CMEK für Looker (Google Cloud Core) aktivieren

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für die Verschlüsselung von Looker (Google Cloud Core) auf Anwendungsebene vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Allgemeine Informationen zu CMEK, einschließlich wann und warum sie aktiviert werden sollten, finden Sie im Cloud Key Management Service. Dokumentation.

Auf dieser Seite wird beschrieben, wie Sie eine Looker (Google Cloud Core)-Instanz für die Verwendung von CMEK konfigurieren.

Wie interagiert Looker (Google Cloud Core) mit CMEK?

Looker (Google Cloud Core) verwendet einen einzelnen CMEK-Schlüssel (über eine Hierarchie von Sekundärschlüsseln), um die sensiblen Daten zu schützen, die von der Looker (Google Cloud Core)-Instanz verwaltet werden. Beim Start sendet jeder Prozess in der Looker-Instanz einen ersten Aufruf an den Cloud Key Management Service (KMS), um den Schlüssel zu entschlüsseln. Während des normalen Betriebs (nach dem Start) ruft die gesamte Looker-Instanz etwa alle fünf Minuten KMS auf, um zu prüfen, ob der Schlüssel noch gültig ist.

Welche Arten von Looker (Google Cloud Core)-Instanzen unterstützen CMEK?

Looker (Google Cloud Core)-Instanzen unterstützen CMEK, wenn zwei Kriterien erfüllt sind:

• Die auf dieser Seite beschriebenen CMEK-Konfigurationsschritte sind abgeschlossen, bevor die Looker (Google Cloud Core)-Instanz erstellt wird. Sie können vom Kunden verwaltete Verschlüsselungsschlüssel nicht auf vorhandenen Instanzen aktivieren.
• Die Instanzversionen müssen Enterprise oder Embed sein.

Workflow zum Erstellen einer Looker (Google Cloud Core)-Instanz mit CMEK

Auf dieser Seite erfahren Sie, wie Sie CMEK für eine Looker-Instanz (Google Cloud Core) einrichten.

1. Richten Sie Ihre Umgebung ein.
2. Nur Google Cloud CLI-, Terraform- und API-Nutzer:Erstellen Sie ein Dienstkonto für jedes Projekt, das vom Kunden verwaltete Verschlüsselungsschlüssel erfordert, wenn noch kein Looker-Dienstkonto für das Projekt eingerichtet wurde.
3. Erstellen Sie einen Schlüsselbund und Schlüssel und legen Sie den Speicherort für den Schlüssel fest. „location“ ist die Google Cloud-Region, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten.
4. Nur Google Cloud CLI-, Terraform- und API-Nutzer:Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort des Schlüssels sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
5. Nur Google Cloud CLI-, Terraform- und API-Nutzer: Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel.
6. Rufen Sie Ihr Projekt auf und erstellen Sie eine Looker (Google Cloud Core)-Instanz mit den folgenden Optionen:
   1. Wählen Sie denselben Standort aus, den der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet.
   2. Legen Sie als Version Enterprise oder Embed fest.
   3. Aktivieren Sie die Konfiguration des vom Kunden verwalteten Schlüssels.
   4. Fügen Sie den vom Kunden verwalteten Verschlüsselungsschlüssel entweder per Name oder per ID hinzu.

Sobald Sie alle diese Schritte ausgeführt haben, wird CMEK für Ihre Looker (Google Cloud Core)-Instanz aktiviert.

Hinweis

Falls Sie dies noch nicht getan haben, prüfen Sie, ob Ihre Umgebung so konfiguriert ist, dass Sie der Anleitung auf dieser Seite folgen können. Folgen Sie den Schritten in diesem Abschnitt, um sicherzustellen, dass Ihre Einrichtung korrekt ist.

1. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines. Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen. Dadurch werden die mit dem Projekt verknüpften Ressourcen entfernt.

   Zur Projektauswahl

2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. Hier erfahren Sie, wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist.
3. Installieren Sie die Google Cloud CLI.

4. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

   gcloud init
   

5. Aktivieren Sie die Cloud Key Management Service API.

   API aktivieren

6. Aktivieren Sie die Looker (Google Cloud Core) API.

   API aktivieren

Erforderliche Rollen

Informationen zu den erforderlichen Rollen für die Einrichtung von CMEK finden Sie auf der Seite Zugriffssteuerung mit IAM in der Cloud Key Management Service-Dokumentation.

Zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen Sie die IAM-Rolle Looker Admin für das Projekt, in dem Ihre Looker (Google Cloud Core)-Instanz erstellt wird. Wenn Sie CMEK für die Instanz in der Google Cloud Console aktivieren möchten, müssen Sie die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den verwendeten Schlüssel haben.

Wenn Sie dem Looker-Dienstkonto Zugriff auf einen Cloud KMS-Schlüssel gewähren möchten, benötigen Sie die IAM-Rolle Cloud KMS-Administrator für den verwendeten Schlüssel.

Dienstkonto erstellen

Wenn Sie die Google Cloud CLI, Terraform oder die API verwenden, um Ihre Looker (Google Cloud Core)-Instanz zu erstellen, und noch kein Looker-Dienstkonto für das Google Cloud-Projekt erstellt wurde, in dem es sich befinden wird, müssen Sie ein Dienstkonto für dieses Projekt erstellen. Wenn Sie mehr als eine Looker (Google Cloud Core)-Instanz im Projekt erstellen, gilt dasselbe Dienstkonto für alle Looker (Google Cloud Core)-Instanzen in diesem Projekt und die Erstellung des Dienstkontos muss nur einmal erfolgen. Wenn Sie die Console zum Erstellen einer Instanz verwenden, erstellt Looker (Google Cloud Core) automatisch das Dienstkonto und gewährt ihm Zugriff auf den CMEK-Schlüssel, während Sie die Option Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden konfigurieren.

Gewähren Sie eine der folgenden Rollen, um zuzulassen, dass ein Nutzer Dienstkonten verwalten kann:

• Dienstkontonutzer (roles/iam.serviceAccountUser): Umfasst Berechtigungen zum Auflisten von Dienstkonten, Abrufen von Details zu einem Dienstkonto und zum Übernehmen der Identität eines Dienstkontos.
• Dienstkontoadministrator (roles/iam.serviceAccountAdmin): Umfasst Berechtigungen zum Auflisten von Dienstkonten und zum Abrufen von Details zu einem Dienstkonto. Umfasst außerdem Berechtigungen zum Erstellen, Aktualisieren und Löschen von Dienstkonten.

Derzeit können Sie mit den Google Cloud CLI-Befehlen nur die Art von Dienstkonto erstellen, die Sie für vom Kunden verwaltete Verschlüsselungsschlüssel benötigen. Wenn Sie die Google Cloud Console verwenden, erstellt Looker (Google Cloud Core) dieses Dienstkonto automatisch für Sie.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Mit diesem Befehl wird das Dienstkonto erstellt und der Dienstkontoname zurückgegeben. Sie verwenden diesen Dienstkontonamen, während Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Warten Sie nach dem Erstellen des Dienstkontos einige Minuten, bis das Dienstkonto übernommen wurde.

Schlüsselbund und Schlüssel erstellen

Sie können den Schlüssel im selben Google Cloud-Projekt wie die Looker (Google Cloud Core)-Instanz oder in einem separaten Nutzerprojekt erstellen. Der Speicherort des Cloud KMS-Schlüsselbunds muss mit der Region übereinstimmen, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten. Ein Schlüssel für mehrere Regionen oder eine globale Region funktioniert nicht. Die Erstellungsanfrage der Looker-Instanz (Google Cloud Core) schlägt fehl, wenn die Regionen nicht übereinstimmen.

