CMEK für Looker (Google Cloud Core) aktivieren

Standardmäßig verschlüsselt Google Cloud inaktive Daten automatisch. Dazu werden von Google verwaltete Verschlüsselungsschlüssel verwendet. Wenn Sie bestimmte Compliance- oder regulatorische Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) für die Verschlüsselung auf Anwendungsebene von Looker (Google Cloud Core) verwenden.

Weitere Informationen zu CMEK im Allgemeinen, einschließlich wann und warum sie aktiviert werden sollten, finden Sie in der Dokumentation zum Cloud Key Management Service.

Auf dieser Seite wird beschrieben, wie Sie eine Looker (Google Cloud Core)-Instanz für die Verwendung von CMEK konfigurieren.

Wie interagiert Looker (Google Cloud Core) mit CMEK?

Looker (Google Cloud Core) verwendet einen einzelnen CMEK-Schlüssel (über eine Hierarchie von Sekundärschlüsseln), um die sensiblen Daten zu schützen, die von der Looker (Google Cloud Core)-Instanz verwaltet werden. Während des Starts sendet jeder Prozess in der Looker-Instanz einen ersten Aufruf an den Cloud Key Management Service (KMS), um den Schlüssel zu entschlüsseln. Während des normalen Betriebs (nach dem Start) sendet die gesamte Looker-Instanz etwa alle fünf Minuten einen einzelnen Aufruf an KMS, um zu prüfen, ob der Schlüssel noch gültig ist.

Welche Arten von Looker (Google Cloud Core)-Instanzen unterstützen CMEK?

Looker (Google Cloud Core)-Instanzen unterstützen CMEK, wenn zwei Kriterien erfüllt sind:

• Die auf dieser Seite beschriebenen CMEK-Konfigurationsschritte werden abgeschlossen, bevor die Looker (Google Cloud Core)-Instanz erstellt wird. Sie können keine vom Kunden verwalteten Verschlüsselungsschlüssel für vorhandene Instanzen aktivieren.
• Instanzversionen müssen Enterprise oder Embed sein.

Workflow zum Erstellen einer Looker (Google Cloud Core)-Instanz mit CMEK

Auf dieser Seite werden Sie durch die folgenden Schritte geführt, um CMEK für eine Looker (Google Cloud Core)-Instanz einzurichten.

1. Richten Sie Ihre Umgebung ein.
2. Nur Google Cloud CLI-, Terraform- und API-Nutzer:Erstellen Sie ein Dienstkonto für jedes Projekt, für das vom Kunden verwaltete Verschlüsselungsschlüssel erforderlich sind, wenn noch kein Looker-Dienstkonto für das Projekt eingerichtet wurde.
3. Erstellen Sie einen Schlüsselbund und Schlüssel und legen Sie den Speicherort für den Schlüssel fest. Der Standort ist die Google Cloud-Region, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten.
4. Nur für Nutzer der Google Cloud CLI, Terraform und API:Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort des Schlüssels sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
5. Nur Nutzer der Google Cloud CLI, Terraform und API:Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel.
6. Rufen Sie Ihr Projekt auf und erstellen Sie eine Looker (Google Cloud Core)-Instanz mit den folgenden Optionen:
   1. Wählen Sie denselben Standort aus, den der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet.
   2. Legen Sie für die Version Enterprise oder Embed fest.
   3. Aktivieren Sie die Konfiguration für den vom Kunden verwalteten Schlüssel.
   4. Fügen Sie den vom Kunden verwalteten Verschlüsselungsschlüssel nach Name oder ID hinzu.

Sobald alle diese Schritte abgeschlossen sind, wird Ihre Looker (Google Cloud Core)-Instanz mit CMEK aktiviert.

Hinweise

Prüfen Sie, ob Ihre Umgebung so konfiguriert ist, dass Sie der Anleitung auf dieser Seite folgen können, falls Sie dies noch nicht getan haben. Folgen Sie der Anleitung in diesem Abschnitt, um sicherzustellen, dass Ihre Konfiguration korrekt ist.

1. Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie ein Google Cloud-Projekt. Hinweis: Wenn Sie die in diesem Verfahren erstellten Ressourcen nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen. Dadurch werden die mit dem Projekt verknüpften Ressourcen entfernt.

   Zur Projektauswahl

2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. Prüfen, ob die Abrechnung für ein Projekt aktiviert ist
3. Installieren Sie die Google Cloud CLI.

4. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialize:

   gcloud init
   

5. Aktivieren Sie die Cloud Key Management Service API.

   API aktivieren

6. Aktivieren Sie die Looker (Google Cloud Core) API.

   API aktivieren

Erforderliche Rollen

Informationen zu den erforderlichen Rollen zum Einrichten von CMEK finden Sie in der Dokumentation zum Cloud Key Management Service auf der Seite Zugriffssteuerung mit IAM.

Zum Erstellen einer Looker (Google Cloud Core)-Instanz benötigen Sie die IAM-Rolle Looker-Administrator für das Projekt, in dem Ihre Looker (Google Cloud Core)-Instanz erstellt wird. Zum Aktivieren von CMEK für die Instanz in der Google Cloud Console benötigen Sie die IAM-Rolle Cloud KMS CryptoKey Encrypter/Decrypter für den Schlüssel, der für CMEK verwendet wird.

Wenn Sie dem Looker-Dienstkonto Zugriff auf einen Cloud KMS-Schlüssel gewähren müssen, benötigen Sie die IAM-Rolle Cloud KMS Admin für den verwendeten Schlüssel.

Dienstkonto erstellen

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Erstellen Ihrer Looker (Google Cloud Core)-Instanz verwenden und für das Google Cloud-Projekt, in dem es sich befindet, noch kein Looker-Dienstkonto erstellt wurde, müssen Sie ein Dienstkonto für dieses Projekt erstellen. Wenn Sie im Projekt mehrere Looker (Google Cloud Core)-Instanzen erstellen, gilt dasselbe Dienstkonto für alle Looker (Google Cloud Core)-Instanzen in diesem Projekt. Das Dienstkonto muss nur einmal erstellt werden. Wenn Sie die Console zum Erstellen einer Instanz verwenden, erstellt Looker (Google Cloud Core) automatisch das Dienstkonto und gewährt ihm Zugriff auf den CMEK-Schlüssel, wenn Sie die Option Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden konfigurieren.

Gewähren Sie eine der folgenden Rollen, um zuzulassen, dass ein Nutzer Dienstkonten verwalten kann:

• Dienstkontonutzer (roles/iam.serviceAccountUser): Umfasst Berechtigungen zum Auflisten von Dienstkonten, zum Abrufen von Details zu einem Dienstkonto und zum Übernehmen der Identität eines Dienstkontos.
• Dienstkontoadministrator (roles/iam.serviceAccountAdmin): Beinhaltet Berechtigungen zum Auflisten von Dienstkonten und zum Abrufen von Details zu einem Dienstkonto. Umfasst auch Berechtigungen zum Erstellen, Aktualisieren und Löschen von Dienstkonten.

Derzeit können Sie nur mit Befehlen der Google Cloud CLI den Dienstkontotyp erstellen, den Sie für vom Kunden verwaltete Verschlüsselungsschlüssel benötigen. Wenn Sie die Google Cloud Console verwenden, erstellt Looker (Google Cloud Core) dieses Dienstkonto automatisch für Sie.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Mit diesem Befehl wird das Dienstkonto erstellt und der Name des Dienstkontos zurückgegeben. Sie verwenden diesen Dienstkontonamen, während Sie das Dienstkonto Zugriff auf den Schlüssel gewähren.

Warten Sie nach dem Erstellen des Dienstkontos einige Minuten, bis es übernommen wurde.

Schlüsselbund und Schlüssel erstellen

Sie können den Schlüssel im selben Google Cloud-Projekt wie die Looker (Google Cloud Core)-Instanz oder in einem separaten Nutzerprojekt erstellen. Der Speicherort des Cloud KMS-Schlüsselbunds muss mit der Region übereinstimmen, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten. Ein Schlüssel für mehrere Regionen oder eine globale Region funktioniert nicht. Die Erstellungsanfrage der Looker (Google Cloud Core)-Instanz schlägt fehl, wenn die Regionen nicht übereinstimmen.

