Diese Seite wurde von der Cloud Translation API übersetzt.

Workstationressourcen mit CMEK verschlüsseln

Standardmäßig verwendet Cloud Workstations eine Schlüssel von Google und von Google verwalteter Schlüssel zum Verschlüsseln von Workstation-Ressourcen wie VMs und nichtflüchtigen Speichern, inaktive Daten. Wenn Sie bestimmte Compliance- oder regulatorische Anforderungen in Bezug auf die Schlüssel haben die Ihre Daten schützen, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud Key Management Service (Cloud KMS):

Weitere Informationen zu CMEK im Allgemeinen, einschließlich wann und warum Sie sie aktivieren sollten, sieh dir die Cloud KMS-Dokumentation

Hinweise

Projekte erstellen

Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl die Option „Auswählen“ oder „Erstellen“ zwei Google Cloud-Projekte:
- Ein Schlüsselprojekt enthält Ihre Cloud KMS-Ressourcen, einschließlich: einen Schlüsselbund und einen symmetrischen Verschlüsselungsschlüssel.
- Ein Workstationprojekt enthält Workstations, die mit einem CMEK-Schlüssel.
Sie können für Ihr Schlüsselprojekt und Ihr Workstationprojekt dasselbe Projekt verwenden. Als Best Practice empfehlen wir jedoch, zwei Projekte für Aufgabentrennung.

Hinweis: Wenn Sie die hier erstellten Ressourcen nicht behalten möchten, erstellen Sie neue Projekte, anstatt vorhandene auszuwählen. Nachher Wenn Sie diese Schritte abschließen, können Sie die Projekte löschen und alle Ressourcen entfernen die mit beiden Projekten verknüpft sind.
Die Abrechnung für das Cloud-Projekt muss aktiviert sein. Hier erfahren Sie, wie Sie überprüfen Sie, ob die Abrechnung Projekt.
Aktivieren Sie die erforderlichen APIs in jedem Projekt.
- Prüfen Sie in Ihrem Schlüsselprojekt, ob die Funktion Cloud KMS API
  
  Cloud KMS API aktivieren
- In Ihrem Workstations-Projekt muss Folgendes aktiviert sein: Cloud KMS und Cloud Workstations APIs
  
  Cloud KMS und Cloud Workstations APIs aktivieren
Achten Sie darauf, dass Sie die gcloud-Befehlszeile: Bis initialisieren Sie die gcloud-Befehlszeile, führen Sie den folgenden Befehl aus:
```
gcloud init
```

Erforderliche Rollen

Sie können zwar Cloud KMS-Administrator und Cloud Workstations Admin der gleichen Person zuweisen, empfehlen wir, dass Sie beim Zuweisen von Rollen nach dem Prinzip der geringsten Berechtigung vorgehen. Als beste zwei verschiedenen Personen zu erteilen und diese zu koordinieren, statt den Cloud KMS zu verwenden, Cloud Workstations-Administrator. Weitere Informationen finden Sie unter Best Practices für die Sicherheit und sichere Verwendung von IAM.

Um die Berechtigungen zu erhalten, die Sie zum Einrichten von CMEK benötigen, bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen:

Wenn Sie der Cloud KMS-Administrator sind, bitten Sie Ihren Administrator, Ihnen die folgende Rolle zu gewähren, damit Sie Cloud KMS-Ressourcen erstellen und verwalten können: Cloud KMS-Administrator (roles/cloudkms.admin) für Ihr Schlüsselprojekt.
Wenn Sie der Cloud Workstations Admin sind, bitten Sie Ihren Administrator, Ihnen die folgende Rolle zu gewähren, damit Sie Workstations erstellen und aktualisieren können: Cloud Workstations-Administrator (roles/workstations.admin) in Ihrem Workstations-Projekt.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Schlüsselbund und Verschlüsselungsschlüssel erstellen

Erstellen Sie in Ihrem Schlüsselprojekt einen Schlüssel und speichern Sie die Ressourcen-ID des Schlüssels:

Erstellen oder wählen Sie ein Schlüsselbund an.

Sie können Schlüsselbunde für verschiedene Dienste freigeben, aber als Best Practice empfehlen, für jede geschützte Ressource einen anderen Schlüssel zu verwenden. Weitere Informationen finden Sie unter Aufgabentrennung.
Erstellen: symmetrischen Verschlüsselungsschlüssel verwendet werden.

Erstellen Sie den CMEK-Schlüssel und die Workstationkonfiguration in der in derselben Region.
Ressourcen-ID abrufen und speichern Sie diese für einen späteren Schritt.

