Kundenverwaltete Verschlüsselungsschlüssel verwenden

Standardmäßig verschlüsselt Workflows inaktive Daten. Diese Standardverschlüsselung wird von Google Cloud vorgenommen und verwaltet. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich.

Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für Workflows vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Ihr Workflow und die damit verbundenen ruhenden Daten die mit einem Verschlüsselungsschlüssel geschützt sind, auf den nur Sie Zugriff haben mit dem Cloud Key Management Service (Cloud KMS) steuern und verwalten.

Mit CMEK geschützte Inhalte

Beim Bereitstellen eines Workflows können Sie einen Cloud KMS-Schlüssel angeben. Dieser Schlüssel wird zum Verschlüsseln des Workflows und seiner Ausführungen verwendet:

  • Für einen Workflow ist eine Quelldatei erforderlich, die einen gültigen Workflow enthält. Definition. Diese Quelldatei wird mit dem Schlüssel verschlüsselt.

  • Bei einer Workflowausführung wird die aktuelle Workflowdefinition (eine bestimmte Workflowüberarbeitung). Die Verwendung des Schlüssels, der mit der Workflowversion am Zeitpunkt der Bereitstellung, den kompilierten Workflow und die gespeicherte Ausführung Eingabe-, Ausgabe- und Laufzeitdaten sind verschlüsselt. Dazu gehören Ausführungsargumente, Ergebnisse, Fehler und Ausnahmen, gesendete Eventarc-Ereignisse sowie Rückruf- und HTTP-Anfragen und ‑Antworten.

Hinweis

Führen Sie die folgenden Schritte aus, bevor Sie einen CMEK in Workflows verwenden:

  1. APIs aktivieren

    Console

    1. Enable the Cloud KMS and Workflows APIs.

      Enable the APIs

    gcloud

    1. In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    2. Aktualisieren Sie die gcloud-Komponenten: 
      gcloud components update
    3. Aktivieren Sie die Cloud KMS und Workflows APIs für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden. 
      gcloud services enable cloudkms.googleapis.com workflows.googleapis.com

  2. Cloud KMS erstellt Cloud-Audit-Logs, wenn Schlüssel aktiviert sind, deaktiviert oder von Workflows-Ressourcen zum Verschlüsseln und Entschlüsseln verwendet werden Daten. Achten Sie darauf, dass für die Cloud KMS API in Ihrem Projekt Logging aktiviert ist, und dass Sie festgelegt haben, welche protokollspezifischen Berechtigungen und Rollen für Ihren Anwendungsfall gelten. Weitere Informationen finden Sie unter Informationen zum Audit-Logging in Cloud KMS.

Cloud KMS-Schlüsselbund und -Schlüssel erstellen

Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. Innerhalb des Schlüsselbunds können Sie einen neuen Schlüssel hinzufügen oder einen vorhandenen Schlüssel verwenden.

  1. Erstellen Sie einen Schlüsselbund.

  2. Schlüssel für einen bestimmten Schlüsselbund erstellen

Ressourcen-ID für einen Cloud KMS-Schlüssel abrufen

Die Ressourcen-ID für einen Cloud KMS-Schlüssel ist erforderlich, wenn Sie CMEK aktivieren für einen Workflow. Weitere Informationen finden Sie in diesem Dokument unter CMEK für einen Workflow aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

    Schlüsselverwaltung aufrufen

  2. Klicken Sie auf den Schlüsselbund, der den Schlüssel enthält.

  3. Klicken Sie für den Schlüssel, dessen Ressourcen-ID Sie abrufen, auf  Mehr.

  4. Klicken Sie auf Ressourcenname kopieren.

    Die Ressourcen-ID für den Schlüssel wird in die Zwischenablage kopiert. Das Format ist etwa so:

    projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

  5. Ein Schlüssel hat null oder mehr Schlüsselversionen. Die Ressourcen-ID für einen Schlüssel „version“ ist die Schlüssel-ID gefolgt von einem Schrägstrich (/) und der Versions-ID. So listen Sie alle Versionen eines Schlüssels auf:

    1. Klicken Sie auf den Namen des Schlüssels.
    2. Klicken Sie für eine bestimmte Version auf Mehr.
    3. Klicken Sie auf Ressourcenname kopieren.

