CMEK für Looker (Google Cloud-Kern) aktivieren

Standardmäßig verschlüsselt Google Cloud ruhende Daten mit den von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie für die Schlüssel zum Schutz Ihrer Daten spezielle Compliance- oder regulatorische Anforderungen haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs) für die Verschlüsselung von Looker (Google Cloud-Kern) auf Anwendungsebene verwenden.

Weitere Informationen zu CMEK im Allgemeinen und wann dieser aktiviert werden sollte, finden Sie in der Dokumentation zu Cloud Key Management Service.

Auf dieser Seite wird beschrieben, wie Sie eine Looker-Instanz (Google Cloud Core) für die Verwendung von CMEK konfigurieren.

Wie funktioniert Looker (Google Cloud-Kern) mit CMEK?

Looker (Google Cloud-Kern) verwendet einen einzelnen CMEK-Schlüssel (über eine Hierarchie von sekundären Schlüsseln), um die sensiblen Daten zu schützen, die von der Looker (Google Cloud Core)-Instanz verwaltet werden. Während des Starts sendet jeder Prozess innerhalb der Looker-Instanz einen ersten Aufruf an den Cloud Key Management Service (KMS), um den Schlüssel zu entschlüsseln. Während des normalen Betriebs (nach dem Start) sendet die gesamte Looker-Instanz etwa alle fünf Minuten einen einzelnen Aufruf an KMS, um zu prüfen, ob der Schlüssel noch gültig ist.

Welche Arten von Looker-Instanzen (Google Cloud-Kern) unterstützen CMEK?

Looker-Instanzen (Google Cloud-Kern) unterstützen CMEK, wenn zwei Kriterien erfüllt sind:

  • Die auf dieser Seite beschriebenen CMEK-Konfigurationsschritte werden ausgeführt, bevor die Looker-Instanz (Google Cloud-Kern) erstellt wird. Sie können vom Kunden verwaltete Verschlüsselungsschlüssel nicht auf vorhandenen Instanzen aktivieren.
  • Instanzversionen müssen Enterprise oder Embed haben.

Workflow zum Erstellen einer Looker-Instanz (Google Cloud-Kern) mit CMEK

Auf dieser Seite werden Sie durch die folgenden Schritte geführt, wie Sie CMEK für eine Looker-Instanz (Google Cloud Core) einrichten.

  1. Richten Sie Ihre Umgebung ein.
  2. Nur gcloud CLI und API-Nutzer:Erstellen Sie ein Dienstkonto für jedes Projekt, das vom Kunden verwaltete Verschlüsselungsschlüssel erfordert.
  3. Erstellen Sie einen Schlüsselbund und Schlüssel und legen Sie die Position des Schlüssels fest. Der Standort ist die Google Cloud-Region.
  4. Nur gcloud CLI und API-Nutzer:Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel, zusammen mit der ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
  5. Nur gcloud CLI und API-Nutzer:Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel.
  6. Rufen Sie ein Projekt auf und erstellen Sie eine Looker-Instanz (Google Cloud Core) mit den folgenden Optionen:
    1. Wählen Sie denselben Standort wie im vom Kunden verwalteten Verschlüsselungsschlüssel aus.
    2. Legen Sie für die Version Enterprise oder Embed fest.
    3. Aktivieren Sie die Konfiguration für Vom Kunden verwalteter Schlüssel.
    4. Fügen Sie den vom Kunden verwalteten Verschlüsselungsschlüssel entweder nach Name oder nach ID hinzu.

Sobald alle diese Schritte ausgeführt wurden, wird Ihre Looker-Instanz (Google Cloud Core) mit CMEK aktiviert.

Hinweise

Falls noch nicht geschehen, konfigurieren Sie Ihre Umgebung so, dass Sie der Anleitung auf dieser Seite folgen können. Führen Sie die Schritte in diesem Abschnitt aus, um Ihre Konfiguration zu überprüfen.

  1. Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines. Hinweis:Wenn Sie die in diesem Verfahren erstellten Ressourcen nicht behalten möchten, erstellen Sie ein neues Projekt, statt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen. Dadurch werden die mit dem Projekt verknüpften Ressourcen entfernt.

