Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln

Secure Source Manager verschlüsselt inaktive Kundendaten standardmäßig. Secure Source Manager übernimmt die Verschlüsselung für Sie. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Secure Source Manager verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Secure Source Manager-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Cloud KMS kann in einem separaten Projekt ausgeführt werden, in dem Sie Schlüssel für mehrere Projekte zentral verwalten, oder im selbenGoogle Cloud -Projekt wie Secure Source Manager. Um die Aufgabentrennung zu unterstützen und eine bessere Kontrolle über den Zugriff auf Schlüssel zu ermöglichen, empfehlen wir, Schlüssel in einem separaten Projekt zu erstellen und zu verwalten, das keine anderen Google CloudRessourcen enthält.

Sie weisen einen Cloud KMS-Schlüssel beim Erstellen einer Instanz zu. Der Verschlüsselungsmechanismus einer vorhandenen Instanz kann nicht geändert werden. Wenn Sie eine CMEK-verschlüsselte Instanz haben, können Sie den Verschlüsselungsmechanismus nicht in die Google-Standardverschlüsselung ändern oder einen anderen Cloud Key Management Service-Schlüssel für die Verschlüsselung zuweisen.

Die Instanz muss am selben Standort wie der Cloud KMS-Schlüssel erstellt werden.

Wenn Sie CMEK in Secure Source Manager verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Instanzen verbrauchen diese Kontingente bei der Erstellung. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

CMEK-Schlüssel erstellen und Berechtigungen gewähren

In der folgenden Anleitung wird beschrieben, wie Sie einen Schlüssel erstellen und dem Secure Source Manager-Dienstkonto Berechtigungen für den Schlüssel gewähren.

1. Im Google Cloud -Projekt, in dem Sie Ihre Schlüssel verwalten möchten:

   1. Aktivieren Sie die Cloud KMS API.

   2. Erstellen Sie einen Schlüsselbund und einen Schlüssel mit einer der folgenden Optionen:

      • Erstellen Sie den Schlüsselbund und den Schlüssel direkt in Cloud KMS.
      • Verwenden Sie einen extern verwalteten Schlüssel. Erstellen Sie den externen Schlüssel und erstellen Sie dann einen Cloud EKM-Schlüssel, um den Schlüssel über Cloud KMS verfügbar zu machen.

      Der Schlüsselstandort von Cloud KMS muss mit dem Standort des Projekts übereinstimmen, in dem Sie die Secure Source Manager-Instanz erstellen möchten.

2. Wenn Sie die erste Secure Source Manager-Instanz in Ihrem Projekt erstellen, müssen Sie den Secure Source Manager-Dienst-Agent manuell erstellen, indem Sie den folgenden Befehl ausführen:

   gcloud beta services identity create \
   --service=securesourcemanager.googleapis.com \
   --project=PROJECT
   

   Dabei ist PROJECT die Projekt-ID des Projekts, in dem Sie Ihre Secure Source Manager-Instanz erstellen.

   Nachdem Sie das P4SA (Per-Project-Per-Product Service Account) erstellt haben, müssen Sie dem Prinzipal service-PROJECT-NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.comdie Rolle „Secure Source Manager Service Agent“ (roles/securesourcemanager.serviceAgent) zuweisen, da die Instanzerstellung sonst fehlschlägt.

3. Weisen Sie dem Secure Source Manager-Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.

   Console

   1. Rufen Sie die Seite Schlüsselverwaltung auf.

      Key Management aufrufen

   2. Wählen Sie den gewünschten Schlüsselbund aus, öffnen Sie die Seite Schlüsselbunddetails und wählen Sie dann den erstellten Schlüssel aus.

   3. Gewähren Sie Zugriff auf das Secure Source Manager-Dienstkonto:

      1. Klicken Sie auf GRUNDSATZ HINZUFÜGEN.
      2. Fügen Sie das Secure Source Manager-Dienstkonto hinzu. Das Dienstkonto ist service-PROJECT-NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com, wobei PROJECT-NUMBER die Projektnummer des Google Cloud Projekts ist, in dem Secure Source Manager aktiviert ist.
      3. Wählen Sie unter Rolle auswählen die Option Cloud KMS > Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
      4. Klicken Sie auf SPEICHERN.

