„Vom Kunden verwaltete Verschlüsselungsschlüssel“ aktivieren

In diesem Dokument wird beschrieben, wie Sie Dataplex Universal Catalog-Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln.

Übersicht

In Dataplex Universal Catalog werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Dataplex Universal Catalog durchgeführt und verwaltet. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie dem Dataplex Universal Catalog verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Dataplex Universal Catalog-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

In Dataplex Universal Catalog wird für alle Ressourcen von Dataplex Universal Catalog eine CMEK pro Speicherort verwendet.

Sie können einen CMEK-Schlüssel auf Organisationsebene in Dataplex Universal Catalog konfigurieren.

Weitere Informationen zu CMEKs und deren Aktivierung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs).

Vorteile von CMEK

Mit CMEK haben Sie folgende Möglichkeiten:

• Schlüsselvorgänge des Lebenszyklus und Zugriffsberechtigungen verwalten
• Mit der Key Inventory API und den Dashboards zur Schlüsselnutzung in Cloud KMS können Sie die Schlüsselnutzung im Blick behalten. So sehen Sie beispielsweise, welche Schlüssel welche Ressourcen schützen. Cloud Logging gibt Aufschluss darüber, wann und von wem auf die Schlüssel zugegriffen wurde.
• Durch die Verwaltung Ihrer Verschlüsselungsschlüssel können Sie bestimmte regulatorische Anforderungen erfüllen.

Funktionsweise von CMEK mit Dataplex Universal Catalog

Die Verschlüsselungsadministratoren von Dataplex Universal Catalog in Ihrem Google Cloud Projekt können CMEK für Dataplex Universal Catalog konfigurieren, indem sie den Cloud KMS-Schlüssel angeben. Anschließend verschlüsselt Dataplex Universal Catalog alle Daten mit dem angegebenen Cloud KMS-Schlüssel, einschließlich vorhandener Daten und aller neuen Ressourcen, die in Dataplex Universal Catalog erstellt wurden.

Unterstützte Features

• Dataplex Universal Catalog unterstützt die CMEK-Verschlüsselung für die folgenden Funktionen:
  • Automatische Datenqualität
  • Datenprofilierung
  • Datenermittlung
  • Statistiken
• In Data Lineage werden keine Kundeninhalte oder sensiblen Daten gespeichert. Daher ist keine CMEK-Verschlüsselung erforderlich.
• Kunden von Assured Workloads können keine anderen Funktionen von Dataplex Universal Catalog verwenden, da die CMEK-Verschlüsselung für sie nicht unterstützt wird.
• Kunden, die Assured Workloads nicht verwenden, können andere Funktionen nutzen. Die Daten werden jedoch mit der Standardverschlüsselung von Google verschlüsselt.

Hinweise

• Standardmäßig wird jede Organisation mit der Standardverschlüsselung von Google bereitgestellt.
• Der Administrator der Organisation kann in Dataplex Universal Catalog für jeden Speicherort zu CMEK wechseln.
• Der Dataplex Universal Catalog unterstützt Cloud KMS-Schlüssel, Cloud HSM-Schlüssel und Cloud External Key Manager-Schlüssel.
• Die Schlüsselrotation wird unterstützt. Sobald sie verfügbar ist, wird die neue Schlüsselversion automatisch für die Datenverschlüsselung verwendet. Vorhandene Daten werden ebenfalls mit dieser neuen Version verschlüsselt.
• Im Dataplex Universal Catalog werden Datensicherungen maximal 15 Tage lang aufbewahrt. Alle Sicherungen, die nach der Aktivierung von CMEK erstellt werden, werden mit dem angegebenen KMS-Schlüssel verschlüsselt. Daten, die vor der Aktivierung von CMEK gesichert wurden, bleiben maximal 15 Tage lang mit der Standardverschlüsselung von Google verschlüsselt.

