Vom Kunden verwaltete Verschlüsselungsschlüssel

In der Anwendungsintegration werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Application Integration durchgeführt. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie der Anwendungsintegration verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Ressourcen für die Anwendungsintegration der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie CMEK für die Anwendungsintegration verwenden:

Aktivieren Sie die Cloud KMS API für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.
Cloud KMS API aktivieren
Tipp:Sie können Application Integration und Cloud KMS im selben Google Cloud-Projekt oder in verschiedenen Projekten ausführen.
Weisen Sie die IAM-Rolle Cloud KMS Admin zu oder gewähren Sie dem Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden, die folgenden IAM-Berechtigungen:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Achtung : Die Rolle „Cloud KMS-Administrator“ enthält Berechtigungen für die Schlüsselverwaltung und das Löschen von Schlüsselversionen. Zum Schutz Ihrer Cloud KMS-Ressourcen sollte diese Rolle nur Personen zugewiesen werden, die für die Schlüsselverwaltung verantwortlich sind.
Erstellen Sie einen Schlüsselbund und einen Schlüssel.
Hinweis : Der Schlüsselbund muss in derselben Region erstellt werden, in der Sie die Anwendungsintegration eingerichtet haben.

Dienstkonto zum CMEK-Schlüssel hinzufügen

Wenn Sie einen CMEK-Schlüssel in der Anwendungsintegration verwenden möchten, müssen Sie dafür sorgen, dass Ihr Standarddienstkonto hinzugefügt und ihm die IAM-Rolle CryptoKey-Verschlüsseler/-Entschlüsseler für diesen CMEK-Schlüssel zugewiesen wird.

Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.
Seite „Wichtiges Inventar“ aufrufen
Klicken Sie das Kästchen für den gewünschten CMEK-Schlüssel an.
Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
Klicken Sie auf Hauptkonto hinzufügen und geben Sie die E-Mail-Adresse des Standarddienstkontos ein.
Klicken Sie auf Rolle auswählen und wählen Sie in der Drop-down-Liste die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Speichern.

CMEK-Verschlüsselung für eine Region für die Anwendungsintegration aktivieren

Mit CMEK können auf PDs gespeicherte Daten im Bereich der bereitgestellten Region verschlüsselt und entschlüsselt werden.

So aktivieren Sie die CMEK-Verschlüsselung für eine Region der Anwendungsintegration in Ihrem Google Cloud-Projekt:

Rufen Sie in der Google Cloud Console die Seite Application Integration auf.
Gehen Sie zu „Application Integration“ (Anwendungsintegration).
Klicken Sie im Navigationsmenü auf Regionen.
Die Seite Regionen wird angezeigt. Dort sind die bereitgestellten Regionen für Application Integration aufgeführt.
Klicken Sie für die vorhandene Integration, für die Sie CMEK verwenden möchten, auf Aktionen und wählen Sie Verschlüsselung bearbeiten aus.
Maximieren Sie im Bereich Verschlüsselung bearbeiten den Abschnitt Erweiterte Einstellungen.
Wählen Sie Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus und gehen Sie so vor:
1. Wählen Sie einen CMEK-Schlüssel aus der Drop-down-Liste aus. Die im Drop-down-Menü aufgeführten CMEK-Schlüssel basieren auf der bereitgestellten Region. Informationen zum Erstellen eines neuen Schlüssels finden Sie unter Neuen CMEK-Schlüssel erstellen.
2. Klicken Sie auf Überprüfen, um zu prüfen, ob Ihr Standarddienstkonto Kryptoschlüsselzugriff auf den ausgewählten CMEK-Schlüssel hat.
3. Wenn die Überprüfung für den ausgewählten CMEK-Schlüssel fehlschlägt, klicken Sie auf Zuweisen, um dem Standarddienstkonto die IAM-Rolle CryptoKey-Verschlüsseler/Entschlüsseler zuzuweisen.
Klicken Sie auf Fertig.

Neuen CMEK erstellen

Sie können einen neuen CMEK-Schlüssel erstellen, wenn Sie den vorhandenen Schlüssel nicht verwenden möchten oder keinen Schlüssel in der angegebenen Region haben.

Führen Sie im Dialogfeld Neuen Schlüssel erstellen die folgenden Schritte aus, um einen neuen symmetrischen Verschlüsselungsschlüssel zu erstellen:

Wählen Sie „Schlüsselbund“ aus:
1. Klicken Sie auf Schlüsselbund und wählen Sie einen vorhandenen Schlüsselbund in der angegebenen Region aus.
2. Wenn Sie einen neuen Schlüsselbund für Ihren Schlüssel erstellen möchten, klicken Sie auf die Ein/Aus-Schaltfläche Schlüsselbund erstellen und führen Sie die folgenden Schritte aus:
  1. Klicken Sie auf Schlüsselbundname und geben Sie einen Namen für den Schlüsselbund ein.
  2. Klicken Sie auf Ort für den Schlüsselbund und wählen Sie den regionalen Standort Ihres Schlüsselbunds aus.
    Hinweis:Für die CMEK-Verschlüsselung muss der Schlüsselbund in derselben Region wie die Anwendungsintegration erstellt werden.
3. Klicken Sie auf Weiter.
Schlüssel erstellen:
1. Klicken Sie auf Schlüsselname und geben Sie einen Namen für den neuen Schlüssel ein.
2. Klicken Sie auf Schutzniveau und wählen Sie entweder Software oder HSM aus.
  Informationen zu den Schutzniveaus finden Sie unter Cloud KMS-Schutzniveaus.
Überprüfen Sie die Details zum Schlüssel und Schlüsselring und klicken Sie auf Weiter.
Klicken Sie auf Erstellen.

Verschlüsselte Daten

In der folgenden Tabelle sind die Daten aufgeführt, die in der Anwendungsintegration verschlüsselt werden:

Ressource	Verschlüsselte Daten
Integrationsdetails	Parameter für die Aufgabenkonfiguration Beschreibungen der Aufgabenkonfiguration
Informationen zur Ausführung der Integration	Anfrageparameter Antwortparameter Details zur Aufgabenausführung
Anmeldedaten für das Authentifizierungsprofil	Nutzername und Passwörter API-Schlüssel OAuth 2.0-Autorisierungscode OAuth 2.0-Clientanmeldedaten Anmeldedaten für den OAuth 2.0-Ressourceninhaber Auth-Tokens JWT-Tokens Dienstkonten SSL/TLS-Clientzertifikate Google OIDC-ID-Tokens
Details zur Genehmigungs-/Sperrungsaufgabe	Konfigurationen für Genehmigungen oder Sperrungen

Cloud KMS-Kontingente und Anwendungsintegration

Wenn Sie CMEK in der Anwendungsintegration verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-Schlüssel können diese Kontingente beispielsweise pro Verschlüsselungs- und Entschlüsselungsaufruf verbrauchen.

Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:

Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.

Weitere Informationen finden Sie unter Cloud KMS-Kontingente.