In diesem Dokument wird beschrieben, wie Sie Dataplex-Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln.
Übersicht
In Dataplex werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Dataplex durchgeführt. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Dataplex verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Dataplex-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
In Dataplex wird für alle Dataplex-Ressourcen ein CMEK pro Standort verwendet.
Sie können einen CMEK-Schlüssel in Dataplex auf Organisationsebene konfigurieren.
Weitere Informationen zu CMEKs und deren Aktivierung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs).
Vorteile von CMEK
Mit CMEK haben Sie folgende Möglichkeiten:
- Schlüsselvorgänge des Lebenszyklus und Zugriffsberechtigungen verwalten
- Mit der Key Inventory API und den Dashboards zur Schlüsselnutzung in Cloud KMS können Sie die Schlüsselnutzung im Blick behalten. So sehen Sie beispielsweise, welche Schlüssel welche Ressourcen schützen. Cloud Logging gibt Aufschluss darüber, wann und von wem auf die Schlüssel zugegriffen wurde.
- Durch die Verwaltung Ihrer Verschlüsselungsschlüssel können Sie bestimmte regulatorische Anforderungen erfüllen.
Funktionsweise von CMEK mit Dataplex
Dataplex-Verschlüsselungsadministratoren in Ihrem Google Cloud Projekt können CMEK für Dataplex konfigurieren, indem sie den Cloud KMS-Schlüssel angeben. Anschließend verschlüsselt Dataplex alle Daten mit dem angegebenen Cloud KMS-Schlüssel, einschließlich vorhandener Daten und aller neuen Ressourcen, die in Dataplex erstellt wurden.
Unterstützte Features
- Dataplex unterstützt die CMEK-Verschlüsselung für die folgenden Funktionen:
- Kunden von Assured Workloads können keine anderen Dataplex-Funktionen verwenden, da die CMEK-Verschlüsselung für sie nicht unterstützt wird.
- Kunden, die Assured Workloads nicht verwenden, können andere Funktionen nutzen. Die Daten werden jedoch mit der Standardverschlüsselung von Google verschlüsselt.
Hinweise
- Standardmäßig wird jede Organisation mit der Standardverschlüsselung von Google bereitgestellt.
- Der Organisationsadministrator kann für jeden Speicherort in Dataplex zu CMEK wechseln.
- Dataplex unterstützt Cloud KMS-Schlüssel, Cloud HSM-Schlüssel und Cloud External Key Manager-Schlüssel.
- Die Schlüsselrotation wird unterstützt. Sobald sie verfügbar ist, wird die neue Schlüsselversion automatisch für die Datenverschlüsselung verwendet. Vorhandene Daten werden ebenfalls mit dieser neuen Version verschlüsselt.
- In Dataplex werden Datensicherungen maximal 15 Tage lang aufbewahrt. Alle Sicherungen, die nach der Aktivierung von CMEK erstellt werden, werden mit dem angegebenen KMS-Schlüssel verschlüsselt. Daten, die vor der Aktivierung von CMEK gesichert wurden, bleiben maximal 15 Tage lang mit der Standardverschlüsselung von Google verschlüsselt.
Beschränkungen
- Der Wechsel zu CMEK kann nicht rückgängig gemacht werden. Wenn Sie sich für CMEK entschieden haben, können Sie nicht mehr zur Standardverschlüsselung von Google zurückkehren.
- Nachdem ein Cloud KMS-Schlüssel für Dataplex konfiguriert wurde, kann er nicht mehr aktualisiert oder geändert werden.
- Dataplex unterstützt nur die Verschlüsselung auf Organisationsebene. Die Verschlüsselungskonfiguration wird daher auf Organisationsebene für einen bestimmten Standort festgelegt und zum Verschlüsseln von Dataplex-Daten für alle Projekte innerhalb dieser Organisation und dieses Standorts verwendet. Die CMEK-Verschlüsselung wird nicht für bestimmte Projekte unter einer Organisation oder einem Ordner unterstützt. Das Festlegen von CMEK-bezogenen Organisationsrichtlinien erfordert sorgfältige Überlegungen.
- Dataplex unterstützt CMEK in der globalen Region nicht.
Verschlüsselungsschlüssel schützen
Beachten Sie die folgenden Best Practices, um den Zugriff auf die mit CMEK verschlüsselten Daten aufrechtzuerhalten:
- Achten Sie darauf, dass Ihre CMEK-Schlüssel aktiviert bleiben und darauf zugegriffen werden kann. Wenn ein Schlüssel deaktiviert oder gelöscht wird, ist der Zugriff auf Dataplex-Daten nicht mehr möglich. Wenn der Schlüssel länger als 30 Tage nicht verfügbar ist, werden die damit verschlüsselten Daten automatisch gelöscht und können nicht wiederhergestellt werden.
- Wenn der Cloud KMS-Schlüssel gelöscht wird und nicht wiederhergestellt werden kann, gehen alle zugehörigen Dataplex-Daten dauerhaft verloren.
