本頁面由 Cloud Translation API 翻譯而成。

啟用評估作業的客戶管理加密金鑰

本文說明如何使用客戶自行管理的加密金鑰 (CMEK) 加密 Workload Manager 評估資料。

總覽

根據預設，Workload Manager 會加密靜態儲存的客戶內容。Workload Manager 會為您處理加密作業，您不必採取任何其他動作。這項做法稱為「Google 預設加密」。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，搭配整合 CMEK 的服務 (包括 Workload Manager)。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪換時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 也能查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理這些金鑰，而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。

使用 CMEK 設定資源後，存取 Workload Manager 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項，請參閱客戶管理的加密金鑰 (CMEK)。

限制

Workload Manager 中的 CMEK 加密有以下限制：

CMEK 僅適用於 Workload Manager 自訂規則類型評估作業。其他 Workload Manager 功能 (例如 SAP 評估或部署) 使用 Google 預設加密，因為不涉及客戶待機內容。
Workload Manager 只會將 CMEK 金鑰套用至 Workload Manager 擁有的儲存空間。

事前準備

如要使用 CMEK，請先建立 Cloud Key Management Service 金鑰，並授予必要權限。

建立金鑰環和金鑰。

選取專案，然後按照 Cloud KMS 指南建立對稱金鑰，建立金鑰環和金鑰。金鑰環位置必須與評估位置相符。

請注意，Workload Manager 支援外部代管金鑰。詳情請參閱「Cloud External Key Manager」。
授予權限。

如要提供 Cloud KMS 金鑰的存取權，請將 roles/cloudkms.cryptoKeyEncrypterDecrypter 角色授予 Workload Manager 服務代理。服務代理是 service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com，其中 PROJECT_ID 是建立評估的專案 ID。

CMEK 如何用於自訂規則類型評估

本節說明如何針對自訂規則類型評估使用 CMEK。

KMS 金鑰佈建

您可以在建立或更新自訂規則類型評估時提供 Cloud KMS 金鑰。這項規定為選用項目。如果未指定 Cloud KMS 金鑰，Workload Manager 會使用 Google 預設加密。提供的 Cloud KMS 金鑰必須存在，且必須指派加密者/解密者角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter) 給 Workload Manager 服務帳戶，才能使用 Cloud KMS 金鑰。Workload Manager 會在建立或更新評估時驗證 Cloud KMS 金鑰，並傳回錯誤。

資料加密

使用已佈建的 Cloud KMS 金鑰執行評估時，Workload Manager 會使用提供的 Cloud KMS 金鑰，加密 Workload Manager 擁有的儲存空間：

評估作業使用的臨時 Cloud Storage 值區。系統會在評估開始時建立暫時的 Cloud Storage bucket，並在評估結束時刪除。
儲存評估結果的 BigQuery 資料集。

Workload Manager 不會使用這些金鑰，加密您儲存自訂規則的 Cloud Storage 值區，或用於儲存評估結果的外部 BigQuery 資料集。

資料存取權

執行評估時，Workload Manager 會使用提供的 Cloud KMS 金鑰主要版本加密評估結果。如果特定 Cloud KMS 金鑰版本維持啟用狀態，您就能存取及查看評估結果。

KMS 金鑰輪替不會影響評估結果的存取權。金鑰輪替會建立新版本，並保留舊版本。

輪替金鑰時，評估結果不會重新加密。

為自訂規則類型評估作業設定 CMEK

如要使用 CMEK 評估自訂規則類型，請先在 Cloud KMS 中建立金鑰，然後按照「事前準備」一節所述，授予金鑰必要權限。之後您就可以使用金鑰建立或更新評估、執行評估及查看評估結果。

使用 CMEK 建立評估作業

您可以按照建立評估頁面中的說明，使用 CMEK 建立自訂規則類型評估。選取區域後，即可啟用 CMEK。

在「Encryption (Optional)」(加密 (選用)) 清單中，選取「Customer-managed encryption key (CMEK)」(客戶管理的加密金鑰 (CMEK))。
選取 Cloud KMS 金鑰。

使用 CMEK 更新評估作業

您可以更新評估，改用 CMEK 金鑰。

在評估編輯頁面中，從「Encryption (Optional)」(加密 (選用)) 清單選取「Customer-managed encryption key (CMEK)」(客戶管理的加密金鑰 (CMEK))
選取 Cloud KMS 金鑰。

使用 CMEK 查看評估結果

您可以按照「查看評估結果」頁面所述的方式查看評估結果。不需要額外進行設定。

Cloud KMS 配額和 Workload Manager

在 Workload Manager 中使用 CMEK 時，專案可能會耗用 Cloud KMS 密碼編譯要求配額。舉例來說，以 CMEK 加密的 Workload Manager 評估作業可能會耗用這些配額。只有在使用硬體 (Cloud HSM) 或外部 (Cloud EKM) 金鑰時，使用 CMEK 金鑰的加密和解密作業才會影響 Cloud KMS 配額。詳情請參閱 Cloud KMS 配額。

如果是外部金鑰，每個金鑰專案的密碼編譯作業預設配額為 100 QPS。如有需要，可以申請提高 EKM 配額。

後續步驟

進一步瞭解 CMEK on Google Cloud。
瞭解如何搭配使用 CMEK 與其他產品 Google Cloud。