Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln

Auf dieser Seite wird beschrieben, wie Sie Daten, die in AML AI-Instanzen gespeichert sind, mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln.

Übersicht

Alle Kundendaten in einer AML-KI-Instanz werden mit einem CMEK-Schlüssel verschlüsselt. Sie verwalten den Schlüssel im Cloud Key Management Service (Cloud KMS) und steuern den Zugriff auf den Schlüssel mit Identity and Access Management. Wenn Sie den CMEK-Schlüssel vorübergehend deaktivieren oder dauerhaft löschen, kann nicht auf die mit diesem Schlüssel verschlüsselten Daten zugegriffen werden.

AML AI unterstützt nur CMEK mit Cloud KMS. Die Standardverschlüsselung von Google wird nicht unterstützt.

Mit CMEK können Sie mehr Elemente des Lebenszyklus und die Verwaltung Ihrer Schlüssel steuern. Für den Cloud KMS-Dienst fallen aber zusätzliche Kosten an.

Cloud KMS kann im selben Google Cloud-Projekt wie AML AI oder in einem separaten Projekt ausgeführt werden, in dem Sie Schlüssel für mehrere Projekte zentral verwalten.

Die Verschlüsselungskonfiguration wird beim Erstellen einer Instanz eingerichtet. Nachdem eine Instanz erstellt wurde, können Sie keinen anderen Cloud KMS-Schlüssel zuweisen. Sie können den Schlüssel weiterhin drehen.

Weitere Informationen zu CMEK finden Sie in der Cloud KMS-Dokumentation.

Schutzniveaus

Mit Cloud KMS können Sie aus einer Vielzahl verschiedener Schutzstufen wählen, darunter:

• Softwareschlüssel
• Hardware Security Modules (HSMs) mit Cloud HSM

CMEK Nicht alle Schutzstufen sind in allen Regionen verfügbar. AML AI unterstützt keine vom Kunden bereitgestellten Verschlüsselungsschlüssel (Customer Supplied Encryption Keys, CSEK) und keinen Cloud External Key Manager.

Kundendaten

Alle Kundendaten, die von der AML-KI verarbeitet werden, werden im Ruhezustand mit dem CMEK-Schlüssel verschlüsselt, der in der entsprechenden übergeordneten Instanzressource angegeben ist. Dazu gehören alle Kundendaten, die mit AML-KI-Ressourcen wie Datasets, Engine-Konfigurationen und Modellen verknüpft sind. Der gesamte temporäre und dauerhafte Speicher von Kundendaten, einschließlich Kopien von Eingaben und Ausgaben, generierte ML-Features, Modellhyperparameter, Modellgewichte und Vorhersageergebnisse, wird mit dem CMEK-Schlüssel der entsprechenden Instanz verschlüsselt.

Die Definition von Kundendaten finden Sie in den dienstspezifischen Nutzungsbedingungen. Kundendaten dürfen keine Ressourcenkennungen, Attribute oder anderen Datenlabels enthalten.

Eingabe- und Ausgabedaten verschlüsseln

Die Verschlüsselungskonfiguration für AML AI in einer Instanz wird nur für AML AI-Ressourcen und deren Daten verwendet. AML AI verwaltet nicht die Verschlüsselung von Eingabe- oder Ausgabedaten in Ihrem Google Cloud-Projekt. Wenn Sie möchten, dass diese Daten mit CMEK verschlüsselt werden, müssen Sie einen Cloud KMS-Schlüssel einrichten, der der ausgewählten Schlüsselschutzebene entspricht, die für das BigQuery-Dataset konfiguriert wurde. Sie können auch denselben Schlüssel verwenden, der für die AML-KI verwendet wird.

Weitere Informationen zur Verschlüsselung in BigQuery

Schlüsselrotation

Die regelmäßige und automatische Schlüsselrotation wird empfohlen. Bei CMEK wird die Schlüsselrotation von Ihnen gesteuert. Wenn Sie einen Schlüssel rotieren, werden Daten, die mit früheren Schlüsselversionen verschlüsselt sind, nicht automatisch mit der neuen Schlüsselversion verschlüsselt.

Eine einzelne AML-KI-Ressource kann intern als mehrere Einheiten gespeichert werden. Wenn die Schlüsselversion während der Lebensdauer einer AML-KI-Ressource rotiert wird, sind möglicherweise nicht alle Einheiten mit derselben Schlüsselversion verschlüsselt.

Wenn Sie einen Schlüssel rotieren, kann die AML-KI keine erneute Verschlüsselung erzwingen oder feststellen, ob ältere Schlüsselversionen sicher gelöscht werden können.