Folgen Sie der Anleitung auf den Dokumentationsseiten Schlüsselbund erstellen und Schlüssel erstellen, um einen Schlüsselbund und einen Schlüssel zu erstellen, die die folgenden beiden Kriterien erfüllen:

• Das Feld Schlüsselbundspeicherort muss mit der Region übereinstimmen, die Sie für die Looker (Google Cloud Core)-Instanz festlegen.
• Das Feld Zweck des Schlüssels muss Symmetrisches Ver-/Entschlüsseln sein.

Im Abschnitt Schlüssel rotieren erfahren Sie, wie Sie den Schlüssel rotieren und neue Schlüsselversionen erstellen.

Kopieren oder notieren Sie die KMS_KEY_ID und die KMS_KEYRING_ID.

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Einrichten Ihrer Looker-Instanz (Google Cloud Core) verwenden, folgen Sie der Anleitung auf der Dokumentationsseite Cloud KMS-Ressourcen-ID abrufen, um die Ressourcen-IDs für den Schlüsselbund und den Schlüssel zu ermitteln, die Sie gerade erstellt haben. Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel

Führen Sie diese Schritte nur aus, wenn beide der folgenden Bedingungen erfüllt sind:

• Sie verwenden die Google Cloud CLI, Terraform oder die API.
• Dem Dienstkonto wurde noch kein Zugriff auf den Schlüssel gewährt. Wenn sich beispielsweise bereits eine Looker (Google Cloud Core)-Instanz im selben Projekt befindet, die denselben Schlüssel verwendet, müssen Sie keinen Zugriff gewähren. Wenn eine andere Person bereits Zugriff auf den Schlüssel gewährt hat, müssen Sie den Zugriff auch nicht selbst gewähren.

Sie benötigen die IAM-Rolle Cloud KMS-Administrator für den Schlüssel, der verwendet wird, um dem Dienstkonto Zugriff zu gewähren.

So gewähren Sie dem Dienstkonto Zugriff:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Nachdem Sie dem Dienstkonto die IAM-Rolle zugewiesen haben, warten Sie einige Minuten, bis die Berechtigung übernommen wurde.

Looker (Google Cloud Core)-Instanz mit CMEK erstellen

Wenn Sie in der Google Cloud Console eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln erstellen möchten, folgen Sie zuerst den Schritten im Abschnitt Schlüsselbund und Schlüssel erstellen oben, um einen Schlüsselbund und einen Schlüssel in derselben Region zu erstellen, die Sie für Ihre Looker (Google Cloud Core)-Instanz verwenden. Folgen Sie dann der Anleitung zum Erstellen einer Looker (Google Cloud Core)-Instanz mit den folgenden Einstellungen.

Wählen Sie eine der folgenden Optionen aus, um eine Looker (Google Cloud Core)-Instanz mit CMEK-Einstellungen zu erstellen:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Ihre Looker-Instanz (Google Cloud Core) ist jetzt mit CMEK aktiviert.

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, können Sie prüfen, ob CMEK aktiviert ist.

Wählen Sie eine der folgenden Optionen aus, um festzustellen, ob CMEK aktiviert ist:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Cloud External Key Manager (Cloud EKM) verwenden

Zum Schutz von Daten in Instanzen von Looker (Google Cloud Core) können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten. Weitere Informationen finden Sie auf der Dokumentationsseite Cloud External Key Manager, einschließlich des Abschnitts Hinweise.

Wenn Sie bereit sind, einen Cloud EKM-Schlüssel zu erstellen, lesen Sie den Abschnitt Funktionsweise auf der Dokumentationsseite Cloud External Key Manager. Geben Sie nach dem Erstellen eines Schlüssels den Schlüsselnamen an, wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen.

Google hat keine Kontrolle über die Verfügbarkeit von Schlüsseln in einem Partnersystem für die externe Schlüsselverwaltung.

Schlüssel rotieren

Sie sollten Ihren Schlüssel aus Sicherheitsgründen regelmäßig wechseln. Jedes Mal, wenn Ihr Schlüssel rotiert wird, wird eine neue Schlüsselversion erstellt. Weitere Informationen zur Schlüsselrotation finden Sie auf der Dokumentationsseite Schlüsselrotation.