Auf Workstationkonfigurationen prüfen

Wenn keine Workstationkonfigurationen in der Google Cloud Console Bitten Sie Ihren Cloud Workstations-Administrator, eine Workstationkonfiguration für Sie zu erstellen, oder überprüfen Sie, ob Sie eine Cloud Workstations-Administrator IAM-Rolle für das Projekt, damit Sie diese Ressourcen selbst erstellen können.

Kundenverwaltete Verschlüsselungsschlüssel verwenden

Wenn Sie einen CMEK in einer Workstationkonfiguration verwenden möchten, aktivieren Sie CMEK in der Google Cloud Console oder gcloud CLI.

Console

Compute Engine-Dienstkonto und Compute Engine-Dienst-Agent Cloud KMS zuweisen CryptoKey Encrypter/Decrypter und die Rolle „Cloud KMS-Betrachter“:

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Schlüsselverwaltung aufrufen
Klicken Sie auf den Namen des Schlüsselbunds, der den Schlüssel enthält.
Klicken Sie das Kästchen für den Schlüssel an, den Sie verwenden möchten.

Der Tab Berechtigungen wird als Bereich angezeigt.
Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse der Compute Engine-Dienstkonto und Compute Engine-Dienst-Agent, denen Sie Zugriff gewähren.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler:
Klicken Sie auf Weitere Rolle hinzufügen.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Cloud KMS-Betrachter aus.
Klicken Sie auf Speichern.

So aktivieren Sie CMEK über die Google Cloud Console:

Folgen Sie der Anleitung, um Workstationkonfiguration erstellen
Wenn Sie Ihren Computer Konfiguration, suchen Sie nach dem Bereich Erweiterte Optionen.
Klicken Sie auf expand_more. Maximieren Sie das Dreipunkt-Menü und wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.
1. Wählen Sie im Feld Wählen Sie einen vom Kunden verwalteten Schlüssel aus aus. vom Kunden verwalteten Verschlüsselungsschlüssel, den Sie in Ihrem Schlüsselprojekt erstellt haben.
  
  Wenn der von Ihnen erstellte Schlüssel nicht aufgeführt ist, klicken Sie auf Schlüssel manuell eingeben, um Wählen Sie den Schlüssel nach Ressourcen-ID aus und geben Sie dann die notierte Ressourcen-ID ein .
2. Wählen Sie im Feld Dienstkonto das vom .
Führen Sie die anderen Schritte aus, um die Workstationkonfiguration zu erstellen.
Workstationkonfiguration erstellen, starten und starten, um die Nichtflüchtige Speicher in Ihrem Projekt mit dem angegebenen Cloud KMS-Schlüssel.

gcloud

Im folgenden Beispiel wird eine IAM-Rolle gewährt, die Zugriff gewährt auf einen Cloud KMS-Schlüssel und aktiviert CMEK dann durch Angabe dieses Schlüssels in der Workstationkonfiguration:

