Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
In Vertex AI Workbench werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Vertex AI Workbench durchgeführt. Sie müssen nichts weiter tun. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Vertex AI Workbench verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Vertex AI Workbench-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Auf dieser Seite werden einige spezifische Vorteile und Einschränkungen der Verwendung von CMEK mit Vertex AI Workbench beschrieben. Außerdem erfahren Sie, wie Sie eine neue Vertex AI Workbench-Instanz für die Verwendung von CMEK konfigurieren.
Weitere Informationen zur Verwendung von CMEK für Vertex AI finden Sie auf der Seite zu CMEK für Vertex AI.
Vorteile von CMEK
Im Allgemeinen sind CMEK am nützlichsten, wenn Sie vollständige Kontrolle über die Schlüssel benötigen, die zum Verschlüsseln Ihrer Daten verwendet werden. Mit CMEKs können Sie Ihre Schlüssel im Cloud Key Management Service verwalten. Sie haben beispielsweise die Möglichkeit, einen Schlüssel zu rotieren oder zu deaktivieren oder einen Rotationsplan mit der Cloud KMS API einzurichten.
Wenn Sie eine Vertex AI Workbench-Instanz ausführen, wird Ihre Instanz auf einer virtuellen Maschine (VM) ausgeführt, die von Vertex AI Workbench verwaltet wird. Wenn Sie CMEK für eine Vertex AI Workbench-Instanz aktivieren, verwendet Vertex AI Workbench den von Ihnen angegebenen Schlüssel statt eines von Google verwalteten Schlüssels, um Daten auf den Bootlaufwerken der VM zu verschlüsseln.
Der CMEK-Schlüssel verschlüsselt Metadaten wie den Namen und die Region der Instanz, die mit Ihrer Vertex AI Workbench-Instanz verknüpft sind, nicht. Metadaten, die mit Vertex AI Workbench-Instanzen verknüpft sind, werden immer mit dem Standardverschlüsselungsmechanismus von Google verschlüsselt.
Einschränkungen von CMEK
Google empfiehlt, regionale Vertex AI Workbench-Instanzen mit Schlüsseln an deren Standort zu schützen, um die Latenz zu verringern und um Fälle zu vermeiden, bei denen Ressourcen von Diensten abhängen, die über mehrere fehlerhafte Domains verteilt sind.
- Um regionale Vertex AI Workbench-Instanzen zu verschlüsseln, können Sie Schlüssel am selben Standort oder an einem globalen Speicherort verwenden. Beispiel: Um Daten auf einem Laufwerk in der Zone
us-west1-a
zu verschlüsseln, nutzen Sie einen Schlüssel inus-west1
oderglobal
. - Sie können globale Instanzen mit an einem beliebigen Standort gespeicherten Schlüsseln verschlüsseln.
- Wenn Sie CMEK für Vertex AI Workbench konfigurieren, wird CMEK nicht automatisch für andere von Ihnen verwendete Google Cloud-Produkte konfiguriert. Wenn Sie CMEK zum Verschlüsseln von Daten in anderen Google Cloud-Produkten verwenden möchten, müssen Sie eine zusätzliche Konfiguration vornehmen.
CMEK für Ihre Vertex AI Workbench-Instanz konfigurieren
In den folgenden Abschnitten wird gezeigt, wie Sie einen Schlüsselbund und einen Schlüssel in Cloud Key Management Service erstellen, dem Dienstkonto-Verschlüsseler und -Entschlüsseler Berechtigungen für Ihren Schlüssel gewähren und eine Vertex AI Workbench-Instanz erstellen, die CMEK verwendet.
Hinweis
Wir empfehlen die Einrichtung einer Aufgabentrennung. Zum Konfigurieren von CMEK für Vertex AI Workbench können Sie zwei separate Google Cloud-Projekte verwenden:
- Ein Cloud KMS-Projekt: ein Projekt zur Verwaltung Ihres Verschlüsselungsschlüssels
- Ein Vertex AI Workbench-Projekt: ein Projekt für den Zugriff auf Vertex AI Workbench-Instanzen und zur Interaktion mit anderen Google Cloud-Produkten, die Sie für Ihren Anwendungsfall benötigen
Alternativ können Sie ein einzelnes Google Cloud-Projekt verwenden. Verwenden Sie dazu dasselbe Projekt für alle folgenden Aufgaben.
Cloud KMS-Projekt einrichten
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud KMS API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud KMS API.
Vertex AI Workbench-Projekt einrichten
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
Google Cloud CLI einrichten
Die gcloud CLI ist für einige Schritte auf dieser Seite erforderlich und für andere optional.Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Schlüsselbund und Schlüssel erstellen
Beachten Sie beim Erstellen von Schlüsselbund und Schlüssel folgende Anforderungen:
Für den Standort Ihres Schlüsselbunds wählen Sie entweder
global
oder den Standort aus, an dem sich Ihre Vertex AI Workbench-Instanz befindet.Achten Sie darauf, Schlüsselbund und Schlüssel in Ihrem Cloud KMS-Projekt zu erstellen.
Informationen zum Erstellen eines Schlüsselbunds und eines Schlüssels finden Sie unter Symmetrische Verschlüsselungsschlüssel erstellen.