- Wenn Cloud KMS vorübergehend nicht verfügbar ist, unterstützt Dataplex weiterhin vollständige Vorgänge auf Best-Effort-Basis bis zu einer Stunde. Nach Ablauf dieser Frist sind die Daten aus Sicherheitsgründen vorübergehend nicht mehr zugänglich.
- Wenn Sie Cloud EKM verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihrer extern verwalteten Schlüssel. Eine kurzfristige Schlüsselausfall führt zu einer vorübergehenden Datenunzugänglichkeit. Wenn der Schlüssel 30 Tage lang nicht verfügbar ist, führt dies zu einem dauerhaften Datenverlust.
- Nachdem Sie CMEK aktiviert haben, dürfen Sie keine Projekte mehr von einer Organisation in eine andere verschieben, da dies zu Datenverlusten führt.
Verfügbarkeit von Dataplex
In den folgenden Abschnitten werden der Prozess und die erwarteten betrieblichen Auswirkungen beschrieben, wenn Sie CMEK für Ihre Dataplex-Organisation aktivieren.
Erste Infrastrukturbereitstellung
Nachdem Sie die Verschlüsselungskonfiguration gespeichert haben, richtet Dataplex die erforderliche Infrastruktur ein. Dieser Vorgang dauert in der Regel 6 bis 8 Stunden. Während dieser Bereitstellungsphase haben Sie vollen Zugriff auf alle Dataplex-Funktionen und die Daten bleiben durch die von Google verwaltete Verschlüsselung verschlüsselt. Wenn die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices festgelegt ist, schlagen Anfragen zur Ressourcenerstellung fehl, bis die Bereitstellungsphase abgeschlossen ist.
Datenverschlüsselung und API-Verfügbarkeit
Nach der Bereitstellung der Infrastruktur beginnt Dataplex mit der Verschlüsselung vorhandener Daten, die in der Organisation gespeichert sind. Um die Datenintegrität zu gewährleisten und potenzielle Inkonsistenzen während dieses Verschlüsselungsprozesses zu vermeiden, sind die Dataplex API-Methoden vorübergehend nicht verfügbar. Diese Einschränkung verhindert Datenaktualisierungen. Wenn Sie CMEK für Dataplex zum ersten Mal aktivieren, werden alle vorhandenen Daten verschlüsselt. Dieser einmalige Vorgang dauert voraussichtlich bis zu zwei Stunden.
Vorgänge nach der Verschlüsselung
Nach Abschluss der Datenverschlüsselung sind die Dataplex API-Methoden vollständig verfügbar. Das Erstellen oder Ändern von Daten in Dataplex wird automatisch mit dem konfigurierten CMEK verschlüsselt, ohne Betriebsunterbrechungen oder API-Einschränkungen.
Schlüssel erstellen und CMEK aktivieren
In der folgenden Anleitung wird beschrieben, wie Sie einen Schlüssel erstellen und CMEK für Dataplex aktivieren. Sie können einen Schlüssel verwenden, der direkt in Cloud KMS erstellt wurde, oder einen extern verwalteten Schlüssel, den Sie mit Cloud EKM zur Verfügung stellen.
Gehen Sie in dem Google Cloud Projekt, in dem Sie Ihre Schlüssel verwalten möchten, so vor:
Erstellen Sie einen Cloud KMS-Schlüsselbund an dem Ort, an dem Sie ihn verwenden möchten.
Erstellen Sie einen Schlüssel mit einer der folgenden Optionen:
Erstellen und anzeigen Sie das von Google verwaltete Dienstkonto:
gcloud beta services identity create \ --service=dataplex.googleapis.com \ --organization=ORG_IDErsetzen Sie ORG_ID durch die ID der Organisation, die den Schlüssel enthält.
Wenn Sie aufgefordert werden, die Komponente „Google Cloud CLI Beta Commands“ zu installieren, geben Sie
Yein.Mit dem Befehl
services identityder gcloud CLI wird das spezifische von Google verwaltete Dienstkonto erstellt oder abgerufen, mit dem Dataplex auf den Cloud KMS-Schlüssel zugreifen kann.Die Dienstkonto-ID hat das Format
service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.Weisen Sie dem Dataplex-Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (
roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.Console
Rufen Sie die Seite Schlüsselverwaltung auf.
Klicken Sie auf den Schlüsselbund.
Klicken Sie in der Liste der verfügbaren Schlüssel auf den von Ihnen erstellten Schlüssel.
Klicken Sie auf den Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Gehen Sie im Bereich Zugriff gewähren so vor, um dem Dataplex-Dienstkonto Zugriff zu gewähren:
- Geben Sie unter Hauptkonten hinzufügen das Dienstkonto
service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.comein. - Wählen Sie unter Rollen zuweisen die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ aus.
- Klicken Sie auf Speichern.
