Vom Kunden verwaltete Verschlüsselungsschlüssel für Auswertungen aktivieren

In diesem Dokument wird beschrieben, wie Sie Workload Manager-Bewertungsdaten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) verschlüsseln.

Übersicht

Workload Manager verschlüsselt inaktive Kundendaten standardmäßig. Workload Manager übernimmt die Verschlüsselung für Sie. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Workload Manager verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Workload Manager-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Beschränkungen

Für die CMEK-Verschlüsselung in Workload Manager gelten die folgenden Einschränkungen:

• CMEK ist nur für Bewertungen des benutzerdefinierten Regeltyps im Arbeitslastmanager verfügbar. Für andere Workload Manager-Funktionen wie SAP-Bewertungen oder die Bereitstellung wird die Standardverschlüsselung von Google verwendet, da keine ruhenden Kundeninhalte beteiligt sind.

• Workload Manager wendet CMEK-Schlüssel nur auf den Speicher an, der Workload Manager gehört.

Hinweise

Bevor Sie CMEK verwenden können, müssen Sie einen Cloud Key Management Service-Schlüssel erstellen und die erforderlichen Berechtigungen erteilen.

1. Schlüsselbund und Schlüssel erstellen

   Wählen Sie ein Projekt aus und folgen Sie dem Cloud KMS-Leitfaden zum Erstellen von synchronen Schlüsseln, um einen Schlüsselbund und einen Schlüssel zu erstellen. Der Speicherort des Schlüsselbunds muss mit dem Speicherort der Auswertung übereinstimmen.

   Workload Manager unterstützt externe verwaltete Schlüssel. Weitere Informationen finden Sie unter Cloud External Key Manager.

2. Berechtigungen erteilen.

   Um Zugriff auf den Cloud KMS-Schlüssel zu gewähren, weisen Sie dem Workload Manager-Dienst-Agent die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter zu. Der Dienst-Agent ist service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, wobei PROJECT_ID die Projekt-ID ist, in der die Bewertung erstellt wird.

Funktionsweise von CMEK für die Auswertung benutzerdefinierter Regeltypen

In diesem Abschnitt wird beschrieben, wie CMEK für die Auswertung benutzerdefinierter Regeltypen funktioniert.

Bereitstellung von KMS-Schlüsseln

Sie können einen Cloud KMS-Schlüssel während des Erstellungs- oder Aktualisierungsprozesses einer benutzerdefinierten Regeltypbewertung angeben. Diese Bestimmung ist optional. Wenn kein Cloud KMS-Schlüssel angegeben ist, verwendet Workload Manager die standardmäßige Google-Verschlüsselung. Der angegebene Cloud KMS-Schlüssel muss vorhanden sein und dem Workload Manager-Dienstkonto muss die Rolle „Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zugewiesen sein, damit der Cloud KMS-Schlüssel verwendet werden kann. Workload Manager validiert den Cloud KMS-Schlüssel beim Erstellen oder Aktualisieren der Analyse und gibt Fehler zurück.

Datenverschlüsselung

Wenn Sie eine Auswertung mit einem bereitgestellten Cloud KMS-Schlüssel ausführen, verwendet Workload Manager den bereitgestellten Cloud KMS-Schlüssel, um den von Workload Manager verwalteten Speicher zu verschlüsseln:

• Temporärer Cloud Storage-Bucket, der vom Auswertungsvorgang verwendet wird. Der temporäre Cloud Storage-Bucket wird zu Beginn einer Evaluierung erstellt und am Ende der Evaluierung gelöscht.

• BigQuery-Datasets, in denen die Auswertungsergebnisse gespeichert werden.

Workload Manager verwendet diese Schlüssel nicht, um Daten in den Cloud Storage-Buckets zu verschlüsseln, in denen Sie benutzerdefinierte Regeln speichern, oder in den externen BigQuery-Datasets, die Sie zum Speichern der Auswertungsergebnisse verwenden.

Datenzugriff

Workload Manager verschlüsselt die Bewertungsergebnisse mit der primären Version des bereitgestellten Cloud KMS-Schlüssels zum Zeitpunkt der Ausführung der Bewertung. Sie können auf die Ergebnisse einer Auswertung zugreifen und sie ansehen, solange die entsprechende Cloud KMS-Schlüsselversion aktiviert bleibt.

Der Zugriff auf die Auswertungsergebnisse ist von der KMS-Schlüsselrotation nicht betroffen. Bei der Schlüsselrotation wird eine neue Version erstellt. Die früheren Versionen bleiben erhalten.

Die Ergebnisse der Auswertung werden nicht neu verschlüsselt, wenn der Schlüssel rotiert wird.

CMEK für benutzerdefinierte Regelauswertungen konfigurieren

Wenn Sie CMEK für benutzerdefinierte Regeltyp-Auswertungen verwenden möchten, erstellen Sie zuerst einen Schlüssel in Cloud KMS und gewähren Sie dem Schlüssel dann die erforderlichen Berechtigungen, wie unter Vorbereitung beschrieben. Danach können Sie den Schlüssel verwenden, um Bewertungen zu erstellen oder zu aktualisieren, Bewertungen auszuführen und Bewertungsergebnisse anzusehen.

Bewertung mit CMEK erstellen

Sie können benutzerdefinierte Regeltyp-Bewertungen mit CMEK auf dieselbe Weise erstellen, wie auf der Seite zum Erstellen von Bewertungen beschrieben. Sie können CMEK aktivieren, nachdem Sie die Regionen ausgewählt haben.

1. Wählen Sie in der Liste Verschlüsselung (optional) die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus.

   

2. Wählen Sie einen Cloud KMS-Schlüssel aus.

Bewertung mit CMEK aktualisieren

Sie können eine Auswertung so aktualisieren, dass CMEK-Schlüssel verwendet werden.

1. Wählen Sie auf der Seite zum Bearbeiten der Auswertung in der Liste Verschlüsselung (optional) die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus.

   

2. Wählen Sie einen Cloud KMS-Schlüssel aus.

Bewertungsergebnisse mit CMEK ansehen

Sie können die Bewertungsergebnisse auf dieselbe Weise aufrufen, wie auf der Seite Bewertungsergebnisse ansehen beschrieben. Sie müssen nichts weiter tun.

Cloud KMS-Kontingente und Workload Manager

Wenn Sie CMEK in Workload Manager verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Bewertungen im Arbeitslastmanager können diese Kontingente beispielsweise verbrauchen. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Für externe Schlüssel beträgt das Standardkontingent 100 QPS pro Schlüsselprojekt für kryptografische Vorgänge. Bei Bedarf können Sie ein höheres EKM-Kontingent anfordern.

Nächste Schritte

• Weitere Informationen zu CMEK in Google Cloud
• CMEK mit anderen Google Cloud-Produkten verwenden