Folgen Sie der Anleitung auf den Dokumentationsseiten Schlüsselbund erstellen und Schlüssel erstellen, um einen Schlüsselbund und Schlüssel zu erstellen, die die folgenden beiden Kriterien erfüllen:

• Das Feld Schlüsselbund-Speicherort muss mit der Region übereinstimmen, die Sie für die Instanz von Looker (Google Cloud Core) festlegen.
• Das Feld Zweck des Schlüssels muss Symmetrisches Verschlüsseln/Entschlüsseln lauten.

Weitere Informationen zum Rotieren des Schlüssels und zum Erstellen neuer Schlüsselversionen finden Sie im Abschnitt Schlüssel rotieren.

KMS_KEY_ID und KMS_KEYRING_ID kopieren oder notieren

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Einrichten Ihrer Looker (Google Cloud Core)-Instanz verwenden, folgen Sie der Anleitung auf der Dokumentationsseite Cloud KMS-Ressourcen-ID abrufen, um die Ressourcen-IDs für den soeben erstellten Schlüsselbund und Schlüssel zu ermitteln. Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort des Schlüssels sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel

Sie müssen diese Schritte nur ausführen, wenn die beiden folgenden Bedingungen zutreffen:

• Sie verwenden die Google Cloud CLI, Terraform oder die API.
• Dem Dienstkonto wurde noch kein Zugriff auf den Schlüssel gewährt. Wenn im selben Projekt beispielsweise bereits eine Looker (Google Cloud Core)-Instanz vorhanden ist, die denselben Schlüssel verwendet, müssen Sie keinen Zugriff gewähren. Wenn der Zugriff auf den Schlüssel bereits von einer anderen Person gewährt wurde, müssen Sie den Zugriff ebenfalls nicht gewähren.

Sie benötigen die IAM-Rolle Cloud KMS-Administrator für den verwendeten Schlüssel, um dem Dienstkonto Zugriff zu gewähren.

So gewähren Sie dem Dienstkonto Zugriff:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Nachdem Sie dem Dienstkonto die IAM-Rolle gewährt haben, warten Sie einige Minuten, bis die Berechtigung wirksam wird.

Looker (Google Cloud Core)-Instanz mit CMEK erstellen

Wenn Sie eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln in der Google Cloud Console erstellen möchten, führen Sie zuerst die Schritte im Abschnitt Schlüsselbund und Schlüssel erstellen aus, um einen Schlüsselbund und Schlüssel in derselben Region zu erstellen, die Sie auch für Ihre Looker (Google Cloud Core)-Instanz verwenden. Folgen Sie als Nächstes der Anleitung zum Erstellen einer Looker (Google Cloud Core)-Instanz mithilfe der folgenden Einstellungen.

Wählen Sie eine der folgenden Optionen aus, um eine private IP-Instanz mit CMEK-Einstellungen zu erstellen:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Ihre Looker (Google Cloud Core)-Instanz ist jetzt mit CMEK aktiviert.

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, können Sie prüfen, ob CMEK aktiviert ist.

Wählen Sie eine der folgenden Optionen aus, um zu sehen, ob CMEK aktiviert ist:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Cloud External Key Manager (Cloud EKM) verwenden

Um Daten in Instanzen von Looker (Google Cloud Core) zu schützen, können Sie Schlüssel verwenden, die Sie über einen unterstützten Partner für die externe Schlüsselverwaltung verwalten. Weitere Informationen finden Sie auf der Dokumentationsseite zu Cloud External Key Manager, einschließlich des Abschnitts Hinweise.

Wenn Sie bereit sind, einen Cloud EKM-Schlüssel zu erstellen, lesen Sie den Abschnitt Funktionsweise der Dokumentationsseite Cloud External Key Manager. Geben Sie nach dem Erstellen eines Schlüssels den Schlüsselnamen an, wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen.

Google hat keinen Einfluss auf die Verfügbarkeit von Schlüsseln in einem externen Schlüsselverwaltungs-Partnersystem.