    Zur Projektauswahl

  2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So überprüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.
  3. Sie benötigen die Looker-Administratorrolle für Ihr Nutzerkonto.
  4. Installieren Sie die Google Cloud CLI.

  5. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  6. die Cloud Key Management Service API aktivieren

    API aktivieren

  7. die Looker (Google Cloud Core) API aktivieren

    API aktivieren

Dienstkonto erstellen

Wenn Sie die gcloud CLI oder die API verwenden, um eine Looker-Instanz (Google Cloud Core) zu erstellen, müssen Sie für jedes Google Cloud-Projekt ein Dienstkonto erstellen, das kundenverwaltete Verschlüsselungsschlüssel erfordert. Wenn Sie mehr als eine Looker-Instanz (Google Cloud-Kern) in einem Projekt erstellen möchten, gilt dasselbe Dienstkonto für alle Looker-Instanzen (Google Cloud-Kern) in diesem Projekt. Die Erstellung des Dienstkontos muss nur einmal erfolgen. Wenn Sie zum Erstellen einer Instanz die Console verwenden, wird das Dienstkonto automatisch von Looker (Google Cloud-Kern) erstellt, wenn Sie die Option Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden zum ersten Mal auswählen.

Gewähren Sie eine der folgenden Rollen, um zuzulassen, dass ein Nutzer Dienstkonten verwalten kann:

  • Dienstkontonutzer (roles/iam.serviceAccountUser): Umfasst Berechtigungen zum Auflisten von Dienstkonten, zum Abrufen von Details zu einem Dienstkonto und zum Übernahme der Identität eines Dienstkontos.
  • Dienstkontoadministrator (roles/iam.serviceAccountAdmin): Umfasst Berechtigungen zum Auflisten von Dienstkonten und zum Abrufen von Details zu einem Dienstkonto. Umfasst auch die Berechtigungen zum Erstellen, Aktualisieren und Löschen von Dienstkonten.

Derzeit können Sie mit gcloud CLI nur die Art von Dienstkonto erstellen, die Sie für vom Kunden verwaltete Verschlüsselungsschlüssel benötigen. Wenn Sie die Google Cloud Console verwenden, erstellt Looker (Google Cloud-Kern) dieses Dienstkonto automatisch für Sie.

gcloud

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Der vorherige Befehl gibt den Namen eines Dienstkontos zurück. Sie verwenden diesen Dienstkontonamen während des Vorgangs unter Dienstkonto Zugriff auf den Schlüssel gewähren.

Schlüsselbund und Schlüssel erstellen

Hinweis:Sie können einen extern verwalteten Schlüssel mit CMEK verwenden, um den Cloud EKM-Dienst zu verwenden, um den Schlüssel über Cloud KMS verfügbar zu machen.

Sie können den Schlüssel im selben Google Cloud-Projekt wie die Looker-Instanz (Google Cloud-Kern) oder in einem separaten Nutzerprojekt erstellen. Der Cloud KMS-Schlüsselbund muss mit der Region übereinstimmen, in der Sie die Looker-Instanz (Google Cloud Core) erstellen möchten. Ein multiregionaler oder globaler Regionsschlüssel funktioniert nicht. Die Anfrage zum Erstellen der Looker-Instanz (Google Cloud-Kern) schlägt fehl, wenn die Regionen nicht übereinstimmen.

Folgen Sie der Anleitung auf den Dokumentationsseiten Schlüsselbund erstellen und Schlüssel erstellen, um einen Schlüsselbund und Schlüssel zu erstellen, der die folgenden beiden Kriterien erfüllt:

  • Das Feld Speicherort des Schlüsselbunds muss mit der Region übereinstimmen, die Sie für die Looker-Instanz (Google Cloud-Kern) festlegen.
  • Das Schlüsselfeld Zweck muss Symmetrisches Ver-/Entschlüsseln sein.

Weitere Informationen zum Rotieren des Schlüssels und zum Erstellen neuer Schlüsselversionen finden Sie im Abschnitt Schlüssel rotieren.

