Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Standardmäßig werden alle inaktiven Daten in Firestore mit der Standardverschlüsselung von Google verschlüsselt. Diese Verschlüsselung wird von Firestore durchgeführt und verwaltet. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich.

Wenn Sie bestimmte Compliance- oder behördlichen Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für Firestore vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Anstatt die Verschlüsselungsschlüssel zum Schutz Ihrer Daten von Google verwalten zu lassen, wird Ihre Firestore-Datenbank mit einem Schlüssel geschützt, den Sie in Cloud Key Management Service (Cloud KMS) selbst erstellen, steuern und verwalten.

Auf dieser Seite wird CMEK für Firestore beschrieben. Weitere Informationen zu CMEK und deren Aktivierung finden Sie in der folgenden Cloud KMS-Dokumentation:

Eine Anleitung zum Ausführen von CMEK-Aufgaben mit Firestore finden Sie unter CMEK verwenden.

Features

  • Datenkontrolle: Mit CMEK können Sie den KMS-Schlüssel verwalten. Sie können den Schlüssel, mit dem die ruhenden Daten in Ihrer Firestore-Datenbank verschlüsselt werden, rotieren, deaktivieren und löschen.
  • Leistung: CMEK hat keine Auswirkungen auf die Firestore-SLA.
  • Nachvollziehbarkeit: Wenn Sie das Audit-Logging für Cloud KMS aktivieren, werden alle Vorgänge am Schlüssel protokolliert und in Cloud Logging angezeigt.
  • Einschränkungen für Organisationsrichtlinien: Mit CMEK-Organisationsrichtlinieneinschränkungen können Sie Anforderungen für die Verschlüsselungscompliance für Firestore-Datenbanken in Ihrer Organisation angeben.

Preise

Cloud KMS berechnet die Kosten für den Schlüssel und alle kryptografischen Vorgänge, die mit diesem Schlüssel ausgeführt werden. Weitere Informationen finden Sie unter Cloud KMS – Preise.

Die Betriebskosten werden Ihnen in Rechnung gestellt, wenn Firestore den Cloud KMS-Schlüssel anweist, einen Verschlüsselungs- oder Entschlüsselungsvorgang durchzuführen. Die Ver-/Entschlüsselung mit dem vom Kunden verwalteten Schlüssel erfolgt alle 5 Minuten und ist nicht mit Datenbankanfragen synchronisiert. Die Kosten sind in der Regel gering, da die Anzahl der kryptografischen Vorgänge, die von Firestore generiert werden, erwartet wird. Die Kosten für Cloud-Audit-Logs sind zwar eine zusätzliche Ausgabe, aber aufgrund der erwarteten Anzahl kryptografischer Vorgänge werden sie in der Regel niedrig sein.

Für die Verwendung einer CMEK-geschützten Datenbank fallen keine zusätzlichen Firestore-Kosten an. Die Firestore-Preise gelten weiterhin.

Wenn Sie Ihren Schlüssel für eine Datenbank widerrufen, werden die Speicherkosten basierend auf der Größe des letzten Tages berechnet, an dem der Schlüssel verfügbar war. Für diese Datenbankgröße fallen weiterhin Speicherkosten an, bis die Datenbank gelöscht wird oder der Schlüssel wieder verfügbar ist.

Mit CMEK geschützte Inhalte

Wenn Sie eine CMEK-geschützte Firestore-Datenbank erstellen, wird Ihr Cloud KMS-Schlüssel verwendet, um inaktive Daten zu schützen. Dazu gehören Daten, die Sie auf einem Laufwerk oder einem USB-Speicher speichern, einschließlich Indexe und Sicherungen. Es gelten jedoch einige Ausnahmen. Die folgenden Datentypen werden mit der Standardverschlüsselung von Google und nicht mit dem CMEK-Schlüssel verschlüsselt:

  • Daten bei der Übertragung oder im Speicher
  • Datenbankmetadaten

Umgang mit einem nicht verfügbaren Schlüsselstatus

Ver- und Entschlüsselungsvorgänge werden nicht bei jeder Datenanfrage ausgeführt. Stattdessen fragt das Firestore-System Cloud KMS alle 5 Minuten ab, um zu prüfen, ob der Schlüssel noch verfügbar ist. Wenn ja, werden Verschlüsselungs- und Entschlüsselungsvorgänge ausgeführt.