Schlüssel rotieren

Wir empfehlen, den Schlüssel zu rotieren, um die Sicherheit zu erhöhen. Bei jeder Schlüsselrotation wird eine neue Schlüsselversion erstellt. Weitere Informationen zur Schlüsselrotation finden Sie auf der Dokumentationsseite Schlüsselrotation.

Wenn Sie den Schlüssel rotieren, der zum Schutz Ihrer Looker (Google Cloud Core)-Instanz verwendet wird, ist die vorherige Schlüsselversion weiterhin erforderlich, um auf Sicherungen oder Exporte zuzugreifen, die bei der Verwendung dieser Schlüsselversion erstellt wurden. Aus diesem Grund empfiehlt Google, die vorherige Schlüsselversion nach der Rotation mindestens 45 Tage lang aktiviert zu lassen, um sicherzustellen, dass diese Elemente weiterhin zugänglich sind. Schlüsselversionen werden standardmäßig beibehalten, bis sie deaktiviert oder gelöscht werden.

Schlüsselversionen deaktivieren und reaktivieren

Weitere Informationen finden Sie auf den folgenden Dokumentationsseiten:

• Aktivierte Schlüsselversion deaktivieren
• Deaktivierte Schlüsselversion aktivieren

Wenn eine Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, deaktiviert ist, muss die Looker (Google Cloud Core)-Instanz den Betrieb beenden, alle unverschlüsselten sensiblen Daten, die sich möglicherweise im Speicher befinden, löschen und warten, bis der Schlüssel wieder verfügbar ist. So läuft der Vorgang ab:

1. Die Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist deaktiviert.
2. Innerhalb von etwa 15 Minuten erkennt die Instanz von Looker (Google Cloud Core), dass die Schlüsselversion widerrufen wurde, stellt den Betrieb ein und löscht alle verschlüsselten Daten im Arbeitsspeicher.
3. Wenn die Instanz nicht mehr ausgeführt wird, wird bei Aufrufen der Looker-APIs eine Fehlermeldung zurückgegeben.
4. Nachdem die Instanz den Betrieb beendet hat, gibt die Benutzeroberfläche von Looker (Google Cloud Core) eine Fehlermeldung zurück.
5. Wenn Sie die Schlüsselversion wieder aktivieren, müssen Sie einen Neustart der Instanz manuell auslösen.

Wenn Sie eine Schlüsselversion deaktivieren und nicht darauf warten möchten, dass die Looker (Google Cloud Core)-Instanz von selbst beendet wird, können Sie einen Instanzneustart manuell auslösen, damit die Looker (Google Cloud Core)-Instanz die widerrufene Schlüsselversion sofort erkennt.

Schlüsselversionen löschen

Weitere Informationen finden Sie auf der folgenden Dokumentationsseite:

• Schlüsselversionen löschen und wiederherstellen

Wenn eine Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, gelöscht wird, ist die Looker-Instanz nicht mehr zugänglich. Die Instanz muss gelöscht werden. Sie können nicht mehr auf ihre Daten zugreifen.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, was Sie tun können, wenn Sie beim Einrichten oder Verwenden von CMEK-fähigen Instanzen eine Fehlermeldung erhalten.

Looker (Google Cloud Core)-Administratorvorgänge wie das Erstellen oder Aktualisieren können aufgrund von Cloud KMS-Fehlern und fehlenden Rollen oder Berechtigungen fehlschlagen. Häufige Gründe für einen Fehler sind eine fehlende Cloud KMS-Schlüsselversion, eine deaktivierte oder gelöschte Cloud KMS-Schlüsselversion, unzureichende IAM-Berechtigungen für den Zugriff auf die Cloud KMS-Schlüsselversion oder wenn sich die Cloud KMS-Schlüsselversion in einer anderen Region als die Looker (Google Cloud Core)-Instanz befindet. Verwenden Sie die folgende Tabelle zur Fehlerbehebung, um häufige Probleme zu diagnostizieren und zu beheben.

Tabelle zur Fehlerbehebung für vom Kunden verwaltete Verschlüsselungsschlüssel

Nächste Schritte

• Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten
• Administratoreinstellungen für Looker (Google Cloud Core)