KMS_KEY_ID oder KMS_KEYRING_ID kopieren oder notieren

Wenn Sie gcloud oder die API zum Einrichten Ihrer Looker-Instanz (Google Cloud-Kern) verwenden, folgen Sie der Anleitung auf der Dokumentationsseite Cloud KMS-Ressourcen-ID abrufen, um die Ressourcen-IDs für den Schlüsselbund und den Schlüssel zu finden, den Sie gerade erstellt haben. Kopieren oder notieren Sie sich die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel

Sie müssen diesen Schritt nur ausführen, wenn Sie die gcloud CLI oder die API verwenden. Verwenden Sie für SERVICE_ACCOUNT_NAME den Dienstkontonamen, der beim Erstellen des Dienstkontos zurückgegeben wurde.

So gewähren Sie dem Dienstkonto Zugriff:

gcloud

gcloud Cloud KMS keys add-iam-policy-binding KMS_KEY_ID \
--location=GCP_REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Looker-Instanz (Google Cloud Core) mit CMEK erstellen

Wenn Sie eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln in der Google Cloud Console erstellen möchten, führen Sie zuerst die Schritte im Abschnitt Schlüsselbund und Schlüssel erstellen aus, um einen Schlüsselbund und Schlüssel in derselben Region zu erstellen, die Sie für Ihre Looker (Google Cloud Core)-Instanz verwenden möchten. Folgen Sie als Nächstes unter Verwendung der folgenden Einstellungen der Anleitung zum Erstellen einer Looker-Instanz (Google Cloud Core) auf der Seite Looker (Google Cloud Core) über die Google Cloud Console-Dokumentationsseite.

Console

  1. Im Abschnitt Version der Seite Instanz erstellen müssen Sie eine Enterprise- oder eine Embed-Version auswählen, um CMEK zu verwenden.
  2. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Verschlüsselung das Optionsfeld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Das Drop-down-Menü Vom Kunden verwalteten Schlüssel auswählen wird angezeigt.
  3. Legen Sie im Feld Vom Kunden verwalteten Schlüssel auswählen den Schlüssel fest, den Sie verwenden möchten. Der Schlüssel muss sich in einem Schlüsselbund befinden, dessen Standort auf dieselbe Region wie die von Ihnen erstellte Looker-Instanz (Google Cloud-Kern) festgelegt ist. Andernfalls schlägt die Instanzerstellung fehl. Sie können den Schlüssel auf eine der folgenden zwei Arten auswählen:
    1. Wählen Sie den Namen des Schlüssels aus der Drop-down-Liste aus:Die in Ihrem Google Cloud-Projekt verfügbaren Schlüssel werden in einer Drop-down-Liste angezeigt. Klicken Sie auf OK, nachdem Sie den Schlüssel ausgewählt haben.
    2. Geben Sie die Ressourcen-ID des Schlüssels ein:Klicken Sie auf den Text Sie können Ihren Schlüssel nicht finden? Geben Sie die Ressourcen-ID des Schlüssels ein. Diese finden Sie unten im Drop-down-Menü. Daraufhin wird das Dialogfeld Ressourcen-ID für Schlüssel eingeben geöffnet, in dem Sie die ID des Schlüssels eingeben können. Nachdem Sie die ID eingegeben haben, wählen Sie Speichern aus.
  4. Nachdem Sie einen Schlüssel ausgewählt haben, werden Sie in einer Meldung aufgefordert, dem Dienstkonto die Berechtigung zur Verwendung des Schlüssels zu erteilen. Klicken Sie auf die Schaltfläche Gewähren.
  5. Wenn das Dienstkonto keine Berechtigung zum Verschlüsseln/Entschlüsseln mit dem ausgewählten Schlüssel hat, wird eine Meldung angezeigt. Klicken Sie in diesem Fall auf Erteilen, um dem Dienstkonto die roles/cloudkms.cryptoKeyEncrypterDecrypter IAM-Rolle für den ausgewählten KMS-Schlüssel zu gewähren.
  6. Nachdem Sie die Konfiguration der Looker-Instanz (Google Cloud-Kern) abgeschlossen haben, klicken Sie auf Erstellen.

gcloud

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION

Zum Aktivieren von CMEK müssen Sie core-embed-annual oder core-enterprise-annual --edition zuweisen.

Ihre Looker-Instanz (Google Cloud-Kern) wurde jetzt mit CMEK aktiviert.

