben können. Nachdem Sie die ID eingegeben haben, klicken Sie auf Speichern.
  5. Nachdem Sie einen Schlüssel ausgewählt haben, werden Sie in einer Meldung aufgefordert, Ihrem Dienstkonto die Berechtigung zur Verwendung des Schlüssels zu erteilen. Klicken Sie auf die Schaltfläche Erteilen.
  6. Wenn das Dienstkonto keine Berechtigung zum Verschlüsseln und Entschlüsseln mit dem ausgewählten Schlüssel hat, wird eine Meldung angezeigt. Klicken Sie in diesem Fall auf Erteilen, um dem Dienstkonto die IAM-Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ für den ausgewählten KMS-Schlüssel zuzuweisen.
  7. Wenn Sie die Konfiguration Ihrer Looker (Google Cloud Core)-Instanz abgeschlossen haben, klicken Sie auf Erstellen.

gcloud

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Name für Ihre Looker-Instanz (Google Cloud Core); er ist nicht mit der Instanz-URL verknüpft
  • PROJECT_ID: der Name des Google Cloud-Projekts, in dem Sie die Looker (Google Cloud Core)-Instanz erstellen
  • OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.
  • KMS_KEY_ID: die ID des KMS-Schlüssels
  • REGION: die Region, in der Ihre Looker (Google Cloud Core)-Instanz gehostet wird. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.
  • EDITION: Wenn CMEK aktiviert werden soll, muss EDITION core-embed-annual oder core-enterprise-annual sein.
  • CONSUMER_NETWORK: Ihr VPC-Netzwerk oder Ihre freigegebene VPC. Muss festgelegt werden, wenn Sie eine private IP-Instanz erstellen.
  • RESERVED_RANGE: der IP-Adressbereich innerhalb des VPC, in dem Google ein Subnetz für Ihre Looker-Instanz (Google Cloud Core) bereitstellt. Muss festgelegt werden, wenn Sie eine Instanz mit privater IP-Adresse erstellen.

Sie können die folgenden Flags angeben:

  • --private-ip-enabled aktiviert die private IP-Adresse.
  • --public-ip-enabled aktiviert die öffentliche IP-Adresse.
  • --no-public-ip-enabled deaktiviert die öffentliche IP-Adresse.

Terraform

Verwenden Sie die folgende Terraform-Ressource, um eine Enterprise Looker (Google Cloud Core)-Instanz mit einer privaten Netzwerkverbindung bereitzustellen:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Ihre Looker-Instanz (Google Cloud Core) ist jetzt mit CMEK aktiviert.

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, können Sie prüfen, ob CMEK aktiviert ist.

Wählen Sie eine der folgenden Optionen aus, um festzustellen, ob CMEK aktiviert ist:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Looker-Instanzen auf.
  2. Klicken Sie auf einen Instanznamen, um die zugehörige Seite Details zu öffnen. Wenn für eine Instanz CMEK aktiviert ist, gibt eine Zeile Encryption die für die Instanz verwendete Verschlüsselung an. Im Feld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) wird die Schlüssel-ID angezeigt.

gcloud

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: ein Name für Ihre Looker-Instanz (Google Cloud Core); er ist nicht mit der Instanz-URL verknüpft
  • REGION: Region, in der die Instanz erstellt wurde

Dieser Befehl sollte kmsKeyName, kmsKeyNameVersion und kmsKeyState zurückgeben, um zu bestätigen, dass die Instanz mit CMEK konfiguriert wurde.

Cloud External Key Manager (Cloud EKM) verwenden

Zum Schutz von Daten in Instanzen von Looker (Google Cloud Core) können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten. Weitere Informationen finden Sie auf der Dokumentationsseite Cloud External Key Manager, einschließlich des Abschnitts Hinweise.

Wenn Sie bereit sind, einen Cloud EKM-Schlüssel zu erstellen, lesen Sie den Abschnitt Funktionsweise auf der Dokumentationsseite Cloud External Key Manager. Geben Sie nach dem Erstellen eines Schlüssels den Schlüsselnamen an, wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen.

Google hat keine Kontrolle über die Verfügbarkeit von Schlüsseln in einem Partnersystem für die externe Schlüsselverwaltung.

Schlüssel rotieren

Sie sollten Ihren Schlüssel aus Sicherheitsgründen regelmäßig wechseln. Jedes Mal, wenn Ihr Schlüssel rotiert wird, wird eine neue Schlüsselversion erstellt. Weitere Informationen zur Schlüsselrotation finden Sie auf der Dokumentationsseite Schlüsselrotation.

Wenn Sie den Schlüssel rotieren, der zum Schützen Ihrer Looker-Instanz (Google Cloud Core) verwendet wird, ist die vorherige Schlüsselversion weiterhin erforderlich, um auf Sicherungen oder Exporte zuzugreifen, die erstellt wurden, als diese Schlüsselversion verwendet wurde. Aus diesem Grund empfiehlt Google, die vorherige Schlüsselversion nach der Umstellung mindestens 45 Tage lang aktiviert zu lassen, damit diese Elemente weiterhin zugänglich sind. Schlüsselversionen werden standardmäßig so lange aufbewahrt, bis sie deaktiviert oder gelöscht werden.