gcloud

  1. Alle Schlüssel eines bestimmten Schlüsselbunds auflisten:

    gcloud kms keys list --keyring RING_NAME --location LOCATION

    Ersetzen Sie Folgendes:

    • RING_NAME: der Name des Schlüsselbunds
    • LOCATION: Region des Schlüsselbunds

    Die Ausgabe enthält die Ressourcen-ID für jeden Schlüssel. Beispiel:

    NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

  2. Ein Schlüssel hat null oder mehr Schlüsselversionen. Die Ressourcen-ID einer Schlüsselversion besteht aus der Schlüssel-ID, einem Schrägstrich (/) und der Versions-ID. So listen Sie alle Versionen eines Schlüssels auf:

    gcloud kms keys versions list --location LOCATION --keyring RING_NAME --key KEY_NAME

    Die Ausgabe enthält die Ressourcen-ID für jede Schlüsselversion. Beispiel:

    NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME/2

Dem Workflows-Dienst-Agent Zugriff auf den Schlüssel gewähren

Sie müssen dem Workflows-Dienst-Agent die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zuweisen, damit er auf den Cloud KMS-Schlüssel zugreifen kann:

Console

Wenn Sie CMEK für einen Workflow über die Console aktivieren, werden Sie aufgefordert, dem Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu gewähren. Weitere Informationen in diesem Dokument finden Sie unter CMEK für einen Workflow aktivieren

gcloud 

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring RING_NAME \
    --location LOCATION \
    --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Dabei gilt:

  • KEY_NAME: Der Name des Schlüssels. Beispiel: my-key.
  • RING_NAME: Der Name des Schlüsselbunds. Beispiel: my-keyring
  • LOCATION: Der Speicherort des Schlüssels. Beispiel: us-central1

  • PROJECT_NUMBER: Ihre Google Cloud-Projektnummer. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausführen des folgenden Befehls:

    export PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"

Solange der Dienst-Agent die roles/cloudkms.cryptoKeyEncrypterDecrypter hat kann ein Workflow in Ihrem Projekt seine Daten mit dem CMEK verschlüsseln und entschlüsseln. . Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden. In diesem Dokument Deaktivieren Sie Cloud KMS.

CMEK für einen Workflow aktivieren

Beim Erstellen eines Workflows oder beim Aktualisieren danach können Sie den Cloud KMS-Schlüssel angeben, der für die Datenverschlüsselung verwendet werden soll.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Workflows.

    Zur Seite "Workflows"

  2. Klicken Sie auf den Namen des Workflows, den Sie aktualisieren möchten.

    Die Seite Workflow-Details wird angezeigt.

  3. Klicken Sie auf Bearbeiten:

  4. Wählen Sie Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus.

  5. Wählen Sie in der Liste Wählen Sie einen vom Kunden verwalteten Schlüssel aus aus oder filtern Sie nach einem Cloud KMS-Schlüssel.

  6. Optional: Sie können den Ressourcennamen des Schlüssels manuell in die Liste Wählen Sie einen vom Kunden verwalteten Schlüssel aus eingeben. Klicken Sie dazu auf Schlüssel manuell eingeben und geben Sie den Namen der Schlüsselressource im angegebenen Format ein.

  7. Wenn Sie dazu aufgefordert werden, weisen Sie dem Workflows-Dienstkonto die Rolle cloudkms.cyptoKeyEncrypterDecrypter mit der Rolle workflows.serviceAgent zu.

  8. Klicken Sie auf Weiter.

  9. Klicken Sie auf Bereitstellen, um die Änderungen zu speichern und den aktualisierten Workflow bereitzustellen.

gcloud 

gcloud workflows deploy WORKFLOW_NAME \
    --source=SOURCE_FILE \
    --kms-key=KEY \
    --location LOCATION \
    --service-account=SERVICE_ACCOUNT

Ersetzen Sie Folgendes:

  • WORKFLOW_NAME: Der Name Ihres Workflows.
  • SOURCE_FILE: Ihre Workflow-Quelldatei mit einem yaml Dateiendung für eine YAML-Datei oder mit der Dateiendung json für JSON-Dateien; z. B. myWorkflow.yaml.

  • KEY: die Ressourcen-ID des Schlüssels im Format projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME. Sie können die Schlüssel-ID abrufen.