Gewähren Sie dem KMS-Dienstkonto und dem Compute Engine-Dienst-Agent für Ihr Workstation-Projekt das Cloud KMS. CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel. Dadurch kann der Compute Engine-Dienst in Ihrem Projekt mit dem angegebenen CMEK-Schlüssel verschlüsselt.
```
  gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring KEY_RING \
    --member serviceAccount:WORKSTATIONS_PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KMS_PROJECT_ID

  gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring KEY_RING \
    --member serviceAccount:service-WORKSTATIONS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KMS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- KEY_NAME: der Name des Schlüssels
- LOCATION: Name der Region, in der Sie den Schlüssel erstellt haben klingeln.
- KEY_RING: der Name des Schlüsselbunds
- WORKSTATIONS_PROJECT_NUMBER: der automatisch generierte, eindeutige numerische Kennung, die im ersten Teil enthalten ist des Compute Engine-Standarddienstkontos .
- KMS_PROJECT_ID ist die Projekt-ID, ein eindeutiger String für folgende Aktionen: Ihr Cloud KMS-Projekt von allen anderen Google Cloud
Informationen zu allen Flags und möglichen Werten erhalten Sie, wenn Sie den Befehl mit der Flag --help.
Dienstkonto zur Workstationverwaltung für Ihre Workstation abrufen Projekt erstellen, verwenden Sie den folgenden Befehl:
```
gcloud beta services identity create --service=workstations.googleapis.com \
    --project=WORKSTATIONS_PROJECT_ID
```
WORKSTATIONS_PROJECT_ID durch Ihre Workstations ersetzen Projekt-ID.

Hinweis: Das Dienstkonto für die Workstationverwaltung hat das folgende Format:
service-$WORKSTATIONS_PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com.
Gewähren Sie dem Dienstkonto für die Workstationverwaltung Ihres Projekts die Berechtigung Rolle „Cloud KMS-Betrachter“ (roles/cloudkms.viewer) für den CMEK-Schlüssel. Dadurch kann der Workstationdienst die Schlüsselrotation erkennen Ressourcen nach Bedarf neu zu verschlüsseln.
```
gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring KEY_RING \
    --member WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT \
    --role roles/cloudkms.viewer \
    --project KMS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- KEY_NAME: der Name des Schlüssels
- LOCATION: Name der Region, in der Sie den Schlüssel erstellt haben klingeln.
- KEY_RING: der Name des Schlüsselbunds
- WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT: die Dienstkonto für die Workstationverwaltung, das aus dem obigen Schritt abgerufen wurde.
- KMS_PROJECT_ID: die Projekt-ID, ein eindeutiger String für folgende Aktionen: Ihr Cloud KMS-Schlüsselprojekt von allen anderen in Google Cloud
Informationen zu allen Flags und möglichen Werten erhalten Sie, wenn Sie den Befehl mit der Flag --help.
Optional: Wenn Sie noch keinen Workstationcluster erstellt haben, erstellen Sie einen mit dem Cluster erstellen gcloud.
```
gcloud workstations clusters create \
    WORKSTATIONS_CLUSTER_NAME --region=LOCATION \
    --project=WORKSTATIONS_PROJECT_NUMBER
```
Ersetzen Sie Folgendes:
- WORKSTATIONS_CLUSTER_NAME: der Name des Workstationclusters
- LOCATION: Der Name der Region für Ihren Workstationcluster.
- WORKSTATIONS_PROJECT_NUMBER: der automatisch generierte, eindeutige numerische Kennung, die im ersten Teil enthalten ist des Compute Engine-Standarddienstkontos Workstations-Projekt
Wenn Sie bereits einen Cluster erstellt haben, Workstationkonfiguration erstellen mit Einstellungen für encryption_key.

So erstellen Sie eine Workstationkonfiguration mit dem Maschinentyp e2-standard-2: Zeitlimit bei Inaktivität von 3600s und CMEK-verschlüsselte Workstation-Ressourcen, ausgeführt den folgenden gcloud-Kommandozeilenbefehl:
```
gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \
  --cluster=WORKSTATIONS_CLUSTER_NAME \
  --region=LOCATION \
  --machine-type="e2-standard-2" \
  --idle-timeout=3600 \
  --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \
  --kms-key-service-account="WORKSTATIONS_PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
  --project=WORKSTATIONS_PROJECT_NUMBER
```
Ersetzen Sie Folgendes:
- WORKSTATIONS_CONFIG_NAME: der Name des Workstationkonfiguration.
- WORKSTATIONS_CLUSTER_NAME ist der Name Ihres Workstationclusters.
- LOCATION ist der Name der Region für Ihren Cluster.
- KMS_PROJECT_ID ist die Projekt-ID, ein eindeutiger String für folgende Aktionen: um Ihr Projekt von allen anderen Projekten in Google Cloud zu unterscheiden.
- KEY_RING: der Name des Schlüsselbunds
- KEY_NAME: der Name des Schlüssels
- WORKSTATIONS_PROJECT_NUMBER: der automatisch generierte, eindeutige numerische Kennung, die im ersten Teil enthalten ist des Compute Engine-Standarddienstkontos Workstations-Projekt
Nachdem Sie eine Workstationkonfiguration erstellt haben, verschlüsselt Cloud KMS Den nichtflüchtigen Speicher in Ihrem Projekt mit dem angegebenen Cloud KMS .

Cloud KMS-Kontingente und Cloud Workstations

Wenn Sie CMEK in Cloud Workstations verwenden, Ihre Projekte können kryptografische Cloud KMS-Anfragen nutzen Kontingenten. CMEK-verschlüsselte Repositories können diese Kontingente beispielsweise pro Up- oder Download verbrauchen. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Externe Schlüssel

Sie können Cloud External Key Manager (Cloud EKM) verwenden, um Daten in Google Cloud mit von Ihnen verwalteten externen Schlüsseln zu verschlüsseln.

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels. Wenn der Schlüssel nicht mehr verfügbar ist, Ihre Workstation kann nicht gestartet werden.

Weitere Überlegungen zur Verwendung externer Schlüssel finden Sie unter Cloud External Key Manager.