   4. Wiederholen Sie den vorherigen Schritt, um Zugriff auf das Konto zu gewähren, mit dem die Secure Source Manager-Instanz erstellt wird.

   5. Kehren Sie zur Seite Schlüsselverwaltung zurück, wählen Sie Ihren Schlüsselbund aus und öffnen Sie die Seite Schlüsselbunddetails. Wählen Sie dann den Schlüssel noch einmal aus.

   6. Wählen Sie das Optionsfeld Infofeld ansehen aus. In der Spalte Rolle/Mitglied sollten die Rollen angezeigt werden.

   gcloud

   1. Führen Sie den folgenden Befehl aus, um Zugriff auf das Secure Source Manager-Dienstkonto zu gewähren:

      gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
             KEY_NAME --location LOCATION --keyring=KEY_RING \
             --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com \
             --role roles/cloudkms.cryptoKeyEncrypterDecrypter
      

      Ersetzen Sie Folgendes:

      • PROJECT: die ID des Projekts, das den Schlüssel enthält
      • KEY_NAME: der Schlüsselname
      • LOCATION: Der Speicherort des Schlüssels. Der Schlüsselspeicherort muss mit dem Speicherort des Projekts übereinstimmen, in dem Sie eine Secure Source Manager-Instanz bereitstellen möchten.
      • KEY_RING ist der Name des Schlüsselbunds.
      • PROJECT_NUMBER: die Projektnummer desGoogle Cloud -Projekts, für das Secure Source Manager aktiviert ist

   2. Wiederholen Sie den vorherigen Schritt, um Zugriff auf das Konto zu gewähren, mit dem die Secure Source Manager-Instanz erstellt wird.

   Weitere Informationen zu diesem Befehl finden Sie in der Dokumentation zu gcloud kms keys add-iam-policy-binding.

Zugriff entfernen

Es gibt verschiedene Möglichkeiten, um den Zugriff auf ein mit CMEK verschlüsseltes Repository wieder aufzuheben:

• Widerrufen Sie die Rolle „Cloud KMS CryptoKey Encrypter/Decrypter“ aus dem Secure Source Manager-Dienstkonto mithilfe der Google Cloud -Konsole oder der gcloud CLI.
• Deaktivieren Sie vorübergehend den CMEK-Schlüssel.
• Löschen Sie endgültig den CMEK-Schlüssel.

Wir empfehlen, die Berechtigungen des Secure Source Manager-Dienstkontos zu widerrufen, bevor Sie einen Schlüssel deaktivieren oder löschen. Die Änderung von Berechtigungen wird innerhalb von Sekunden wirksam, sodass Sie sofort nachvollziehen können, wie sich das Deaktivieren oder Löschen eines Schlüssels auswirkt.

Wenn Sie den Verschlüsselungsschlüssel für eine Instanz deaktivieren oder löschen, können Sie die Daten der Instanz nicht mehr aufrufen oder abrufen. Auf alle in der Instanz gespeicherten Daten kann dann nicht mehr zugegriffen werden. Dies gilt auch für den Codeverlauf, Pull-Anfragen und Probleme.

Nutzer mit der Rolle „Secure Source Manager Instance Manager“ oder „Instanzinhaber“ können die Instanz löschen.

CMEK-Organisationsrichtlinien

Secure Source Manager unterstützt Einschränkungen für Organisationsrichtlinien, die einen CMEK-Schutz erfordern können.

Mit Richtlinien kann eingeschränkt werden, welche Cloud KMS CryptoKeys für den CMEK-Schutz verwendet werden können.

• Wenn sich die Secure Source Manager API in der Richtlinienliste Deny der Dienste der Einschränkung constraints/gcp.restrictNonCmekServices befindet, lehnt Secure Source Manager das Erstellen neuer Instanzen ab, die nicht CMEK-geschützt sind.

• Wenn constraints/gcp.restrictCmekCryptoKeyProjects konfiguriert ist, erstellt Secure Source Manager CMEK-geschützte Instanzen, die durch einen CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation geschützt sind.

Weitere Informationen zum Konfigurieren von Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Nächste Schritte

• Mit CMEK verschlüsselte Instanz bereitstellen
• Weitere Informationen zu CMEK
• Mehr über die Standardverschlüsselung von Google erfahren