本頁面由 Cloud Translation API 翻譯而成。

為 Security Command Center 啟用 CMEK

根據預設，Security Command Center 會加密靜態儲存的客戶內容。Security Command Center 會為您處理加密作業，您不必採取任何其他動作。這項做法稱為「Google 預設加密」。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，並搭配 Security Command Center 等整合 CMEK 的服務。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪換時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 還能追蹤金鑰用量、查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK)，而不是由 Google 擁有及管理這些金鑰。

使用 CMEK 設定資源後，存取 Security Command Center 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項，請參閱「客戶管理的加密金鑰 (CMEK)」。

為支援職責分離，並進一步控管金鑰存取權，建議您在不含其他 Google Cloud 資源的獨立專案中建立及管理金鑰。

如要在 Security Command Center 中使用 CMEK，您必須在為機構啟用 Security Command Center 時設定 CMEK。在專案層級啟用時，無法設定 CMEK。詳情請參閱「為機構啟用 Security Command Center Standard 或 Premium」。

在 Security Command Center 中使用 CMEK 時，專案可能會耗用 Cloud KMS 密碼編譯要求配額。在 Security Command Center 中讀取或寫入資料時，以 CMEK 加密的執行個體會耗用配額。只有在使用硬體 (Cloud HSM) 或外部 (Cloud EKM) 金鑰時，使用 CMEK 金鑰的加密和解密作業才會影響 Cloud KMS 配額。詳情請參閱 Cloud KMS 配額。

CMEK 會加密 Security Command Center 和 Security Command Center API 中的下列資料：

發現項目
通知設定
BigQuery 匯出
忽略設定

事前準備

為 Security Command Center 設定 CMEK 前，請先完成下列工作：

安裝並初始化 Google Cloud CLI：
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
建立啟用 Cloud KMS 的專案。 Google Cloud 這是您的重要專案。
在正確位置建立金鑰環。金鑰環位置必須與您打算啟用 Security Command Center 的位置相符。如要查看各個 Security Command Center 區域對應的金鑰環位置，請參閱本文「金鑰位置」一節中的表格。如要進一步瞭解如何建立金鑰環，請參閱建立金鑰環。
在金鑰環上建立 Cloud KMS 金鑰。如要進一步瞭解如何在金鑰環上建立金鑰，請參閱「建立金鑰」。
為確保 Cloud Security Command Center 服務帳戶具備加密及解密資料的必要權限，請管理員在 Cloud KMS 金鑰上，授予 Cloud Security Command Center 服務帳戶 Cloud KMS CryptoKey 加密者/解密者 (roles/cloudkms.cryptoKeyEncrypterDecrypter) IAM 角色。
重要事項：您必須將這個角色授予 Cloud Security Command Center 服務帳戶，而非使用者帳戶。如果未將角色授予正確的主體，可能會導致權限錯誤。
如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

管理員或許還可透過自訂角色或其他預先定義的角色，將必要權限授予 Cloud Security Command Center 服務帳戶。

金鑰位置

Cloud KMS 金鑰的位置必須與您啟用 Security Command Center 的位置相符。請參閱下表，找出與 Security Command Center 位置對應的 Cloud KMS 金鑰位置。

Security Command Center 位置	Cloud KMS 金鑰位置
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

如果您在啟用 Security Command Center 時未啟用資料落地功能，請使用 global 做為 Security Command Center 位置，並使用 us 做為 Cloud KMS 金鑰位置。如要進一步瞭解資料落地，請參閱「規劃資料落地」。

限制

如果啟用的機構包含一或多個使用 Security Command Center 的專案，則無法為該機構的 Security Command Center 使用 CMEK。

啟用 Security Command Center 後，您就無法變更 Cloud KMS 金鑰或切換至Google-owned and Google-managed encryption key 。

您可以輪替金鑰，讓 Security Command Center 使用新的金鑰版本。不過，部分 Security Command Center 功能仍會使用舊金鑰 30 天。

為 Security Command Center 設定 CMEK

如要在 Security Command Center 中使用 CMEK，請按照下列步驟操作：

為機構設定 Security Command Center 時，請在「選取服務」頁面的「資料加密」下方，選取「變更資料加密金鑰管理解決方案 (選用)」。系統會開啟「加密」選項。
選取「Cloud KMS 金鑰」。
選取專案。
選取金鑰。您可以從任何 Google Cloud 專案選取金鑰，包括您要啟用專案的機構以外的專案。清單中只會顯示相容位置的鑰匙。如要進一步瞭解 Security Command Center 的 CMEK 金鑰位置，請參閱「金鑰位置」一節中的表格。

授予角色並完成 Security Command Center 設定後，Security Command Center 會使用您選擇的 Cloud KMS 金鑰加密資料。

檢查 CMEK 設定

如要確認您已為 Security Command Center 成功設定 CMEK，請按照下列步驟操作：

在 Security Command Center 中選取「設定」。
前往「層級詳細資料」分頁。
在「設定詳細資料」> 資料加密中，如果已設定 Security Command Center 的 CMEK，金鑰名稱會顯示為「資料加密」後的連結。

定價

在 Security Command Center Standard 和 Premium 中啟用 CMEK 不會產生額外費用，但 Security Command Center 使用 CMEK 加密及解密資料時，Cloud KMS 會收取費用。詳情請參閱 Cloud KMS 定價。

還原 Security Command Center 的存取權

啟用 CMEK 後，Security Command Center 服務帳戶必須具備 Cloud KMS 金鑰的存取權，才能正常運作。請勿撤銷服務帳戶的 CMEK 權限、停用 CMEK 或排定銷毀 CMEK。這些動作都會導致下列 Security Command Center 功能停止運作：

發現項目
持續匯出設定
BigQuery 匯出
忽略規則

如果嘗試在 Cloud KMS 金鑰無法使用時使用 Security Command Center，您會在 Security Command Center 中看到錯誤訊息，或在 API 中看到 FAILED_PRECONDITION 錯誤。

如果 Cloud KMS 金鑰發生下列情況，您可能會失去 Security Command Center 功能：

服務帳戶的金鑰可能已撤銷 Cloud KMS CryptoKey Encrypter/Decrypter 角色。金鑰遭撤銷後，您可以還原 Security Command Center 的存取權。
Cloud KMS 金鑰可能已停用。金鑰停用後，您可以還原 Security Command Center 的存取權。
金鑰可能已排定刪除時間。您可以在金鑰排定銷毀時間後還原 Security Command Center 的存取權。

在金鑰遭撤銷後還原 Security Command Center 的存取權

如要還原 Security Command Center 中金鑰的存取權，請授予Cloud Security Command Center 服務帳戶金鑰的 Cloud KMS CryptoKey Encrypter/Decrypter 角色：

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

更改下列內容：

KEY_RING：Cloud KMS 金鑰的金鑰環
LOCATION：Cloud KMS 金鑰的位置
KEY_NAME：Cloud KMS 金鑰的名稱
ORG_NUMBER：貴機構的號碼

在停用金鑰後還原 Security Command Center 的存取權

如要進一步瞭解如何啟用已停用的金鑰，請參閱「啟用金鑰版本」。

在排定刪除金鑰後還原 Security Command Center 的存取權

如要進一步瞭解如何還原已排定刪除的金鑰，請參閱「刪除與還原金鑰版本」一文。

金鑰刪除後就無法復原，也無法還原 Security Command Center 的存取權。