Wenn Sie den Schlüssel rotieren, der zum Schützen Ihrer Looker-Instanz (Google Cloud Core) verwendet wird, ist die vorherige Schlüsselversion weiterhin erforderlich, um auf Sicherungen oder Exporte zuzugreifen, die erstellt wurden, als diese Schlüsselversion verwendet wurde. Aus diesem Grund empfiehlt Google, die vorherige Schlüsselversion nach der Umstellung mindestens 45 Tage lang aktiviert zu lassen, damit diese Elemente weiterhin zugänglich sind. Schlüsselversionen werden standardmäßig so lange aufbewahrt, bis sie deaktiviert oder gelöscht werden.

Schlüsselversionen deaktivieren und reaktivieren

Weitere Informationen finden Sie auf den folgenden Dokumentationsseiten:

• Aktivierte Schlüsselversion deaktivieren
• Deaktivierte Schlüsselversion aktivieren

Wenn eine Schlüsselversion zum Schutz einer Looker (Google Cloud Core)-Instanz deaktiviert ist, muss die Looker (Google Cloud Core)-Instanz den Betrieb beenden, alle unverschlüsselten sensiblen Daten löschen, die sich möglicherweise im Arbeitsspeicher befinden, und warten, bis der Schlüssel wieder verfügbar ist. So läuft der Vorgang ab:

1. Die Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist deaktiviert.
2. Innerhalb von etwa 15 Minuten erkennt die Looker-Instanz (Google Cloud Core), dass die Schlüsselversion widerrufen wurde, beendet den Betrieb und löscht alle verschlüsselten Daten im Arbeitsspeicher.
3. Nach dem Ende der Instanzausführung geben Aufrufe von Looker APIs eine Fehlermeldung zurück.
4. Nachdem die Instanz nicht mehr ausgeführt wird, gibt die Benutzeroberfläche von Looker (Google Cloud Core) eine Fehlermeldung aus.
5. Wenn Sie die Schlüsselversion wieder aktivieren, müssen Sie einen Neustart der Instanz manuell auslösen.

Wenn Sie eine Schlüsselversion deaktivieren und nicht warten möchten, bis die Looker (Google Cloud Core)-Instanz automatisch beendet wird, können Sie manuell einen Instanzneustart auslösen, damit die Looker (Google Cloud Core)-Instanz die widerrufene Schlüsselversion sofort erkennt.

Schlüsselversionen löschen

Weitere Informationen finden Sie auf der folgenden Dokumentationsseite:

• Schlüsselversionen löschen und wiederherstellen

Wenn eine Schlüsselversion gelöscht wird, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist die Looker-Instanz nicht mehr zugänglich. Die Instanz muss gelöscht werden und Sie können nicht mehr auf die darin enthaltenen Daten zugreifen.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, was Sie versuchen können, wenn Sie beim Einrichten oder Verwenden von CMEK-fähigen Instanzen eine Fehlermeldung erhalten.

Administratorvorgänge von Looker (Google Cloud Core) wie Erstellen oder Aktualisieren können aufgrund von Cloud KMS-Fehlern und fehlenden Rollen oder Berechtigungen fehlschlagen. Häufige Gründe für einen Fehler sind eine fehlende, deaktivierte oder gelöschte Cloud KMS-Schlüsselversion, unzureichende IAM-Berechtigungen für den Zugriff auf die Cloud KMS-Schlüsselversion oder wenn sich die Cloud KMS-Schlüsselversion in einer anderen Region als die Looker-Instanz (Google Cloud Core) befindet. Verwenden Sie die folgende Tabelle zur Fehlerbehebung, um häufige Probleme zu diagnostizieren und zu beheben.

Tabelle zur Fehlerbehebung für vom Kunden verwaltete Verschlüsselungsschlüssel

Nächste Schritte

• Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten
• Looker-Verwaltungseinstellungen (Google Cloud Core)