查看 Application Integration 支援的連接器

客戶管理的加密金鑰

根據預設,應用程式整合功能會加密靜態儲存的客戶內容。應用程式整合功能會為您處理加密作業,您不必採取任何其他動作。這個選項稱為「Google 預設加密」

如果您想控制加密金鑰,可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK),並搭配 CMEK 整合服務 (包括應用程式整合) 使用。使用 Cloud KMS 金鑰可讓您控制金鑰的保護等級、位置、輪替時間表、使用權限和存取權,以及加密範圍。使用 Cloud KMS 還可讓您查看稽核記錄,並控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK),而非由 Google 擁有及管理這些金鑰。

使用 CMEK 設定資源後,存取應用程式整合資源的體驗就會類似使用 Google 預設加密功能。如要進一步瞭解加密選項,請參閱「客戶管理的加密金鑰 (CMEK)」。

事前準備

使用應用程式整合功能的 CMEK 前,請務必完成下列工作:

  1. 針對要用來儲存加密金鑰的專案啟用 Cloud KMS API。

    啟用 Cloud KMS API

  2. 請指派 Cloud KMS 管理員 IAM 角色,或是授予下列 IAM 權限給要用來儲存加密金鑰的專案:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    如要進一步瞭解如何授予其他角色或權限,請參閱「授予、變更及撤銷存取權」。

  3. 建立金鑰環金鑰

將服務帳戶新增至 CMEK 金鑰

如要在 Application Integration 中使用 CMEK 金鑰,您必須確保預設服務帳戶已新增並指派該 CMEK 金鑰的 CryptoKey Encrypter/Decrypter IAM 角色。

  1. 在 Google Cloud 控制台中,前往「重要商品目錄」頁面。

    前往「廣告空間」頁面

  2. 勾選所需 CMEK 金鑰的核取方塊。

    右邊窗格中的「Permissions」分頁隨即顯示。

  3. 按一下「新增主體」,然後輸入預設服務帳戶的電子郵件地址。
  4. 按一下「選取角色」,然後從下拉式清單中選取「Cloud KMS CryptoKey 加密者/解密者」角色。
  5. 按一下「Save」(儲存)

為 Application Integration 區域啟用 CMEK 加密功能

您可以使用 CMEK 加密及解密在已佈建地區範圍內的 PD 上儲存的資料。

如要在 Google Cloud 專案中為 Application Integration 區域啟用 CMEK 加密功能,請執行下列步驟:
  1. 前往 Google Cloud 控制台的「Application Integration」頁面。

    前往「應用程式整合」

  2. 在導覽選單中,按一下「地區」

    系統隨即會顯示「Regions」頁面,列出已佈建的 Application Integration 區域。

  3. 針對要使用 CMEK 的現有整合,請按一下 「Actions」,然後選取「Edit encryption」
  4. 在「編輯加密」窗格中,展開「進階設定」部分。
  5. 選取「使用客戶管理的加密金鑰 (CMEK)」,然後執行下列操作:
    1. 從下拉式選單中選取可用的 CMEK 金鑰。下拉式選單中列出的 CMEK 金鑰,取決於已佈建的區域。如要建立新的金鑰,請參閱「建立新的 CMEK 金鑰」一文。
    2. 按一下「驗證」,確認預設服務帳戶是否有選取的 CMEK 金鑰加密金鑰存取權。
    3. 如果所選 CMEK 金鑰的驗證失敗,請按一下「授予」,將 CryptoKey 加密者/解密者 IAM 角色指派給預設服務帳戶。
  6. 按一下 [完成]

建立新的 CMEK

如果不想使用現有金鑰,或指定區域沒有金鑰,您可以建立新的 CMEK 金鑰。

如要建立新的對稱加密金鑰,請在「Create a new key」對話方塊中執行下列步驟:
  1. 選取「金鑰環」:
    1. 按一下「金鑰環」,然後選擇指定區域中現有的金鑰環。
    2. 如要為金鑰建立新的金鑰環,請按一下「Create key ring」切換按鈕,然後執行下列步驟:
      1. 按一下「Key ring name」(金鑰環名稱),然後輸入金鑰環的名稱。
      2. 按一下「鑰匙圈位置」,然後選擇鑰匙圈的區域位置。
    3. 按一下「繼續」
  2. 建立金鑰:
    1. 按一下「Key name」,然後輸入新金鑰的名稱。
    2. 按一下「Protection level」,然後選取「Software」或「HSM」

      如要瞭解防護等級,請參閱「Cloud KMS 防護等級」。

  3. 查看鑰匙和鑰匙圈的詳細資料,然後按一下「繼續」
  4. 按一下 [建立]。

加密資料

下表列出在 Application Integration 中加密的資料:

資源 加密資料
整合詳細資料
  • 工作設定參數
  • 工作設定說明
整合執行作業資訊
  • 要求參數
  • 回應參數
  • 工作執行詳細資料
驗證設定檔憑證
核准/停權工作詳細資料 核准或暫停設定

Cloud KMS 配額和應用程式整合

在應用程式整合中使用 CMEK 時,專案可能會使用 Cloud KMS 密碼編譯要求配額。舉例來說,CMEK 金鑰可在每次加密和解密呼叫中使用這些配額。

使用 CMEK 金鑰進行加密和解密作業會對 Cloud KMS 配額造成以下影響:

  • 在 Cloud KMS 中產生的軟體 CMEK 金鑰不會消耗 Cloud KMS 配額。
  • 對於硬體 CMEK 金鑰 (有時稱為 Cloud HSM 金鑰),加密和解密作業會計入包含金鑰的專案中 Cloud HSM 配額
  • 對於外部 CMEK 金鑰 (有時稱為 Cloud EKM 金鑰),加密和解密作業會計入包含金鑰的專案中 Cloud EKM 配額

詳情請參閱「Cloud KMS 配額」。