Schlüsselversionen deaktivieren und reaktivieren

Weitere Informationen finden Sie auf den folgenden Dokumentationsseiten:

Wenn eine Schlüsselversion zum Schutz einer Looker (Google Cloud Core)-Instanz deaktiviert ist, muss die Looker (Google Cloud Core)-Instanz den Betrieb beenden, alle unverschlüsselten sensiblen Daten löschen, die sich möglicherweise im Arbeitsspeicher befinden, und warten, bis der Schlüssel wieder verfügbar ist. So läuft der Vorgang ab:

  1. Die Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist deaktiviert.
  2. Innerhalb von etwa 15 Minuten erkennt die Looker-Instanz (Google Cloud Core), dass die Schlüsselversion widerrufen wurde, beendet den Betrieb und löscht alle verschlüsselten Daten im Arbeitsspeicher.
  3. Nach dem Ende der Instanzausführung geben Aufrufe von Looker APIs eine Fehlermeldung zurück.
  4. Nachdem die Instanz nicht mehr ausgeführt wird, gibt die Benutzeroberfläche von Looker (Google Cloud Core) eine Fehlermeldung aus.
  5. Wenn Sie die Schlüsselversion wieder aktivieren, müssen Sie einen Neustart der Instanz manuell auslösen.

Wenn Sie eine Schlüsselversion deaktivieren und nicht warten möchten, bis die Looker (Google Cloud Core)-Instanz automatisch beendet wird, können Sie manuell einen Instanzneustart auslösen, damit die Looker (Google Cloud Core)-Instanz die widerrufene Schlüsselversion sofort erkennt.

Schlüsselversionen löschen

Weitere Informationen finden Sie auf der folgenden Dokumentationsseite:

Wenn eine Schlüsselversion gelöscht wird, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist die Looker-Instanz nicht mehr zugänglich. Die Instanz muss gelöscht werden und Sie können nicht mehr auf die darin enthaltenen Daten zugreifen.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, was Sie versuchen können, wenn Sie beim Einrichten oder Verwenden von CMEK-fähigen Instanzen eine Fehlermeldung erhalten.

Administratorvorgänge von Looker (Google Cloud Core) wie Erstellen oder Aktualisieren können aufgrund von Cloud KMS-Fehlern und fehlenden Rollen oder Berechtigungen fehlschlagen. Häufige Gründe für einen Fehler sind eine fehlende, deaktivierte oder gelöschte Cloud KMS-Schlüsselversion, unzureichende IAM-Berechtigungen für den Zugriff auf die Cloud KMS-Schlüsselversion oder wenn sich die Cloud KMS-Schlüsselversion in einer anderen Region als die Looker-Instanz (Google Cloud Core) befindet. Verwenden Sie die folgende Tabelle zur Fehlerbehebung, um häufige Probleme zu diagnostizieren und zu beheben.

Tabelle zur Fehlerbehebung für vom Kunden verwaltete Verschlüsselungsschlüssel

Fehlermeldung Mögliche Ursachen Strategien zur Fehlerbehebung
Dienstkonto pro Produkt und Projekt wurde nicht gefunden Der Name des Dienstkontos ist falsch. Sie müssen ein Dienstkonto für das richtige Nutzerprojekt erstellt haben.

Zur Seite „Dienstkonten“

Zugriff auf das Dienstkonto kann nicht gewährt werden Das Nutzerkonto ist nicht berechtigt, Zugriff auf diese Schlüsselversion zu gewähren.

Fügen Sie Ihrem Nutzer- oder Dienstkonto die Rolle Administrator der Organisation hinzu.

Zur Seite "IAM-Konten"

Die Cloud KMS-Schlüsselversion wurde gelöscht. Die Schlüsselversion wurde gelöscht. Wenn die Schlüsselversion gelöscht wurde, können Sie sie nicht zum Verschlüsseln oder Entschlüsseln von Daten verwenden. Die Looker (Google Cloud Core)-Instanz muss gelöscht werden.
Die Cloud KMS-Schlüsselversion ist deaktiviert. Die Schlüsselversion ist deaktiviert.

Aktivieren Sie die Cloud KMS-Schlüsselversion wieder.

Zur Seite „Schlüsselverwaltung“

Unzureichende Berechtigung zur Verwendung des Cloud KMS-Schlüssels Die Rolle cloudkms.cryptoKeyEncrypterDecrypter fehlt in dem Nutzer- oder Dienstkonto, das Sie zum Ausführen von Vorgängen auf Looker-Instanzen (Google Cloud Core) verwenden, oder die Cloud KMS-Schlüsselversion ist nicht vorhanden.

Weisen Sie Ihrem Nutzer- oder Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu.

Zur Seite "IAM-Konten"

Wenn die Rolle Ihrem Konto bereits zugewiesen ist, finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen Informationen zum Erstellen einer neuen Schlüsselversion. Führen Sie dann die Schritte zur Instanzerstellung noch einmal aus.

Cloud KMS-Schlüssel wurde nicht gefunden Die Schlüsselversion ist nicht vorhanden. Erstellen Sie eine neue Schlüsselversion und führen Sie die Schritte zur Instanzerstellung noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.
Looker (Google Cloud Core)-Instanz und Cloud KMS-Schlüsselversion befinden sich in verschiedenen Regionen Die Cloud KMS-Schlüsselversion und die Looker-Instanz (Google Cloud Core) müssen sich in derselben Region befinden. Es kommt zu einem Fehler, wenn sich die Cloud KMS-Schlüsselversion in einer globalen Region oder Mehrfachregion befindet. Erstellen Sie eine Schlüsselversion in derselben Region, in der Sie Instanzen erstellen möchten, und führen Sie die Schritte zur Instanzerstellung noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.

Nächste Schritte