Kundenverwaltete Verschlüsselungsschlüssel verwenden

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördlichen Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für Ihre von Vertex AI Workbench verwaltete Notebookinstanzen vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Auf dieser Seite werden einige spezifische Vorteile und Einschränkungen der Verwendung von CMEK mit verwalteten Notebooks beschrieben. Außerdem erfahren Sie, wie Sie eine neue verwaltete Notebookinstanz für die Verwendung von CMEK konfigurieren.

Allgemeine Informationen zu CMEKs und deren Aktivierung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Vorteile von CMEK

Im Allgemeinen sind CMEK am nützlichsten, wenn Sie vollständige Kontrolle über die Schlüssel benötigen, die zum Verschlüsseln Ihrer Daten verwendet werden. Mit CMEKs können Sie Ihre Schlüssel im Cloud Key Management Service verwalten. Sie haben beispielsweise die Möglichkeit, einen Schlüssel zu rotieren oder zu deaktivieren oder einen Rotationsplan mit der Cloud KMS API einzurichten.

Wenn Sie eine Instanz mit verwaltetem Notebook ausführen, wird Ihre Instanz in einer von Google verwalteten Computing-Infrastruktur ausgeführt. Wenn Sie CMEK für eine verwaltete Notebookinstanz aktivieren, verwendet Vertex AI Workbench den von Ihnen angegebenen Schlüssel anstelle eines von Google verwalteten Schlüssels, um Ihre Nutzerdaten zu verschlüsseln.

Der CMEK-Schlüssel verschlüsselt Metadaten wie den Namen und die Region der Instanz, die mit Ihrer verwalteten Notebooks-Instanz verknüpft sind, nicht. Metadaten, die mit verwalteten Notebookinstanzen verknüpft sind, werden immer mit dem Standardverschlüsselungsmechanismus von Google verschlüsselt.

Einschränkungen von CMEK

Google empfiehlt, regionale verwaltete Notebookinstanzen mit Schlüsseln an deren Standort zu schützen, um die Latenz zu verringern und um Fälle zu vermeiden, bei denen Ressourcen von Diensten abhängen, die über mehrere fehlerhafte Domains verteilt sind.

  • Um regionale verwaltete Notebookinstanzen zu verschlüsseln, können Sie Schlüssel am selben Standort oder an einem globalen Speicherort verwenden. Sie können beispielsweise Nutzerdaten in der Region us-west1 mit einem Schlüssel in us-west1 oder global verschlüsseln.
  • CMEK für nutzerverwaltete Notebooks zu konfigurieren, konfiguriert CMEK nicht automatisch für andere von Ihnen verwendete Google Cloud-Produkte. Wenn Sie CMEK zum Verschlüsseln von Daten in anderen Google Cloud-Produkten verwenden möchten, müssen Sie eine zusätzliche Konfiguration vornehmen.

CMEK für verwaltete Notebookinstanzen konfigurieren

In den folgenden Abschnitten wird gezeigt, wie Sie einen Schlüsselbund und einen Schlüssel in Cloud Key Management Service erstellen, dem Dienstkonto-Verschlüsseler und -Entschlüsseler Berechtigungen für Ihren Schlüssel gewähren und eine verwaltete Notebookinstanz erstellen, die CMEK verwendet.

Vorbereitung

Wir empfehlen die Einrichtung einer Aufgabentrennung. Zum Konfigurieren von CMEK für von verwaltete Notebooks können Sie zwei separate Google Cloud-Projekte verwenden:

  • Ein Cloud KMS-Projekt: ein Projekt zur Verwaltung Ihres Verschlüsselungsschlüssels
  • Ein Projekt für verwaltete Notebooks: ein Projekt für den Zugriff auf verwaltete Notebookinstanzen und zur Interaktion mit anderen Google Cloud-Produkten, die Sie für Ihren Anwendungsfall benötigen

Alternativ können Sie ein einzelnes Google Cloud-Projekt verwenden. Verwenden Sie dazu dasselbe Projekt für alle folgenden Aufgaben.

Cloud KMS-Projekt einrichten

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.

  4. Cloud KMS API aktivieren.

    Aktivieren Sie die API

  5. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  6. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.

  7. Cloud KMS API aktivieren.

    Aktivieren Sie die API

Projekt für verwaltete Notebooks einrichten

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.

  4. Notebooks API aktivieren.

    Aktivieren Sie die API

  5. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  6. Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.

  7. Notebooks API aktivieren.

    Aktivieren Sie die API

Google Cloud CLI einrichten

Die gcloud CLI ist für einige Schritte auf dieser Seite erforderlich und für andere optional. Installieren und initialisieren Sie Google Cloud CLI.

Schlüsselbund und Schlüssel erstellen

Beachten Sie beim Erstellen von Schlüsselbund und Schlüssel folgende Anforderungen:

  • Für den Standort Ihres Schlüsselbunds wählen Sie entweder global oder den Standort aus, an dem sich Ihre verwaltete Notebookinstanz befindet.

  • Achten Sie darauf, Schlüsselbund und Schlüssel in Ihrem Cloud KMS-Projekt zu erstellen.

Informationen zum Erstellen eines Schlüsselbunds und eines Schlüssels finden Sie unter Symmetrische Verschlüsselungsschlüssel erstellen.

