In Filestore werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Filestore durchgeführt. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Filestore verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Filestore-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
CMEKs werden für die Verwendung mit Filestore-Instanzen und Sicherungen unterstützt.
CMEK-Optionen
Filestore unterstützt CMEKs, die als Softwareschlüssel, als Hardwareschlüssel in einem HSM-Cluster und als extern im Cloud External Key Manager (Cloud EKM) gespeichert sind.
Weitere Informationen finden Sie unter Cloud Key Management Service.
Unterbrechungen des EKM-Dienstes
Externe Schlüssel werden von einem Drittanbieter verwaltet. In diesen Fällen ist Google Cloud nicht für die Verfügbarkeit der Schlüssel verantwortlich.
Wenn der Cloud Key Management Service (Cloud KMS) vom External Key Manager (EKM) darüber informiert wird, dass ein externer Schlüssel nicht erreichbar ist, erhalten Nutzer eine ekm_key_unreachable_detected-Benachrichtigung. Nutzer haben bis zu einer Stunde lang eingeschränkten Zugriff auf Vorgänge auf der Instanz. Wenn sich der Schlüsselstatus nach einer Stunde nicht geändert hat, gelten die folgenden Maßnahmen:
- Der Schlüssel ist deaktiviert.
- Alle Verschlüsselungs- und Entschlüsselungsvorgänge schlagen fehl.
- Die Filestore-Instanz wurde angehalten.
In einigen Fällen, z. B. bei einem ungeplanten Ereignis wie einem VM-Neustart, kann der Zugriff auf die Instanz schon vor Ablauf einer Stunde unterbrochen werden.
Benachrichtigungen zu nicht erreichbaren Schlüsseln können auf der Seite mit den Details zur Filestore-Instanz angezeigt werden:
Zur Seite mit den Filestore-Instanzen
Nutzer erhalten außerdem ekm_key_unreachable_detected-Benachrichtigungen zu den folgenden Vorgängen, wenn sie innerhalb einer Stunde nach der ersten gemeldeten Benachrichtigung ausgeführt werden:
- Snapshot rückgängig machen
- Instanzsicherung erstellen
- Sicherung löschen
- Instanz aus einer Sicherung wiederherstellen
- Instanz aktualisieren oder patchen
Unterstützte Stufen
In der folgenden Tabelle sind die Filestore-Dienststufen aufgeführt, die CMEKs unterstützen:
| Stufe | CMEK-Unterstützung |
|---|---|
| Basic HDD | Nein |
| Basic SSD | Nein |
| Zonal | Ja |
| Regional | Ja |
| Enterprise | Ja |
Schlüsselbund und Schlüssel zur Verwendung mit Ihrer Instanz erstellen
Der Schlüsselbund und der Schlüssel können sich in einem anderen Projekt als die Filestore-Instanz befinden, müssen sich aber am selben Standort befinden. Wenn Sie bereits einen Cloud KMS-Schlüsselbund und -Schlüssel haben, den Sie mit Filestore verwenden möchten, fahren Sie mit dem nächsten Abschnitt fort. Folgen Sie andernfalls der Anleitung unter Symmetrische Verschlüsselungsschlüssel erstellen, um einen Schlüsselbund und Schlüssel zu erstellen.
Schlüsselzugriffsberechtigung für das Filestore-Dienstkonto gewähren
Bevor Sie eine Filestore-Instanz erstellen können, die einen CMEK verwendet, muss das Filestore-Dienstkonto die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) haben.
Ein Filestore-Dienstkonto wird erstellt, wenn Sie zum ersten Mal eine Filestore-Instanz im Projekt erstellen. Wenn Sie noch kein Filestore-Dienstkonto haben, führen Sie den folgenden
services identity create-Befehl aus:gcloud beta services identity create --service=file.googleapis.com --project=INSTANCE_PROJECT_NUMBER_OR_IDErsetzen Sie INSTANCE_PROJECT_NUMBER_OR_ID durch die Projektnummer oder ID des Projekts, in dem Sie die Filestore-Instanz erstellen möchten.
Weisen Sie dem Filestore-Dienstkonto die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ zu, indem Sie den Befehl
projects add-iam-policy-bindingausführen:gcloud projects add-iam-policy-binding KMS_PROJECT_NUMBER_OR_ID \ --member serviceAccount:service-INSTANCE_PROJECT_NUMBER@cloud-filer.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypterErsetzen Sie Folgendes:
- KMS_PROJECT_NUMBER_OR_ID durch die Projektnummer oder ID des Projekts, das den zu verwendenden Cloud KMS-Schlüssel enthält.
