查看 Application Integration 支持的连接器

客户管理的加密密钥

默认情况下,Application Integration对静态客户内容进行加密。Application Integration 会为您处理加密,您无需执行任何其他操作。此选项称为 Google 默认加密

如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Application Integration)搭配使用。使用 Cloud KMS 密钥时,您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后,访问 Application Integration 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项,请参阅客户管理的加密密钥 (CMEK)

准备工作

在将 CMEK 用于 Application Integration 之前,请确保已完成以下任务:

  1. 为存储加密密钥的项目启用 Cloud KMS API。

    启用 Cloud KMS API

  2. 为存储加密密钥的项目分配 Cloud KMS Admin IAM 角色,或为该项目授予以下 IAM 权限:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    如需了解如何授予其他角色或权限,请参阅授予、更改和撤消访问权限

  3. 创建密钥环密钥

将服务账号添加到 CMEK 密钥

如需在 Application Integration 中使用 CMEK 密钥,您必须确保已添加默认服务账号,并为该 CMEK 密钥分配 CryptoKey Encrypter/Decrypter IAM 角色。

  1. 在 Google Cloud 控制台中,前往密钥目录页面。

    前往“Key Inventory”页面

  2. 选中所需 CMEK 密钥对应的复选框。

    右侧窗格中的权限标签变为可用。

  3. 点击添加主账号,然后输入默认服务账号的电子邮件地址。
  4. 点击选择角色,然后从可用下拉列表中选择 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
  5. 点击保存

为 Application Integration 区域启用 CMEK 加密

CMEK 可用于加密和解密预配区域范围内 PD 上存储的数据

如需为 Google Cloud 项目中的 Application Integration 区域启用 CMEK 加密,请执行以下步骤:
  1. 在 Google Cloud 控制台中,前往 Application Integration 页面。

    前往“Application Integration”

  2. 在导航菜单中,点击地区

    系统随即会显示区域页面,其中列出了为 Application Integration 预配的区域。

  3. 对于要使用 CMEK 的现有集成,请点击 操作,然后选择修改加密
  4. 修改加密设置窗格中,展开高级设置部分。
  5. 选择使用客户管理的加密密钥 (CMEK),然后执行以下操作:
    1. 从可用下拉列表中选择一个 CMEK 密钥。下拉菜单中列出的 CMEK 密钥取决于预配的区域。如需创建新密钥,请参阅创建新的 CMEK 密钥
    2. 点击验证,检查您的默认服务账号是否对所选 CMEK 密钥拥有加密密钥访问权限。
    3. 如果所选 CMEK 密钥的验证失败,请点击授予,将 CryptoKey Encrypter/Decrypter IAM 角色分配给默认服务账号。
  6. 点击完成

创建新的 CMEK

如果您不想使用现有密钥,或者您在指定区域没有密钥,则可以创建新的 CMEK 密钥。

如需创建新的对称加密密钥,请在创建新密钥对话框中执行以下步骤:
  1. 选择“密钥环”:
    1. 点击密钥环,然后选择指定区域中的现有密钥环。
    2. 如果您想为密钥创建新的密钥环,请点击创建密钥环切换开关,然后执行以下步骤:
      1. 点击密钥环名称,然后输入密钥环的名称。
      2. 点击密钥环位置,然后选择密钥环所在的区域位置。
    3. 点击继续
  2. 创建密钥:
    1. 点击密钥名称,然后为新密钥输入名称。
    2. 点击保护级别,然后选择软件HSM

      如需了解保护级别,请参阅 Cloud KMS 保护级别

  3. 查看您的密钥和密钥环详细信息,然后点击继续
  4. 点击创建

加密数据

下表列出了在 Application Integration 中加密的数据:

资源 加密数据
集成详情
  • 任务配置参数
  • 任务配置说明
集成执行信息
  • 请求参数
  • 响应参数
  • 任务执行详情
身份验证配置文件凭据
审批/暂停任务详情 审批或暂停配置

Cloud KMS 配额和 Application Integration

在 Application Integration 中使用 CMEK 时,您的项目可能会消耗 Cloud KMS 加密请求配额。例如,CMEK 密钥可为每次加密和解密调用消耗这些配额。

使用 CMEK 密钥执行的加密和解密操作通过以下方式影响 Cloud KMS 配额:

  • 对于在 Cloud KMS 中生成的软件 CMEK 密钥,不会消耗 Cloud KMS 配额。
  • 对于硬件 CMEK 密钥(有时称为 Cloud HSM 密钥),加密和解密操作会计入包含该密钥的项目中的 Cloud HSM 配额
  • 对于外部 CMEK 密钥(有时称为 Cloud EKM 密钥),加密和解密操作会计入包含该密钥的项目中的 Cloud EKM 配额

如需了解详情,请参阅 Cloud KMS 配额