为评估启用客户管理的加密密钥

本文档介绍了如何使用客户管理的加密密钥 (CMEK) 对 Workload Manager 评估数据进行加密。

概览

默认情况下,Workload Manager 会对静态客户内容进行加密。Workload Manager 会为您处理加密,您无需执行任何其他操作。此选项称为 Google 默认加密

如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Workload Manager)搭配使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。 这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后,访问 Workload Manager 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)

限制

Workload Manager 中的 CMEK 加密存在以下限制:

  • CMEK 仅适用于 Workload Manager 自定义规则类型评估。其他 Workload Manager 功能(例如 SAP 评估或部署)使用 Google 默认加密,因为不涉及任何客户静态内容。

  • Workload Manager 仅将 CMEK 密钥应用于 Workload Manager 拥有的存储空间。

准备工作

您需要先创建 Cloud Key Management Service 密钥并授予所需权限,然后才能使用 CMEK。

  1. 创建密钥环和密钥。

    选择一个项目,然后按照有关创建对称密钥的 Cloud KMS 指南,创建密钥环和密钥。密钥环的位置必须与评估的位置一致。

    请注意,Workload Manager 支持外部管理的密钥。如需了解详情,请参阅 Cloud External Key Manager

  2. 授予权限。

    如需授予对 Cloud KMS 密钥的访问权限,请向 Workload Manager 服务代理授予 roles/cloudkms.cryptoKeyEncrypterDecrypter 角色。服务代理是 service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com,其中 PROJECT_ID 是创建评估的项目 ID。

CMEK 如何用于自定义规则类型评估

本部分介绍了 CMEK 如何用于自定义规则类型评估。

KMS 密钥配置

您可以在创建或更新自定义规则类型评估的过程中提供 Cloud KMS 密钥。此规定为可选项。如果未指定 Cloud KMS 密钥,Workload Manager 会使用 Google 默认加密。 提供的 Cloud KMS 密钥必须存在,并且必须为 Workload Manager 服务账号分配加密/解密角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter),才能使用 Cloud KMS 密钥。Workload Manager 会在评估创建或更新期间验证 Cloud KMS 密钥,并返回错误。

数据加密

当您使用已配置的 Cloud KMS 密钥运行评估时,Workload Manager 会使用提供的 Cloud KMS 密钥来加密 Workload Manager 拥有的存储空间:

  • 评估操作使用的临时 Cloud Storage 存储桶。 临时 Cloud Storage 存储桶是在评估开始时创建的,并在评估结束时删除。

  • 用于存储评估结果的 BigQuery 数据集。

Workload Manager 不会使用这些密钥来加密您存储自定义规则的 Cloud Storage 存储分区中的数据,也不会加密您用于保存评估结果的外部 BigQuery 数据集中的数据。

数据访问

Workload Manager 会在运行评估时使用提供的 Cloud KMS 密钥主要版本对评估结果进行加密。如果该特定 Cloud KMS 密钥版本保持启用状态,您可以访问并查看评估结果。

评估结果访问权限不受 KMS 密钥轮替的影响。 密钥轮替会创建新版本,而之前的版本仍会保留。

轮替密钥时,评估结果不会重新加密。

为自定义规则类型评估配置 CMEK

如需将 CMEK 用于自定义规则类型评估,请先在 Cloud KMS 中创建密钥,然后按照准备工作中的说明授予该密钥所需的权限。之后,您可以使用该密钥创建或更新评估、运行评估并查看评估结果。

使用 CMEK 创建评估

您可以按照创建评估页面中所述的方式,使用 CMEK 创建自定义规则类型评估。选择区域后,您可以启用 CMEK。

  1. 加密(可选)列表中,选择客户管理的加密密钥 (CMEK)

    启用 CMEK

  2. 选择 Cloud KMS 密钥。

更新使用 CMEK 的评估

您可以更新评估以使用 CMEK 密钥。

  1. 在评估修改页面上,从加密(可选)列表中选择客户管理的加密密钥 (CMEK)

    启用 CMEK

  2. 选择 Cloud KMS 密钥。

查看使用 CMEK 的评估结果

您可以按照查看评估结果页面中所述的方式查看评估结果。您无需执行任何额外操作。

Cloud KMS 配额和 Workload Manager

在 Workload Manager 中使用 CMEK 时,您的项目可能会消耗 Cloud KMS 加密请求配额。例如,由 CMEK 加密的 Workload Manager 评估可能会消耗这些配额。 仅当您使用硬件 (Cloud HSM) 或外部 (Cloud EKM) 密钥时,使用 CMEK 密钥执行的加密和解密操作才会影响 Cloud KMS 配额。 如需了解详情,请参阅 Cloud KMS 配额

对于外部密钥,加密操作的默认配额为每个密钥项目 100 QPS。如有需要,您可以申请提高 EKM 配额

后续步骤