Weitere Informationen zur Schlüsselrotation mit Cloud KMS

Schlüssel erstellen und Berechtigungen gewähren

In der folgenden Anleitung wird erläutert, wie Sie einen Schlüssel für eine Instanz erstellen und Berechtigungen zum Ver- und Entschlüsseln von Instanzdaten mit dem Schlüssel gewähren. Sie können einen Schlüssel verwenden, der direkt in Cloud KMS erstellt wurde, oder einen extern verwalteten Schlüssel, den Sie mit Cloud External Key Manager zur Verfügung stellen.

1. Im Google Cloud-Projekt, in dem Sie Ihre Schlüssel verwalten möchten:

   1. Aktivieren Sie die Cloud KMS API.

   2. Erstellen Sie mit der Methode projects.locations.keyRings.create einen Schlüsselbund. Der Speicherort des Cloud KMS-Schlüsselbunds muss mit dem Speicherort der Instanz übereinstimmen, die Sie verschlüsseln.

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • KMS_PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthält
      • LOCATION: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten Regionen
        Standorte anzeigen
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Führen Sie folgenden Befehl aus:

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d "" \
           "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

      PowerShell

      Führen Sie folgenden Befehl aus:

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }
      
      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

      Sie sollten in etwa folgende JSON-Antwort erhalten:

      {
        "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
        "createTime": "2023-03-14T15:52:55.358979323Z"
      }
      

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • KMS_PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthält
      • LOCATION: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten Regionen
        Standorte anzeigen
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud kms keyrings create KEY_RING_ID \
        --project KMS_PROJECT_ID --location LOCATION

      Windows (PowerShell)

      gcloud kms keyrings create KEY_RING_ID `
        --project KMS_PROJECT_ID --location LOCATION

      Windows (cmd.exe)

      gcloud kms keyrings create KEY_RING_ID ^
        --project KMS_PROJECT_ID --location LOCATION

      Sie sollten eine leere Antwort erhalten:

      $

   3. Erstellen Sie mit der Methode projects.locations.keyRings.cryptoKeys einen Schlüssel.

      REST

      Ersetzen Sie diese Werte in den folgenden Anfragedaten:

      • KMS_PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthält
      • LOCATION: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten Regionen
        Standorte anzeigen
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
      • KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

      JSON-Text der Anfrage:

      {
        "purpose": "ENCRYPT_DECRYPT"
      }
      

      Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

      curl

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:

      cat > request.json << 'EOF'
      {
        "purpose": "ENCRYPT_DECRYPT"
      }
      EOF

      Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

      PowerShell

      Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben:

      @'
      {
        "purpose": "ENCRYPT_DECRYPT"
      }
      '@  | Out-File -FilePath request.json -Encoding utf8

      Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden:

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }
      
      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

      Sie sollten in etwa folgende JSON-Antwort erhalten:

      {
        "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
        "primary": {
          "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
          "state": "ENABLED",
          "createTime": "2023-03-14T15:52:55.358979323Z",
          "protectionLevel": "SOFTWARE",
          "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
          "generateTime": "2023-03-14T15:52:55.358979323Z"
        },
        "purpose": "ENCRYPT_DECRYPT",
        "createTime": "2023-03-14T15:52:55.358979323Z",
        "versionTemplate": {
          "protectionLevel": "SOFTWARE",
          "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
        },
        "destroyScheduledDuration": "86400s"
      }
      

      gcloud

      Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

      • KMS_PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, das den Schlüsselbund enthält
      • LOCATION: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten Regionen
        Standorte anzeigen
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: die benutzerdefinierte Kennung für den Schlüsselbund
      • KEY_ID: eine benutzerdefinierte Kennung für den Schlüssel

      Führen Sie folgenden Befehl aus:

      Linux, macOS oder Cloud Shell

      gcloud kms keys create KEY_ID \
        --keyring KEY_RING_ID \
        --project KMS_PROJECT_ID \
        --location LOCATION \
        --purpose "encryption"

      Windows (PowerShell)

      gcloud kms keys create KEY_ID `
        --keyring KEY_RING_ID `
        --project KMS_PROJECT_ID `
        --location LOCATION `
        --purpose "encryption"

      Windows (cmd.exe)

      gcloud kms keys create KEY_ID ^
        --keyring KEY_RING_ID ^
        --project KMS_PROJECT_ID ^
        --location LOCATION ^
        --purpose "encryption"

      Sie sollten eine leere Antwort erhalten:

      $

2. Wenn Sie im AML AI-Projekt noch keine AML AI-Instanz erstellt haben, ist das AML AI-Dienstkonto noch nicht vorhanden. Erstellen Sie das Dienstkonto.

   Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

   • PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, in dem die AML-KI ausgeführt wird

   Führen Sie folgenden Befehl aus:

   Linux, macOS oder Cloud Shell

   gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID

   Windows (PowerShell)

   gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID

   Windows (cmd.exe)

   gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID

   Sie sollten eine Antwort ähnlich der folgenden erhalten:

   Service identity created: service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com

3. Weisen Sie dem AML AI-Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.

   Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

   • PROJECT_ID: die Google Cloud-Projekt-ID des Projekts, in dem die AML-KI ausgeführt wird
   • KEY_ID: die benutzerdefinierte Kennung für den Schlüssel
   • LOCATION: Speicherort des Schlüsselbunds; verwenden Sie eine der unterstützten Regionen
     Standorte anzeigen
     • us-central1
     • us-east1
     • asia-south1
     • europe-west1
     • europe-west2
     • europe-west4
     • northamerica-northeast1
     • southamerica-east1
     • australia-southeast1
   • KEY_RING_ID: eine benutzerdefinierte Kennung für den Schlüsselbund
   • PROJECT_NUMBER: die Google Cloud-Projektnummer für das Projekt, in dem die AML-KI ausgeführt wird

   Führen Sie folgenden Befehl aus:

   Linux, macOS oder Cloud Shell

   gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID \
     --location LOCATION --keyring=KEY_RING_ID \
     --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

   Windows (PowerShell)

   gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID `
     --location LOCATION --keyring=KEY_RING_ID `
     --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com `
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

   Windows (cmd.exe)

   gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID ^
     --location LOCATION --keyring=KEY_RING_ID ^
     --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com ^
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

   Sie sollten eine Antwort ähnlich der folgenden erhalten:

   Updated IAM policy for key KEY_ID.
   bindings:
   - members:
     - serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com
     role: roles/cloudkms.cryptoKeyEncrypterDecrypter
   etag: BwYCq0Sq4Ho=
   version: 1
   

   Weitere Informationen zu diesem Befehl finden Sie in der Dokumentation zu gcloud kms keys add-iam-policy-binding.

Sie können jetzt eine Instanz erstellen und den Schlüssel für die Verschlüsselung angeben.

Zugriff entfernen

Es gibt mehrere Möglichkeiten, den Zugriff auf den Schlüssel von der mit CMEK verschlüsselten Instanz zu entfernen:

• Widerrufen Sie die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ aus dem AML AI-Dienstkonto mithilfe der Google Cloud Console oder der gcloud CLI.
• Deaktivieren Sie vorübergehend den CMEK-Schlüssel.
• Löschen Sie endgültig den CMEK-Schlüssel.

Wir empfehlen, die Berechtigungen des AML AI-Dienstkontos zu widerrufen, bevor Sie einen Schlüssel deaktivieren oder löschen. Änderungen an Berechtigungen werden innerhalb von Sekunden übernommen, sodass Sie sofort nachvollziehen können, wie sich das Deaktivieren oder Löschen eines Schlüssels auswirkt.

Wenn Sie den Verschlüsselungsschlüssel für eine Instanz deaktivieren oder löschen, können Sie die mit der Instanz verknüpften Kundendaten nicht mehr verwenden oder abrufen. Auf alle in der Instanz gespeicherten Kundendaten kann dann nicht mehr zugegriffen werden, einschließlich Modellen, Engine-Konfigurationen, Backtest-Ergebnissen und Vorhersageergebnissen. Nutzer mit einer Rolle als Betrachter von AML AI können weiterhin Felder wie den Instanznamen oder die anderen Ressourcenfelder aufrufen, die beim Abrufen von AML AI-Ressourcen zurückgegeben werden.

Alle Vorgänge, bei denen Kundendaten verwendet oder exportiert werden, z. B. der Export von backtestResults-Metadaten, schlagen fehl.

Nutzer mit der Rolle „AML AI-Administrator“ oder „Inhaber“ können die Instanz löschen.

CMEK-Organisationsrichtlinien

AML AI unterstützt keine CMEK-Organisationsrichtlinien. Für AML-KI ist jedoch unabhängig von der constraints/gcp.restrictNonCmekServices-Organisationsrichtlinie immer die Verwendung von CMEK erforderlich.

Interaktion mit VPC-SC

Wenn Sie AML AI in einem VPC-SC-Perimeter konfiguriert haben, muss das Dienstkonto weiterhin auf den CMEK-Schlüssel zugreifen können. Wenn sich der Schlüssel nicht im selben VPC-SC-Perimeter befindet, gibt es mehrere Möglichkeiten, dies zu erreichen:

• Ressource mit einer Regel für ausgehenden Traffic auf die Zulassungsliste setzen
• VPC-Perimeter-Peering verwenden

Nächste Schritte

• Instanz erstellen
• Weitere Informationen zu CMEK