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Nachdem Sie eine Looker-Instanz (Google Cloud-Kern) erstellt haben, können Sie prüfen, ob CMEK aktiviert ist.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Looker-Instanzen auf.
  2. Klicken Sie auf einen Instanznamen, um die Seite Details zu öffnen. Wenn eine Instanz CMEK aktiviert hat, wird in der Zeile Verschlüsselung die für die Instanz verwendete Verschlüsselung angegeben. Das Feld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) enthält die Schlüsselkennung.

gcloud

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Mit diesem Befehl sollten ein kmsKeyName, ein kmsKeyNameVersion und ein kmsKeyState zurückgegeben werden, um zu bestätigen, dass die Instanz mit CMEK konfiguriert wurde.

Cloud External Key Manager (Cloud EKM) verwenden

Zum Schutz von Daten in Looker-Instanzen (Google Cloud-Kern) können Sie Schlüssel verwenden, die Sie in einem unterstützten Partner für die externe Schlüsselverwaltung verwalten. Weitere Informationen finden Sie auf der Dokumentationsseite zu Cloud External Key Manager, einschließlich des Abschnitts Überlegungen.

Informationen zum Erstellen eines Cloud EKM-Schlüssels finden Sie im Abschnitt Funktionsweise der Dokumentation zu Cloud External Key Manager. Geben Sie nach dem Erstellen eines Schlüssels den Schlüsselnamen an, wenn Sie eine Looker-Instanz (Google Cloud Core) erstellen.

Google hat keinen Einfluss auf die Verfügbarkeit der Schlüssel in einem externen Partnersystem für die Schlüsselverwaltung.

Schlüssel rotieren

Sie können Ihren Schlüssel rotieren, um die Sicherheit zu erhöhen. Bei jeder Rotation Ihres Schlüssels wird eine neue Schlüsselversion erstellt. Weitere Informationen zur Schlüsselrotation finden Sie auf der Dokumentationsseite zur Schlüsselrotation.

Wenn Sie den Schlüssel rotieren, der zum Sichern Ihrer Looker-Instanz (Google Cloud Core) verwendet wird, ist die vorherige Schlüsselversion weiterhin für den Zugriff auf Sicherungen oder Exporte erforderlich, die erstellt wurden, als diese Schlüsselversion verwendet wurde. Aus diesem Grund empfiehlt Google, die vorherige Schlüsselversion nach der Rotation mindestens 45 Tage lang zu aktivieren, damit weiterhin auf diese Elemente zugegriffen werden kann. Schlüsselversionen werden standardmäßig aufbewahrt, bis sie deaktiviert oder gelöscht werden.

Schlüsselversionen deaktivieren und reaktivieren

Siehe folgende Dokumentationsseiten:

Wenn eine Schlüsselversion, die zum Sichern einer Looker-Instanz (Google Cloud Core) verwendet wird, deaktiviert wird, muss die Looker-Instanz (Google Cloud Core) den Betrieb beenden, alle unverschlüsselten sensiblen Daten löschen, die sich im Arbeitsspeicher befinden, und warten, bis der Schlüssel wieder verfügbar ist. So läuft der Vorgang ab:

  1. Die Schlüsselversion, die zum Sichern einer Looker-Instanz (Google Cloud Core-Instanz) verwendet wird, ist deaktiviert.
  2. Innerhalb von etwa 15 Minuten erkennt die Looker-Instanz (Google Cloud Core), dass die Schlüsselversion widerrufen wurde, beendet ihren Betrieb und löscht alle verschlüsselten Daten im Arbeitsspeicher.
  3. Nachdem die Instanz nicht mehr funktioniert, geben Aufrufe an Looker APIs eine Fehlermeldung zurück.
  4. Nachdem die Instanz nicht mehr funktioniert, gibt die Looker-Benutzeroberfläche (Google Cloud-Kern) eine Fehlermeldung zurück.
  5. Wenn Sie die Schlüsselversion wieder aktivieren, müssen Sie einen Neustart der Instanz manuell auslösen.

Wenn Sie eine Schlüsselversion deaktivieren und nicht warten möchten, bis die Looker-Instanz (Google Cloud-Kern) automatisch beendet wird, können Sie einen Instanzneustart manuell starten. Die Looker-Instanz (Google Cloud Core) erkennt dann die widerrufene Schlüsselversion sofort.