- Geben Sie unter Hauptkonten hinzufügen das Dienstkonto
gcloud
Weisen Sie dem Dienstkonto die Rolle
cloudkms.cryptoKeyEncrypterDecrypterzu:gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=LOCATION \ --keyring KEY_RING \ --project=KEY_PROJECT_ID \ --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypterErsetzen Sie Folgendes:
- KEY_NAME: der Schlüsselname
- LOCATION: der Standort
- KEY_RING: der Schlüsselbund
- KEY_PROJECT_ID: die Schlüsselprojekt-ID
Weisen Sie sich selbst die Rolle „Dataplex-Verschlüsselung – Administrator“ zu.
Console
Folgen Sie der Anleitung unter IAM-Rolle gewähren.
gcloud
gcloud organizations add-iam-policy-binding ORG_ID \ --member='user:USER_EMAIL' \ --role='roles/dataplex.encryptionAdmin'Ersetzen Sie Folgendes:
- ORG_ID: die ID der Organisation, die den Schlüssel enthält.
- USER_EMAIL: die E-Mail-Adresse des Nutzers.
Konfigurieren Sie Dataplex für die Verwendung Ihres CMEK-Schlüssels.
Console
Rufen Sie in der Google Cloud Console die Seite Dataplex auf.
Klicken Sie auf Einstellungen.
Wählen Sie unter Region für CMEK auswählen eine Region aus. Die ausgewählte Region muss mit dem Speicherort des Cloud KMS-Schlüssels übereinstimmen.
Wählen Sie unter Verschlüsselungsschlüssel auswählen den von Ihnen erstellten Schlüssel aus.
Klicken Sie auf Speichern.
Die Datenverschlüsselung dauert einige Zeit. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt:
Data Encryption is complete. Your selected CMEK key is now protecting your data.
gcloud
Legen Sie die Verschlüsselungskonfiguration in Dataplex fest:
gcloud alpha dataplex encryption-config create default \ --location=LOCATION \ --organization=ORG_ID \ --key=KEY_RESOURCE_IDErsetzen Sie Folgendes:
- ORG_ID: die ID der Organisation, die den Schlüssel enthält.
- KEY_RESOURCE_ID: die Schlüsselressourcen-ID, z. B.
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ersetzen Sie PROJECT_ID durch die ID des Schlüsselprojekts.
Prüfen Sie, ob die Verschlüsselung abgeschlossen ist:
gcloud alpha dataplex encryption-config describe default \ --location=LOCATION \ --organization=ORG_ID
Die Datenverschlüsselung dauert einige Zeit. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt:
encryptionState: COMPLETED.
Logging und Monitoring
Sie können Dataplex-Anfragen an Cloud KMS prüfen, indem Sie für die Cloud KMS API das Audit-Logging aktivieren.
CMEK-Organisationsrichtlinien
Google Cloud bietet Einschränkungen für Organisationsrichtlinien, mit denen Sie die CMEK-Nutzung erzwingen und die zulässigen Cloud KMS-Schlüssel in Ihrer Organisation steuern können. Diese Einschränkungen tragen dazu bei, dass Daten in Dataplex durch CMEK einheitlich geschützt sind.
constraints/gcp.restrictNonCmekServiceserzwingt die obligatorische Verwendung von CMEKs für Dataplex-Ressourcen.Wenn Sie
dataplex.googleapis.comder Liste der Google Cloud Dienstnamen hinzufügen und die Einschränkung aufDenyfestlegen, wird das Erstellen von Dataplex-Ressourcen ohne CMEK-Schutz verhindert.Wenn in den CMEK-Verschlüsselungseinstellungen kein Cloud KMS-Schlüssel für den angeforderten Speicherort angegeben ist, schlagen Anfragen zum Erstellen von Ressourcen in Dataplex fehl.
Diese Richtlinie wird auf Projektebene der einzelnen Ressourcen geprüft.
Mit
constraints/gcp.restrictCmekCryptoKeyProjectswird die Auswahl von Cloud KMS-Schlüsseln für CMEK auf bestimmte Ressourcenhierarchien beschränkt.Wenn Sie eine Liste von Indikatoren für die Ressourcenhierarchie (Projekte, Ordner oder Organisationen) konfigurieren und die Einschränkung auf
Allowfestlegen, wird Dataplex darauf beschränkt, nur CMEK-Schlüssel aus den angegebenen Speicherorten zu verwenden.Wenn ein Cloud KMS-Schlüssel aus einem nicht zulässigen Projekt angegeben wird, schlagen Anfragen zum Erstellen von CMEK-geschützten Ressourcen in Dataplex fehl.
Diese Richtlinie wird beim Erstellen von Ressourcen auf Ressourcenprojektebene überprüft.
Diese Richtlinie wird bei der Konfiguration der CMEK-Verschlüsselungseinstellungen auf Organisationsebene überprüft.
Achten Sie darauf, dass die Konfigurationen auf Projektebene mit den organisationsweiten Richtlinien übereinstimmen, um Inkonsistenzen zu vermeiden.
Weitere Informationen zum Konfigurieren von Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.