Beschränkungen

• Der Wechsel zu CMEK ist irreversibel. Wenn Sie sich für CMEK entschieden haben, können Sie nicht mehr zur Standardverschlüsselung von Google zurückkehren.
• Nachdem ein Cloud KMS-Schlüssel für Dataplex Universal Catalog konfiguriert wurde, kann er nicht mehr aktualisiert oder geändert werden.
• Dataplex Universal Catalog unterstützt nur die Verschlüsselung auf Organisationsebene. Die Verschlüsselungskonfiguration wird daher auf Organisationsebene für einen bestimmten Standort festgelegt und verwendet, um Dataplex Universal Catalog-Daten für alle Projekte innerhalb dieser Organisation und dieses Standorts zu verschlüsseln. Die CMEK-Verschlüsselung wird für bestimmte Projekte in einer Organisation oder einem Ordner nicht unterstützt. Das Festlegen von CMEK-bezogenen Organisationsrichtlinien erfordert sorgfältige Überlegungen.
• Dataplex Universal Catalog unterstützt CMEK in der globalen Region nicht.
• Der CMEK-Schutz ist für Metadaten, die in Aspekten und Glossaren erfasst werden, nicht verfügbar.

Verschlüsselungsschlüssel schützen

Beachten Sie die folgenden Best Practices, um den Zugriff auf die mit CMEK verschlüsselten Daten aufrechtzuerhalten:

• Achten Sie darauf, dass Ihre CMEK-Schlüssel aktiviert bleiben und darauf zugegriffen werden kann. Wenn ein Schlüssel deaktiviert oder gelöscht wird, ist kein Zugriff mehr auf Dataplex Universal Catalog-Daten möglich. Wenn der Schlüssel länger als 30 Tage nicht verfügbar ist, werden die damit verschlüsselten Daten automatisch gelöscht und können nicht wiederhergestellt werden.
• Wenn der Cloud KMS-Schlüssel gelöscht wird und nicht wiederhergestellt werden kann, gehen alle zugehörigen Dataplex Universal Catalog-Daten dauerhaft verloren.
• Wenn Cloud KMS vorübergehend nicht verfügbar ist, unterstützt Dataplex Universal Catalog bis zu eine Stunde lang weiterhin vollständige Vorgänge auf Best-Effort-Basis. Nach Ablauf dieser Frist sind die Daten aus Sicherheitsgründen vorübergehend nicht mehr zugänglich.
• Wenn Sie Cloud EKM verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihrer extern verwalteten Schlüssel. Eine kurzfristige Nichtverfügbarkeit des Schlüssels führt zu einer vorübergehenden Datenunzugänglichkeit. Wenn der Schlüssel 30 Tage lang nicht verfügbar ist, gehen die Daten endgültig verloren.
• Nachdem Sie CMEK aktiviert haben, dürfen Sie keine Projekte mehr von einer Organisation in eine andere verschieben, da dies zu Datenverlusten führt.

Verfügbarkeit von Dataplex Universal Catalog

In den folgenden Abschnitten werden der Prozess und die erwarteten betrieblichen Auswirkungen beschrieben, wenn Sie CMEK für Ihre Dataplex Universal Catalog-Organisation aktivieren.

Erste Infrastrukturbereitstellung

Nachdem Sie die Verschlüsselungskonfiguration gespeichert haben, richtet Dataplex Universal Catalog die erforderliche Infrastruktur ein. Dieser Vorgang dauert in der Regel 6 bis 8 Stunden. Während dieser Bereitstellungsphase haben Sie vollen Zugriff auf alle Funktionen von Dataplex Universal Catalog. Die Daten bleiben durch die von Google verwaltete Verschlüsselung verschlüsselt. Wenn die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices festgelegt ist, schlagen Anfragen zur Ressourcenerstellung fehl, bis die Bereitstellungsphase abgeschlossen ist.