Schlüsselversionen löschen

Weitere Informationen finden Sie auf der folgenden Dokumentationsseite:

Wenn eine Schlüsselversion gelöscht wird, die zum Sichern einer Looker-Instanz (Google Cloud-Kern) verwendet wird, kann nicht mehr auf die Looker-Instanz zugegriffen werden. Die Instanz muss gelöscht werden und Sie können nicht mehr auf ihre Daten zugreifen.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, was Sie tun können, wenn Sie bei der Einrichtung oder Verwendung von CMEK-fähigen Instanzen eine Fehlermeldung erhalten.

Die Vorgänge von Looker (Google Cloud-Kern) wie die Erstellung oder Aktualisierung können aufgrund von Cloud KMS-Fehlern und fehlenden Rollen oder Berechtigungen fehlschlagen. Häufige Gründe für einen Fehler sind eine fehlende Cloud KMS-Schlüsselversion, eine deaktivierte oder gelöschte Cloud KMS-Schlüsselversion, unzureichende IAM-Berechtigungen für den Zugriff auf die Cloud KMS-Schlüsselversion oder die Cloud KMS-Schlüsselversion, die sich in einer anderen Region befindet als die Looker-Instanz (Google Cloud Core). Verwende die folgende Tabelle, um häufige Probleme zu diagnostizieren und zu beheben.

Tabelle zur Fehlerbehebung für vom Kunden verwaltete Verschlüsselungsschlüssel

Fehlermeldung Mögliche Ursachen Strategien zur Fehlerbehebung
Dienstkonto pro Produkt und Projekt wurde nicht gefunden Der Name des Dienstkontos ist falsch. Prüfen Sie, ob Sie ein Dienstkonto für das richtige Nutzerprojekt erstellt haben.

Zur Seite „Dienstkonten“

Zugriff auf das Dienstkonto kann nicht gewährt werden Das Nutzerkonto ist nicht berechtigt, Zugriff auf diese Schlüsselversion zu gewähren.

Fügen Sie Ihrem Nutzer- oder Dienstkonto die Rolle Organisationsadministrator hinzu.

Zur Seite „IAM-Konten“
Die Cloud KMS-Schlüsselversion wurde gelöscht. Die Schlüsselversion wurde gelöscht. Wenn die Schlüsselversion gelöscht wurde, können Sie sie nicht zum Verschlüsseln oder Entschlüsseln von Daten verwenden. Die Looker-Instanz (Google Cloud-Kern) muss gelöscht werden.
Die Cloud KMS-Schlüsselversion ist deaktiviert. Die Schlüsselversion ist deaktiviert.

Aktivieren Sie die Cloud KMS-Schlüsselversion noch einmal.

ZUR SEITE „WICHTIGE VERWALTUNG“
Unzureichende Berechtigung zur Verwendung des Cloud KMS-Schlüssels Die Rolle cloudkms.cryptoKeyEncrypterDecrypter fehlt beim Nutzer- oder Dienstkonto, das Sie zum Ausführen von Vorgängen auf Looker-Instanzen (Google Cloud-Kern) verwenden, oder die Cloud KMS-Schlüsselversion ist nicht vorhanden.

Fügen Sie Ihrem Nutzer- oder Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter hinzu.

Zur Seite „IAM-Konten“

Wenn die Rolle bereits in Ihrem Konto vorhanden ist, finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen Informationen zum Erstellen einer neuen Schlüsselversion. Führen Sie dann die Schritte zum Erstellen der Instanz noch einmal aus.
Cloud KMS-Schlüssel wurde nicht gefunden Die Schlüsselversion ist nicht vorhanden. Erstellen Sie eine neue Schlüsselversion und führen Sie die Schritte zum Erstellen der Instanz noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.
Looker-Instanz (Google Cloud Core) und Cloud KMS-Schlüsselversion befinden sich in verschiedenen Regionen Die Cloud KMS-Schlüsselversion und die Looker-Instanz (Google Cloud-Kerninstanz) müssen sich in derselben Region befinden. Es funktioniert nicht, wenn sich die Cloud KMS-Schlüsselversion in einer globalen Region oder mehreren Regionen befindet. Erstellen Sie eine Schlüsselversion in derselben Region, in der Sie Instanzen erstellen möchten, und führen Sie die Schritte zum Erstellen der Instanz noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.

Nächste Schritte