查看 Application Integration 支持的连接器。

客户管理的加密密钥

默认情况下，Application Integration 会对静态客户内容进行加密。Application Integration 会为您处理加密，您无需执行任何其他操作。此选项称为 Google 默认加密。

如果您想要控制加密密钥，则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务（包括 Application Integration）搭配使用。使用 Cloud KMS 密钥时，您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外，您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。 这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK)，而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后，访问 Application Integration 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项，请参阅客户管理的加密密钥 (CMEK)。

准备工作

在使用 CMEK 进行 Application Integration 之前，请确保完成以下任务：

1. 为存储加密密钥的项目启用 Cloud KMS API。

   启用 Cloud KMS API

   • 如果您在设置了 Application Integration 的项目之外的其他项目（共享项目或密钥托管项目）中使用 CMEK，请执行以下操作：
   1. 在共享项目或密钥托管项目中启用以下 API：
      • Cloud Key Management Service API
   2. 在共享项目或密钥托管项目中，向 Application Integration 默认服务账号授予 CMEK 密钥的以下 IAM 角色：
      • Cloud KMS CryptoKey Encrypter/Decrypter
2. 为管理 CMEK 密钥的个人分配 Cloud KMS 管理员 IAM 角色。此外，请为存储加密密钥的项目授予以下 IAM 权限：
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create
   • cloudkms.cryptoKeyVersions.useToEncrypt

   如需了解如何授予其他角色或权限，请参阅授予、更改和撤消访问权限。

3. 创建密钥环和密钥。

将服务账号添加到 CMEK 密钥

如需在 Application Integration 中使用 CMEK 密钥，您必须确保已添加默认服务账号，并为该 CMEK 密钥向该服务账号分配 CryptoKey Encrypter/Decrypter IAM 角色。

1. 在 Google Cloud 控制台中，前往密钥清单页面。

   前往“密钥清单”页面

2. 选中所需的 CMEK 密钥对应的复选框。

   右侧窗格中的权限标签变为可用。

3. 点击添加主账号，然后输入默认服务账号的电子邮件地址。
4. 点击选择角色，然后从下拉列表中选择 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
5. 点击保存。

为 Application Integration 区域启用 CMEK 加密

CMEK 可用于加密和解密已配置区域范围内的 PD 上存储的数据。

如需为 Google Cloud 项目中的 Application Integration 区域启用 CMEK 加密，请执行以下步骤：

1. 在 Google Cloud 控制台中，前往 Application Integration 页面。

   前往 Application Integration

2. 在导航菜单中，点击区域。

   系统会显示“区域”页面，其中列出了为 Application Integration 预配的区域。

3. 对于要使用 CMEK 的现有集成，请点击 more_vert 操作，然后选择修改加密配置。
4. 在修改加密窗格中，展开高级设置部分。
5. 选择使用客户管理的加密密钥 (CMEK)，然后执行以下操作：
   1. 从下拉列表中选择一个可用的 CMEK 密钥。下拉列表中列出的 CMEK 密钥基于已配置的区域。如需创建新密钥，请参阅创建新的 CMEK 密钥。
   2. 点击验证，检查您的默认服务账号是否具有对所选 CMEK 密钥的 cryptokey 访问权限。
   3. 如果所选 CMEK 密钥的验证失败，请点击授予，将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务账号。
6. 点击完成。

创建新的 CMEK

如果您不想使用现有密钥，或者在指定区域中没有密钥，则可以创建新的 CMEK 密钥。

如需创建新的对称加密密钥，请在创建新密钥对话框中执行以下步骤：

1. 选择密钥环：
   1. 点击密钥环，然后选择指定区域中的现有密钥环。
   2. 如果您想为密钥创建新密钥环，请点击创建密钥环切换开关，然后执行以下步骤：
      1. 点击密钥环名称，然后输入密钥环的名称。
      2. 点击密钥环位置，然后选择密钥环的区域位置。
   3. 点击继续。
2. 创建密钥：
   1. 点击密钥名称，然后输入新密钥的名称。
   2. 点击保护级别，然后选择软件或 HSM。

      如需了解保护级别，请参阅 Cloud KMS 保护级别。

3. 检查密钥和密钥环的详细信息，然后点击继续。
4. 点击创建。

加密数据

下表列出了在 Application Integration 中加密的数据：

资源	加密数据
集成详情	任务配置参数 任务配置说明
集成执行信息	请求参数 响应参数 任务执行详情
身份验证配置文件凭据	用户名和密码 API 密钥 OAuth 2.0 授权代码 OAuth 2.0 客户端凭据 OAuth 2.0 资源所有者密码凭据 身份验证令牌 JWT 令牌 服务账号 SSL/TLS 客户端证书 Google OIDC ID 令牌
审批/中止任务详情	审批或中止配置

Cloud KMS 配额和 Application Integration

在 Application Integration 中使用 CMEK 时，您的项目可能会消耗 Cloud KMS 加密请求配额。例如，CMEK 密钥可为每次加密和解密调用消耗这些配额。

使用 CMEK 密钥执行的加密和解密操作通过以下方式影响 Cloud KMS 配额：

• 对于在 Cloud KMS 中生成的软件 CMEK 密钥，不会消耗 Cloud KMS 配额。
• 对于硬件 CMEK 密钥（有时称为 Cloud HSM 密钥），加密和解密操作会计入包含该密钥的项目中的 Cloud HSM 配额。
• 对于外部 CMEK 密钥（有时称为 Cloud EKM 密钥），加密和解密操作会计入包含该密钥的项目中的 Cloud EKM 配额。

如需了解详情，请参阅 Cloud KMS 配额。