Vertex AI Workbench-Berechtigungen erteilen
Wenn Sie CMEK für Ihre Vertex AI Workbench-Instanz verwenden möchten, müssen Sie Ihrer Vertex AI Workbench-Instanz die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel erteilen. Sie erteilen diese Berechtigung dem Dienst-Agent Ihres Projekts und dem Compute Engine-Dienstkonto.
Verwenden Sie die Google Cloud Console, um die spezifischen Konten für Ihr Vertex AI Workbench-Projekt zu finden.
Öffnen Sie in der Google Cloud Console die Seite IAM
Wählen Sie Von Google bereitgestellte Rollenzuweisungen einschließen aus.
Suchen Sie die Mitglieder mit den folgenden E-Mail-Adressformaten. Notieren Sie sich die E-Mail-Adressen und verwenden Sie sie in den folgenden Schritten.
Die E-Mail-Adresse des Dienst-Agents Ihres Projekts sieht so aus:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
Die E-Mail-Adresse des Compute Engine-Dienstkontos sieht so aus:
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
Ersetzen Sie
NOTEBOOKS_PROJECT_NUMBER
durch die Projektnummer für Ihr Vertex AI Workbench-Projekt.Wenn Sie diesen Konten die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel erteilen möchten, können Sie die Google Cloud Console oder die Google Cloud CLI verwenden.
Console
Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Wählen Sie Ihr Cloud KMS-Projekt aus.
Klicken Sie auf den Namen des Schlüsselbunds, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben. Die Seite Schlüsselbunddetails wird geöffnet.
Klicken Sie auf das Kästchen für den Schlüssel, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben. Wenn ein Infofeld mit dem Namen Ihres Schlüssels noch nicht geöffnet ist, klicken Sie auf Infofeld ansehen.
Klicken Sie im Infofeld auf
Mitglied hinzufügen. Das Dialogfeld Mitglieder zu "KEY_NAME" hinzufügen wird geöffnet. Führen Sie in diesem Dialogfeld folgende Schritte aus:Geben Sie im Feld Neue Mitglieder die E-Mail-Adresse des Dienst-Agents Ihres Projekts ein:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
Klicken Sie in der Liste Rolle auswählen auf Cloud KMS und wählen Sie dann die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Speichern.
Wiederholen Sie diese Schritte für den Compute Engine-Dienst-Agent:
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
gcloud
Führen Sie den folgenden Befehl aus, um dem Dienst-Agent Ihres Projekts die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Ersetzen Sie Folgendes:
KEY_NAME
: Den Namen des Schlüssels, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt habenKEY_RING_NAME
: Den Schlüsselbund, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt habenREGION
: Die Region, in der Sie Ihren Schlüsselbund erstellt habenKMS_PROJECT_ID
: Die ID Ihres Cloud KMS-ProjektsNOTEBOOKS_PROJECT_NUMBER
: Die Projektnummer Ihres Vertex AI Workbench-Projekts, die Sie im vorherigen Abschnitt als Teil der E-Mail-Adresse eines Dienstkontos notiert haben.
Führen Sie den folgenden Befehl aus, um dem Compute Engine-Dienstkonto die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Vertex AI Workbench-Instanz mit CMEK erstellen
Nachdem Sie Ihrer Vertex AI Workbench-Instanz die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel gewährt haben, können Sie eine Vertex AI Workbench-Instanz erstellen, die Daten mit diesem Schlüssel verschlüsselt.
Im folgenden Beispiel wird gezeigt, wie Daten mit Ihrem Schlüssel über die Google Cloud Console verschlüsselt und entschlüsselt werden.
So erstellen Sie eine Vertex AI Workbench-Instanz mit einem vom Kunden verwalteten Verschlüsselungsschlüssel:
Rufen Sie in der Google Cloud Console die Seite Instanzen auf.
Klicken Sie auf
NEU ERSTELLEN.Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.
Geben Sie im Dialogfeld Instanz erstellen im Abschnitt Details die folgenden Informationen für Ihre neue Instanz ein:
- Instanzname: Ein Name für die neue Instanz.
- Region: Die Region ein, in der sich Ihr Schlüssel und Ihr Schlüsselbund befinden
- Zone: Eine Zone in der von Ihnen ausgewählten Region
Wählen Sie im Abschnitt Laufwerke unter Verschlüsselung die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus.
Klicken Sie auf Vom Kunden verwalteten Schlüssel auswählen.
- Falls sich der vom Kunden verwaltete Schlüssel in der Liste befindet, wählen Sie ihn aus.
Wenn der vom Kunden verwaltete Schlüssel, den Sie verwenden möchten, nicht in der Liste steht, geben Sie die Ressourcen-ID für Ihren nutzerverwalteten Schlüssel ein. Die Ressourcen-ID Ihres vom Kunden verwalteten Schlüssels sieht so aus:
projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Ersetzen Sie Folgendes:
NOTEBOOKS_PROJECT_NUMBER
: die ID Ihres Vertex AI Workbench-ProjektsKEY_RING_NAME
: Den Schlüsselbund, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt habenKEY_NAME
: Den Namen des Schlüssels, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
Schließen Sie den Rest des Dialogfelds zur Instanzerstellung ab und klicken Sie dann auf Erstellen.
Nächste Schritte
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK)
- CMEK mit anderen Google Cloud-Produkten verwenden