  • LOCATION: Speicherort des Workflows

  • SERVICE_ACCOUNT: Das Dienstkonto, das Ihr Workflow für den Zugriff auf andere Google Cloud-Dienste verwendet, z. B. SERVICE_ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com. Es wird dringend empfohlen, ein Dienstkonto mit den geringsten Berechtigungen zu verwenden, die für den Zugriff auf die benötigten Ressourcen erforderlich sind. Wenn Sie das Feld leer lassen, wird das Standarddienstkonto verwendet. Weitere Informationen finden Sie unter Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.

Wichtige Hinweise:

  • Workflow-Überarbeitungen und -Ausführungen werden mit dem Schlüssel verschlüsselt, der bei der Bereitstellung angegeben wurde. Ressourcen, die zuvor mit einem früheren Schlüssel verschlüsselt wurden, bleiben mit diesem früheren Schlüssel verschlüsselt. Wenn ein Workflow anschließend bearbeitet wird und ein neuer Workflow Schlüssel angegeben ist, wird diese Überarbeitung des Workflows mit dem neuen Schlüssel verschlüsselt. und bei allen nachfolgenden Ausführungen wird der neue Schlüssel verwendet.
  • Bisher nicht mit CMEK verschlüsselte Workflow-Überarbeitungen und -Ausführungen bleiben unverschlüsselt.
  • Wenn Sie CMEK für eine Workflowversion deaktivieren, werden alle nachfolgenden Ausführungen die ohne CMEK-Verschlüsselung erstellt wurden. In diesem Dokument CMEK für einen Workflow deaktivieren Vorhandene Workflow-Überarbeitungen und ‑Ausführungen bleiben mit den Schlüsseln verschlüsselt, mit denen sie zuvor verschlüsselt wurden.

Cloud KMS-Integration prüfen

Sie können die CMEK-Integration überprüfen, indem Sie die Metadaten für einen Workflow anzeigen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Workflows.

    Zur Seite "Workflows"

  2. Klicken Sie auf den Namen des Workflows, den Sie überprüfen möchten.

    Die Seite Workflow-Details wird angezeigt.

  3. Klicken Sie auf den Tab Details.

    Der Wert Verschlüsselung zeigt die Ressourcen-ID des Cloud KMS an. Schlüssel, der zur Absicherung des Workflows und seiner Ausführung verwendet wird.

gcloud 

gcloud workflows describe WORKFLOW_NAME \
    --location=LOCATION

Die Ausgabe sollte in etwa so aussehen:

createTime: '2022-08-10T19:57:58.233177709Z'
cryptoKeyName: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
name: projects/PROJECT_NAME/locations/LOCATION/workflows/WORKFLOW_NAME
revisionCreateTime: '2022-11-18T19:44:04.933633237Z'
revisionId: 000009-8be
serviceAccount: projects/PROJECT_NAME/serviceAccounts/SA_NAME@PROJECT_NAME.iam.gserviceaccount.com
sourceContents:
[...]
state: ACTIVE
updateTime: '2022-11-18T19:44:05.171793128Z'

Der Wert cryptokeyName ist die Ressourcen-ID des Cloud KMS-Schlüssels, mit dem der Workflow und seine Ausführung gesichert werden.

CMEK für einen Workflow deaktivieren

Sie können CMEK für einen Workflow deaktivieren, damit der zugehörige Cloud KMS-Schlüssel nicht mehr verwendet wird.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Workflows.

    Zur Seite "Workflows"

  2. Klicken Sie auf den Namen des Workflows, den Sie aktualisieren möchten.

    Die Seite Workflow-Details wird angezeigt.

  3. Klicken Sie auf Bearbeiten:

  4. So deaktivieren Sie das Optionsfeld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK): Wählen Sie Von Google verwalteter Verschlüsselungsschlüssel aus.

  5. Klicken Sie auf Weiter.

  6. Klicken Sie auf Bereitstellen, um die Änderungen zu speichern und den aktualisierten Workflow bereitzustellen.

gcloud 

gcloud workflows deploy WORKFLOW_NAME \
    --source=SOURCE_FILE \
    --clear-kms-key \
    --service-account=SERVICE_ACCOUNT

Dadurch wird CMEK für die aktuelle Workflowversion deaktiviert und alle nachfolgenden Ausführungen werden ohne CMEK-Verschlüsselung erstellt. Vorhandener Workflow Überarbeitungen und Ausführungen bleiben mit den Schlüsseln verschlüsselt, mit denen sie die zuvor verschlüsselt wurden.