Datenverschlüsselung und API-Verfügbarkeit

Nach der Infrastrukturbereitstellung beginnt Dataplex Universal Catalog damit, vorhandene Daten in der Organisation zu verschlüsseln. Um die Datenintegrität zu gewährleisten und potenzielle Inkonsistenzen während dieses Verschlüsselungsprozesses zu vermeiden, sind die Dataplex Universal Catalog API-Methoden vorübergehend nicht verfügbar. Diese Einschränkung verhindert Datenaktualisierungen. Wenn Sie CMEK für Dataplex Universal Catalog zum ersten Mal aktivieren, werden alle vorhandenen Daten verschlüsselt. Dieser einmalige Vorgang dauert voraussichtlich bis zu zwei Stunden.

Vorgänge nach der Verschlüsselung

Nach Abschluss der Datenverschlüsselung sind die Dataplex Universal Catalog API-Methoden vollständig verfügbar. Das Erstellen oder Ändern von Daten im Dataplex Universal Catalog wird automatisch mit dem konfigurierten CMEK verschlüsselt, ohne Betriebsunterbrechungen oder API-Einschränkungen.

Schlüssel erstellen und CMEK aktivieren

In der folgenden Anleitung wird beschrieben, wie Sie einen Schlüssel erstellen und CMEK für den Dataplex Universal Catalog aktivieren. Sie können einen Schlüssel verwenden, der direkt in Cloud KMS erstellt wurde, oder einen extern verwalteten Schlüssel, den Sie mit Cloud EKM zur Verfügung stellen.

1. Gehen Sie in dem Google Cloud Projekt, in dem Sie Ihre Schlüssel verwalten möchten, so vor:

   1. Cloud Key Management Service API aktivieren

   2. Erstellen Sie einen Cloud KMS-Schlüsselbund an dem Ort, an dem Sie ihn verwenden möchten.

   3. Erstellen Sie einen Schlüssel mit einer der folgenden Optionen:

      • Cloud KMS-Schlüssel erstellen
      • Externen Schlüssel erstellen

2. Erstellen und anzeigen Sie das von Google verwaltete Dienstkonto:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Ersetzen Sie ORG_ID durch die ID der Organisation, die den Schlüssel enthält.

   Wenn Sie aufgefordert werden, die Komponente „Google Cloud CLI Beta Commands“ zu installieren, geben Sie Y ein.

   Mit dem Befehl services identity der gcloud CLI wird das spezifische von Google verwaltete Dienstkonto erstellt oder abgerufen, mit dem der Dataplex Universal Catalog auf den Cloud KMS-Schlüssel zugreifen kann.

   Die Dienstkonto-ID hat das Format service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.

3. Weisen Sie dem Dataplex Universal Catalog-Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.

   Console

   1. Rufen Sie die Seite Schlüsselverwaltung auf.

      Schlüsselverwaltung aufrufen

   2. Klicken Sie auf den Schlüsselbund.

   3. Klicken Sie in der Liste der verfügbaren Schlüssel auf den von Ihnen erstellten Schlüssel.

   4. Klicken Sie auf den Tab Berechtigungen.

   5. Klicken Sie auf Zugriff erlauben.

   6. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus, um dem Dienstkonto von Dataplex Universal Catalog Zugriff zu gewähren:

      1. Geben Sie unter Hauptkonten hinzufügen das Dienstkonto service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com ein.
      2. Wählen Sie unter Rollen zuweisen die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ aus.
      3. Klicken Sie auf Speichern.

   gcloud

   Weisen Sie dem Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Ersetzen Sie Folgendes:

   • KEY_NAME: der Schlüsselname
   • LOCATION: der Standort
   • KEY_RING: der Schlüsselbund
   • KEY_PROJECT_ID: die Schlüsselprojekt-ID

4. Weisen Sie sich selbst die Rolle „Dataplex-Verschlüsselung – Administrator“ zu.

   Console

   Folgen Sie der Anleitung unter IAM-Rolle gewähren.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Ersetzen Sie Folgendes:

   • ORG_ID: die ID der Organisation, die den Schlüssel enthält.
   • USER_EMAIL: die E-Mail-Adresse des Nutzers.