Berechtigungen für verwaltete Notebooks erteilen

Wenn Sie CMEK für Ihre verwaltete Notebookinstanz verwenden möchten, müssen Sie der Projektinstanz Ihrer verwalteten Notebook die Berechtigung erteilen, Daten mit Ihrem Schlüssel zu verschlüsseln und zu entschlüsseln. Diese Berechtigung muss sowohl dem von Google verwalteten Dienstkonto als auch dem Dienst-Agent des Projekts erteilt werden.

Das Dienstkonto und der Dienst-Agent sind E-Mail-Adressen in den folgenden Formaten:

Dienstkonto

        service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
        
Dienst-Agent

        service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
        

Ersetzen Sie NOTEBOOKS_PROJECT_NUMBER durch die Projektnummer für das Projekt Ihrer verwalteten Notebookinstanz.

Notieren Sie sich die E-Mail-Adressen für Ihr Dienstkonto und Ihren Dienst-Agent. Sie verwenden sie in den folgenden Schritten, um der Projektinstanz Ihrer verwalteten Notebook-Instanz die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen. Sie können die Berechtigung mithilfe der Google Cloud Console oder mithilfe der Google Cloud CLI gewähren.

Console

  1. Rufen Sie in der Cloud Console die Seite Kryptografische Schlüssel auf.

    Zur Seite „Kryptografische Schlüssel”

  2. Wählen Sie Ihr Cloud KMS-Projekt aus.

  3. Klicken Sie auf den Namen des Schlüsselbunds, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben. Die Seite Schlüsselbunddetails wird geöffnet.

  4. Klicken Sie auf das Kästchen für den Schlüssel, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben. Wenn ein Infofeld mit dem Namen Ihres Schlüssels noch nicht geöffnet ist, klicken Sie auf Infofeld ansehen.

  5. Klicken Sie im Infofeld auf Mitglied hinzufügen. Das Dialogfeld Mitglieder zu "KEY_NAME" hinzufügen wird geöffnet. Führen Sie in diesem Dialogfeld folgende Schritte aus:

    1. Geben Sie im Feld Neue Mitglieder die E-Mail-Adresse des Dienstkontos ein, die Sie im vorherigen Abschnitt notiert haben:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    2. Klicken Sie in der Liste Rolle auswählen auf Cloud KMS und wählen Sie dann die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.

    3. Klicken Sie auf Speichern.

  6. Wiederholen Sie den vorherigen Schritt, um die E-Mail-Adresse des Dienst-Agents einzugeben, die Sie im vorherigen Abschnitt notiert haben:

    service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

gcloud

  1. Führen Sie den folgenden Befehl aus, um dem Dienstkonto die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
        --keyring=KEY_RING_NAME \
        --location=REGION \
        --project=KMS_PROJECT_ID \
        --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
        --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Dabei gilt:

    • KEY_NAME: Den Namen des Schlüssels, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
    • KEY_RING_NAME: Den Schlüsselbund, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
    • REGION: Die Region, in der Sie Ihren Schlüsselbund erstellt haben
    • KMS_PROJECT_ID: Die ID Ihres Cloud KMS-Projekts
    • NOTEBOOKS_PROJECT_NUMBER: Projektnummer Ihres verwalteten Notebookprojekts, die Sie im vorherigen Abschnitt als Teil der E-Mail-Adresse eines Dienstkontos notiert haben.
  2. Führen Sie den folgenden Befehl aus, um dem Dienstagent die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
        --keyring=KEY_RING_NAME \
        --location=REGION \
        --project=KMS_PROJECT_ID \
        --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com` \
        --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
    

Verwaltete Notebookinstanz mit CMEK erstellen

Nachdem Sie Ihrer verwalteten Notebookinstanz die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel gewährt haben, können Sie eine verwaltete Notebookinstanz erstellen, die Daten mit diesem Schlüssel verschlüsselt. Gehen Sie dazu so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Verwaltete Notebooks auf.

    Zu "Verwaltete Notebooks"

  2. Klicken Sie auf  Neues Notebook.

  3. Geben Sie im Feld Notebookname einen Namen für die Instanz ein.

  4. Klicken Sie auf die Liste Region und wählen Sie eine Region für Ihre Instanz aus.

  5. Klicken Sie auf Erweiterte Einstellungen.

  6. Wählen Sie im Abschnitt Laufwerkverschlüsselung die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus.

  7. Klicken Sie auf Vom Kunden verwalteten Schlüssel auswählen.

    • Falls sich der vom Kunden verwaltete Schlüssel in der Liste befindet, wählen Sie ihn aus.

    • Wenn der vom Kunden verwaltete Schlüssel, den Sie verwenden möchten, nicht in der Liste steht, geben Sie die Ressourcen-ID für Ihren nutzerverwalteten Schlüssel ein. Die Ressourcen-ID Ihres vom Kunden verwalteten Schlüssels sieht so aus:

        projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
      

      Dabei gilt:

  8. Führen Sie die restlichen Schritte des Dialogfelds Verwaltetes Notebook erstellen entsprechend Ihren Anforderungen aus.

  9. Klicken Sie auf Erstellen.

  10. Vertex AI Workbench erstellt anhand der angegebenen Attribute eine verwaltete Notebookinstanz und startet diese Instanz automatisch. Sobald die Instanz einsatzbereit ist, aktiviert Vertex AI Workbench den Link JupyterLab öffnen.

Nächste Schritte