Unterstützte Connectors für Application Integration

Vom Kunden verwaltete Verschlüsselungsschlüssel

Application Integration verschlüsselt inaktive Kundendaten standardmäßig. Application Integration übernimmt die Verschlüsselung für Sie. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Application Integration verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Application Integration-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Hinweise

Achten Sie darauf, dass die folgenden Aufgaben abgeschlossen sind, bevor Sie CMEK für die Anwendungsintegration verwenden:

  1. Aktivieren Sie die Cloud KMS API für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.

    Cloud KMS API aktivieren

    • Wenn Sie CMEK in einem anderen Projekt (freigegebenes oder Schlüssel-Hosting-Projekt) als dem verwenden, in dem Sie die Anwendungsintegration eingerichtet haben:
      1. Aktivieren Sie die folgende API im freigegebenen oder im Schlüssel-Hosting-Projekt:
      2. Weisen Sie dem Standarddienstkonto von Application Integration im freigegebenen oder schlüsselhostenden Projekt die folgende IAM-Rolle für den CMEK-Schlüssel zu:
  2. Weisen Sie den Personen, die die CMEK-Schlüssel verwalten, die IAM-Rolle Cloud KMS-Administrator zu. Gewähren Sie außerdem die folgenden IAM-Berechtigungen für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create
    • cloudkms.cryptoKeyVersions.useToEncrypt

    Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

  3. Erstellen Sie einen Schlüsselbund und einen Schlüssel.

Dienstkonto zum CMEK-Schlüssel hinzufügen

Wenn Sie einen CMEK-Schlüssel in Application Integration verwenden möchten, müssen Sie dafür sorgen, dass Ihr Standarddienstkonto hinzugefügt und ihm die IAM-Rolle CryptoKey-Verschlüsseler/-Entschlüsseler für diesen CMEK-Schlüssel zugewiesen ist.

  1. Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.

    Zur Seite „Schlüsselinventar“

  2. Klicken Sie das Kästchen für den gewünschten CMEK-Schlüssel an.

    Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.

  3. Klicken Sie auf Hauptkonto hinzufügen und geben Sie die E-Mail-Adresse des Standarddienstkontos ein.
  4. Klicken Sie auf Rolle auswählen und wählen Sie in der Drop-down-Liste die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
  5. Klicken Sie auf Speichern.

CMEK-Verschlüsselung für eine Application Integration-Region aktivieren

Mit CMEK können gespeicherte Daten auf PDs in der bereitgestellten Region verschlüsselt und entschlüsselt werden.

Führen Sie die folgenden Schritte aus, um die CMEK-Verschlüsselung für eine Application Integration-Region in Ihrem Google Cloud-Projekt zu aktivieren:
  1. Rufen Sie in der Google Cloud Console die Seite Application Integration auf.

    Zu „Application Integration“

  2. Klicken Sie im Navigationsmenü auf Regionen.

    Die Seite Regionen wird angezeigt. Dort sind die bereitgestellten Regionen für Application Integration aufgeführt.

  3. Klicken Sie für die vorhandene Integration, für die Sie CMEK verwenden möchten, auf  Aktionen und wählen Sie Verschlüsselung bearbeiten aus.
  4. Maximieren Sie im Bereich Verschlüsselung bearbeiten den Abschnitt Erweiterte Einstellungen.
  5. Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus und gehen Sie so vor:
    1. Wählen Sie einen CMEK-Schlüssel aus der Drop-down-Liste aus. Die im Drop-down-Menü aufgeführten CMEK-Schlüssel basieren auf der bereitgestellten Region. Informationen zum Erstellen eines neuen Schlüssels finden Sie unter Neuen CMEK-Schlüssel erstellen.
    2. Klicken Sie auf Bestätigen, um zu prüfen, ob Ihr Standarddienstkonto Cryptokey-Zugriff auf den ausgewählten CMEK-Schlüssel hat.
    3. Wenn die Überprüfung für den ausgewählten CMEK-Schlüssel fehlschlägt, klicken Sie auf Erteilen, um dem Standarddienstkonto die IAM-Rolle CryptoKey-Verschlüsseler/-Entschlüsseler zuzuweisen.
  6. Klicken Sie auf Fertig.

Neuen CMEK erstellen

Sie können einen neuen CMEK-Schlüssel erstellen, wenn Sie Ihren vorhandenen Schlüssel nicht verwenden möchten oder wenn Sie in der angegebenen Region keinen Schlüssel haben.

So erstellen Sie einen neuen symmetrischen Verschlüsselungsschlüssel: Führen Sie im Dialogfeld Neuen Schlüssel erstellen die folgenden Schritte aus:
  1. Wählen Sie einen Schlüsselbund aus:
    1. Klicken Sie auf Schlüsselbund und wählen Sie einen vorhandenen Schlüsselbund in der angegebenen Region aus.
    2. Wenn Sie einen neuen Schlüsselbund für Ihren Schlüssel erstellen möchten, klicken Sie auf die Schaltfläche Schlüsselbund erstellen und führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf Schlüsselbundname und geben Sie einen Namen für den Schlüsselbund ein.
      2. Klicken Sie auf Schlüsselbundort und wählen Sie den regionalen Standort Ihres Schlüsselbunds aus.
    3. Klicken Sie auf Weiter.
  2. Schlüssel erstellen:
    1. Klicken Sie auf Schlüsselname und geben Sie einen Namen für den neuen Schlüssel ein.
    2. Klicken Sie auf Schutzniveau und wählen Sie entweder Software oder HSM aus.

      Informationen zu Schutzniveaus finden Sie unter Cloud KMS-Schutzniveaus.

  3. Prüfen Sie die Details zu Ihrem Schlüssel und Schlüsselbund und klicken Sie auf Weiter.
  4. Klicken Sie auf Erstellen.

Verschlüsselte Daten

In der folgenden Tabelle sind die Daten aufgeführt, die in Application Integration verschlüsselt werden:

Ressource Verschlüsselte Daten
Integrationsdetails
  • Parameter für die Aufgabenkonfiguration
  • Beschreibungen der Aufgabenkonfiguration
Informationen zur Ausführung der Integration
  • Anfrageparameter
  • Antwortparameter
  • Details zur Taskausführung
Anmeldedaten für Authentifizierungsprofile
Details zu Aufgaben vom Typ „Genehmigung“/„Sperren“ Konfigurationen für Genehmigung oder Sperrung

Cloud KMS-Kontingente und Application Integration

Wenn Sie CMEK in Application Integration verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-Schlüssel können diese Kontingente beispielsweise für jeden Verschlüsselungs- und Entschlüsselungsaufruf verbrauchen.

Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:

  • Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
  • Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
  • Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.

Weitere Informationen finden Sie unter Cloud KMS-Kontingente.