5. Konfigurieren Sie Dataplex Universal Catalog für die Verwendung Ihres CMEK-Schlüssels.

   Console

   1. Rufen Sie in der Google Cloud Console die Seite Dataplex auf.

      Zu Dataplex

   2. Klicken Sie auf Einstellungen.

   3. Wählen Sie unter Region für CMEK auswählen eine Region aus. Die ausgewählte Region muss mit dem Speicherort des Cloud KMS-Schlüssels übereinstimmen.

   4. Wählen Sie unter Verschlüsselungsschlüssel auswählen den von Ihnen erstellten Schlüssel aus.

   5. Klicken Sie auf Speichern.

      Die Datenverschlüsselung dauert einige Zeit. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Verschlüsselungskonfiguration in Dataplex Universal Catalog festlegen:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Ersetzen Sie Folgendes:

      • ORG_ID: die ID der Organisation, die den Schlüssel enthält.
      • KEY_RESOURCE_ID: die Schlüsselressourcen-ID, z. B. projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ersetzen Sie PROJECT_ID durch die ID des Schlüsselprojekts.

   2. Prüfen Sie, ob die Verschlüsselung abgeschlossen ist:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   Die Datenverschlüsselung dauert einige Zeit. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt: encryptionState: COMPLETED.

Logging und Monitoring

Sie können Dataplex Universal Catalog-Anfragen an Cloud KMS prüfen, indem Sie für die Cloud KMS API das Audit-Logging aktivieren.

CMEK-Organisationsrichtlinien

Google Cloud bietet Einschränkungen für Organisationsrichtlinien, mit denen Sie die CMEK-Nutzung erzwingen und die zulässigen Cloud KMS-Schlüssel in Ihrer Organisation steuern können. Diese Einschränkungen tragen dazu bei, dass Daten im Dataplex Universal Catalog durch CMEK einheitlich geschützt werden.

• constraints/gcp.restrictNonCmekServices erzwingt die obligatorische Verwendung von CMEK für Dataplex Universal Catalog-Ressourcen.

  • Wenn Sie dataplex.googleapis.com der Liste der Google Cloud Dienstnamen hinzufügen und die Einschränkung auf Deny festlegen, können keine Dataplex Universal Catalog-Ressourcen ohne CMEK-Schutz erstellt werden.

  • Wenn in den CMEK-Verschlüsselungseinstellungen kein Cloud KMS-Schlüssel für den angeforderten Speicherort angegeben ist, schlagen Anfragen zum Erstellen von Ressourcen im Dataplex Universal Catalog fehl.

  • Diese Richtlinie wird auf Projektebene der einzelnen Ressourcen geprüft.

• Mit constraints/gcp.restrictCmekCryptoKeyProjects wird die Auswahl von Cloud KMS-Schlüsseln für CMEK auf bestimmte Ressourcenhierarchien beschränkt.

  • Wenn Sie eine Liste von Indikatoren für die Ressourcenhierarchie (Projekte, Ordner oder Organisationen) konfigurieren und die Einschränkung auf Allow festlegen, wird im Dataplex Universal Catalog nur die Verwendung von CMEK-Schlüsseln aus den angegebenen Speicherorten zugelassen.

  • Wenn ein Cloud KMS-Schlüssel aus einem nicht zulässigen Projekt angegeben wird, schlagen Anfragen zum Erstellen von CMEK-geschützten Ressourcen im Dataplex Universal Catalog fehl.

  • Diese Richtlinie wird beim Erstellen von Ressourcen auf Ressourcenprojektebene überprüft.

  • Diese Richtlinie wird bei der Konfiguration der CMEK-Verschlüsselungseinstellungen auf Organisationsebene überprüft.

  • Achten Sie darauf, dass die Konfigurationen auf Projektebene mit den organisationsweiten Richtlinien übereinstimmen, um Inkonsistenzen zu vermeiden.

Weitere Informationen zum Konfigurieren von Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Nächste Schritte

• Weitere Informationen zu CMEK