- INSTANCE_PROJECT_NUMBER durch die Projektnummer (nicht die Projekt-ID) des Projekts, in dem Sie die Filestore-Instanz erstellen möchten.
Instanz erstellen, die Ihren Cloud KMS-Schlüssel verwendet
Google Cloud Console
So erstellen Sie eine Instanz, die Ihren Cloud KMS-Schlüssel für die Datenverschlüsselung verwendet:
Rufen Sie in der Google Cloud Console die Seite „Filestore-Instanzen“ auf.
Klicken Sie auf Instanz erstellen.
Wählen Sie eine Instanzebene aus, die CMEKs unterstützt, und füllen Sie alle anderen erforderlichen und optionalen Felder wie gewohnt aus.
Klicken Sie auf Erweiterte Optionen einblenden.
Klicken Sie das Kästchen Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden an.
Wählen Sie den Cloud KMS-Schlüssel aus, den Sie für die Instanz verwenden möchten.
Klicken Sie auf Erstellen.
gcloud-CLI
Geben Sie im Befehl filestore instances create das Flag --kms-key an, um eine Filestore-Instanz zu erstellen, die Ihren Cloud KMS-Schlüssel für die Datenverschlüsselung verwendet:
gcloud filestore instances create nfs-server \
--tier=<var>TIER</var> \
--location=us-central1 \
--file-share=name="vol1",capacity=1TiB \
--network=name="default" \
--kms-key=KMS_KEY
Ersetzen Sie Folgendes:
- TIER mit einer Filestore-Stufe, die CMEKs unterstützt.
- KMS_KEY durch den voll qualifizierten Namen des Cloud KMS-Schlüssels, den Sie verwenden möchten. Alternativ können Sie jedes Argument separat im folgenden Format angeben:
--kms-key=KMS_KEY : --kms-keyring=KEY_RING --kms-location=KMS_REGION --kms-project=KMS_PROJECT_NUMBER_OR_ID
Ersetzen Sie Folgendes:
- KMS_KEY durch den Namen des Cloud KMS-Schlüssels.
- KMS_PROJECT_NUMBER_OR_ID durch die Projektnummer oder ID des Projekts, in dem der Schlüssel erstellt wird.
- KMS_KEY_RING durch den Namen des Schlüsselbunds.
- KMS_REGION durch die Region des Schlüsselbunds. Der Schlüsselbund und die Instanz müssen sich in derselben Region befinden.
Liste mit Schlüsseln abrufen
Mit dem Befehl kms keys list können Sie eine Liste der Schlüssel abrufen:
gcloud kms keys list \
--project=KMS_PROJECT_NUMBER_OR_ID \
--keyring=KEY_RING \
--location=KMS_REGION
Ersetzen Sie Folgendes:
- KMS_PROJECT_NUMBER_OR_ID durch die Projektnummer oder ID des Projekts, in dem der Schlüssel erstellt wird.
- KEY_RING durch den Namen des Schlüsselbunds.
- KMS_REGION durch die Region des Schlüsselbunds.
In der Spalte Name der Ausgabe wird der voll qualifizierte Name der vorhandenen Schlüssel angegeben. Beispiel:
projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
Wichtige Informationen zur Instanz abrufen
In den folgenden Abschnitten erfahren Sie, wie Sie Informationen zu Instanzschlüsseln abrufen.
Instanzen auflisten, die einen bestimmten Cloud KMS-Schlüssel verwenden
Sie können Filestore-Instanzen, die einen bestimmten Schlüssel verwenden, mit dem Befehl instances list auflisten:
gcloud filestore instances list --filter="kmsKeyName=KMS_KEY"
Ersetzen Sie KMS_KEY durch den voll qualifizierten Namen des Schlüssels, den Sie verwenden möchten.
Example:
gcloud filestore instances list \
--filter="kmsKeyName=projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key"
Die Ausgabe sieht so aus:
INSTANCE_NAME LOCATION TIER CAPACITY_GB FILE_SHARE_NAME IP_ADDRESS STATE CREATE_TIME
nfs-server us-central1 ENTERPRISE 1024 vol1 10.166.108.2 READY 2021-08-12T11:38:56
Cloud KMS-Schlüsselinformationen für eine Instanz abrufen
Verwenden Sie eine der folgenden Methoden, um Cloud KMS-Schlüsselinformationen für eine Filestore-Instanz abzurufen:
Google Cloud Console
Zur Seite mit den Filestore-Instanzen
Klicken Sie auf die Instanz-ID, um die Detailseite der Instanz zu öffnen.