Cloud KMS deaktivieren

Wenn Sie den Datenzugriff auf Ihren Workflow oder Ihre Workflowausführungen widerrufen möchten, Sie haben folgende Möglichkeiten, um Cloud KMS zu deaktivieren:

  • Deaktivieren oder löschen Sie die Primärschlüsselversion Ihres kundenverwalteten Verschlüsselungsschlüssels. Durch das Deaktivieren einer CMEK-Schlüsselversion wird der Zugriff auf alle Daten gesperrt, die durch diese Schlüsselversion geschützt sind. Das Löschen einer Schlüsselversion ist das permanente Gegenstück dieser Aktion. Beide betreffen nur die Workflows und Workflowausführungen, die mit dem jeweiligen Schlüssel verknüpft sind. Sie können keine neuen Ausführungen erstellen oder die mit dem deaktivierten oder gelöschten Schlüssel verknüpften Ressourcen aufrufen. Alle aktiven Ausführungen schlagen mit einem entsprechenden Fehler fehl .

  • Widerrufen: cloudkms.cryptoKeyEncrypterDecrypterIAM-Rolle von der Workflows-Dienst-Agent. Dies betrifft alle Workflows im Google Cloud-Projekt, die die Verschlüsselung mit CMEK unterstützen. Sie können keine neuen CMEK-integrierten Workflows und Ausführungen erstellen und keine CMEK-verschlüsselten Ressourcen aufrufen. Alle aktiven Ausführungen schlagen fehl und Fehlermeldung erhalten.

Obwohl keiner der Vorgänge eine sofortige Zugriffssperre garantiert, werden IAM-Änderungen im Allgemeinen schneller übernommen. Weitere Informationen finden Sie unter Konsistenz von Cloud KMS-Ressourcen und Weitergabe von Zugriffsänderungen.

Fehlerbehebung

Bei der Verwendung von Cloud KMS mit Workflows können Fehler auftreten. In der folgenden Tabelle werden verschiedene Probleme und deren Behebung beschrieben.

Problem Beschreibung
Die Berechtigung cloudkms.cryptoKeyVersions.useToEncrypt wurde verweigert Entweder ist der angegebene Cloud KMS-Schlüssel nicht vorhanden oder die Berechtigung ist nicht ordnungsgemäß konfiguriert.

Lösung:

Schlüsselversion ist nicht aktiviert Die bereitgestellte Cloud KMS-Schlüsselversion wurde deaktiviert.

Lösung: Erneute Aktivierung Die Cloud KMS-Schlüsselversion
Schlüsselbundregion entspricht nicht der zu schützenden Ressource Die angegebene KMS-Schlüsselbundregion unterscheidet sich von der Region der zu optimieren.

Lösung: Verwenden Sie einen Cloud KMS-Schlüsselbund und einen geschützten Workflow aus derselben Region. Sie können sich in verschiedenen Projekten befinden. Weitere Informationen finden Sie unter Cloud KMS-Standorte und Standorte für Workflows.

Cloud KMS-Kontingentlimit überschritten Ihr Kontingentlimit für Cloud KMS-Anfragen wurde erreicht.

Lösung: Begrenzen Sie die Anzahl der Cloud KMS-Aufrufe oder erhöhen Sie das Kontingentlimit. Weitere Informationen finden Sie unter Cloud KMS-Kontingente

Umgang mit einem nicht verfügbaren Schlüsselstatus

Wenn Cloud KMS nicht verfügbar ist, können den Status Ihres Schlüssels möglicherweise nicht aus Cloud KMS abrufen.

Wenn der Schlüsselstatus nicht verfügbar ist, wird der Workflow oder seine Ausführung zurückgegeben einen state: UNAVAILABLE-Wert und die zugehörigen Details im Feld stateError

Wenn der Schlüsselstatus im Laufe der Ausführung eines Workflows nicht mehr verfügbar ist (für z. B. wenn eine Berechtigung während eines Rückrufs widerrufen wird, gibt einen state: FAILED-Wert und die zugehörigen Details im Feld error zurück.

Preise

Durch diese Einbindung entstehen keine zusätzlichen Kosten über die Schlüsselvorgänge hinaus, die Ihrem Google Cloud-Projekt in Rechnung gestellt werden. Aktuelle Preisinformationen finden Sie unter Cloud KMS-Preise.