Klicken Sie auf den Tab Übersicht.
Wenn die Instanz Daten mit einem Cloud KMS-Schlüssel anstelle eines von Google verwalteten Schlüssels verschlüsselt, wird der Schlüsselname im Feld Verschlüsselungsschlüssel angezeigt.
gcloud-CLI
Führen Sie dazu den Befehl instances describe aus.
gcloud filestore instances describe INSTANCE_ID \
--location=INSTANCE_LOCATION
Ersetzen Sie Folgendes:
- INSTANCE_ID durch die Instanz-ID der Filestore-Instanz, zu der Sie Informationen abrufen möchten.
- INSTANCE_LOCATION durch die Region oder Zone, in der sich die Instanz befindet.
Die Ausgabe sieht so aus:
createTime: '2021-08-12T11:38:56.851157387Z'
fileShares:
- capacityGb: '1024'
name: vol1
kmsKeyName: projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
labels:
key: val
name: projects/consumer-project/locations/us-central1/instances/nfs-server
networks:
- ipAddresses:
- 10.0.100.2
modes:
- MODE_IPV4
network: network
reservedIpRange: 10.166.108.0/23
state: READY
tier: ENTERPRISE
Von einer Instanz verwendeten Cloud KMS-Schlüssel deaktivieren oder löschen
Wenn eine Änderung am Status des Cloud KMS-Schlüssels erkannt wird, stellt die Instanz automatisch die Bereitstellung von Daten ein. Einige Beispiele:
- Deaktivierung eines Schlüssels oder einer Schlüsselversion
- Löschen eines Schlüssels oder einer Schlüsselversion
- Berechtigungen eines Schlüssels ändern
Diese Erkennung erfolgt in der Regel innerhalb weniger Minuten nach der Änderung des Schlüsselstatus, kann aber in einigen Fällen auch bis zu einer Stunde dauern.
Sobald eine Instanz beendet ist, wird der Zugriff auf Dateifreigabedaten und alle Snapshots blockiert. Für gestoppte Instanzen werden weiterhin Gebühren in Rechnung gestellt, bis sie gelöscht werden.
Beendete Instanz starten
Wenn eine angehaltene Filestore-Instanz einen Cloud KMS-Schlüssel für die Datenverschlüsselung verwendet, müssen alle Schlüsselversionen des Schlüssels aktiviert oder wiederhergestellt werden, bevor die Instanz neu gestartet werden kann.
Sobald der Cloud KMS-Schlüsselstatus aktiviert ist, erkennt die Instanz automatisch Schlüsseländerungen und startet sie ohne weitere Maßnahmen neu, in der Regel innerhalb von 20 Minuten.
CMEK-Unterstützung für Sicherungsketten
Sie können CMEKs nicht nur zum Verschlüsseln Ihrer Filestore-Instanzen, sondern auch Ihrer Sicherungsketten verwenden.
Sicherungsketten befinden sich in einem einzigen Bucket und einer einzigen Region. Wenn Sie Sicherungsdaten in einer Region außerhalb der Quellinstanz speichern und verschlüsseln möchten, müssen Sie zwei separate CMEKs anwenden: eines für die Instanz und eines für die Sicherungskette. Es gelten einige Anforderungen:
Ein CMEK muss sich in derselben Region wie die Sicherungskette befinden, die es verschlüsselt.
Auf den Bucket, in dem die Sicherungskette gespeichert ist, wird ein einzelner CMEK angewendet. Dieser kann nicht kombiniert oder ersetzt werden.
Wenn Sie eine Sicherung mit einem neuen CMEK-Schlüssel erstellen möchten, muss zuerst die gesamte vorhandene Sicherungskette gelöscht werden.
Für Sicherungen der Basis-Stufe wird CMEK nicht unterstützt.
Weitere Informationen finden Sie unter Sicherungen.
Nächste Schritte
- Informationen zum Anwenden einer CMEK-Organisationsrichtlinie
- Weitere Informationen zu CMEK
- Weitere Informationen zur Verschlüsselung bei der Übertragung zu Google Cloud