Wenn das System feststellt, dass der Schlüssel nicht verfügbar ist, geben alle nachfolgenden Aufrufe der Firestore-Datenbank innerhalb von 10 Minuten den Fehler FAILED_PRECONDITION mit der Meldung The customer-managed encryption key required by the requested resource is not accessible zurück.

Wenn die Datenbank Richtlinien zur Gültigkeitsdauer (TTL) hat und Ablaufzeiten überschritten werden, während der Schlüssel nicht verfügbar ist, wird das Löschen von Daten durch die TTL verzögert, bis der Schlüssel reaktiviert wird. Wenn in der Datenbank lang laufende Vorgänge ausgeführt werden, sind diese davon betroffen:

  • import- oder Exportvorgänge von Daten kommen nicht mehr voran und werden als Failed gekennzeichnet. Die fehlgeschlagenen Vorgänge werden nicht wiederholt, wenn der Schlüssel reaktiviert wird.
  • Index-Builds und Vorgänge, mit denen neue TTL-Richtlinien aktiviert werden, werden nicht mehr fortgesetzt. Die angehaltenen Vorgänge werden wiederholt, wenn der Schlüssel reaktiviert wird.

Schlüssel gelten in jeder Situation als nicht verfügbar, in der Firestore nicht auf den Schlüssel zugreifen darf. Dazu zählen:

Wenn der Schlüssel reaktiviert wird, wird beim Polling erkannt, dass der Schlüssel wieder verfügbar ist. Der Zugriff wird in der Regel innerhalb weniger Minuten reaktiviert. In seltenen Fällen kann es jedoch auch einige Stunden dauern. Bei einigen Vorgängen für Cloud KMS-Schlüssel, z. B. beim Deaktivieren oder Löschen eines Schlüssels, kann es bis zu 3 Stunden dauern, bis Änderungen wirksam werden. Firestore erkennt Änderungen erst, nachdem sie in Cloud KMS wirksam geworden sind.

Je nach Situation sind für die Reaktivierung eines Schlüssels die folgenden Schritte erforderlich:

Wichtige Aspekte bei der Schlüsselrotation

Wenn Sie den CMEK-Schlüssel rotieren, verschlüsselt Firestore die Datenbank mit der neuesten primären Version des CMEK-Schlüssels neu. Lassen Sie während der Neuverschlüsselung sowohl die alte als auch die neue Schlüsselversion verfügbar. Nach Abschluss der erneuten Verschlüsselung wird der Zugriff auf die Datenbank nicht mehr deaktiviert, wenn Sie die alten Versionen des CMEK-Schlüssels deaktivieren oder löschen, da sie mit der neuen Primärschlüsselversion verschlüsselt ist.

Sie können auch die Schlüsselversionen aufrufen, die zum Schutz einer Datenbank verwendet werden. Weitere Informationen finden Sie unter Aktuell verwendeten Schlüssel ansehen.

Überlegungen zu externen Schlüsseln

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.

Wenn ein extern verwalteter Schlüssel nicht verfügbar ist, unterstützt Firestore weiterhin vollständige Datenbankvorgänge mithilfe einer im Cache gespeicherten Version des Schlüssels bis zu einer Stunde.

Wenn Firestore nach einer Stunde immer noch keine Verbindung zu Cloud KMS herstellen kann, stellt Firestore als Sicherheitsmaßnahme die Datenbank offline. Aufrufe an die Datenbank schlagen mit dem Fehler FAILED_PRECONDITION fehl, der zusätzliche Details enthält.

Weitere Informationen zur Verwendung externer Schlüssel finden Sie in der Dokumentation zu Cloud External Key Manager.

Sichern und wiederherstellen

Für eine Sicherung wird derselbe Verschlüsselungsmechanismus verwendet wie für die Datenbank, aus der sie erstellt wurde. Wenn in einer CMEK-geschützten Firestore-Datenbank eine Sicherung erstellt wird, wird sie mit der Primärschlüsselversion verschlüsselt, die zum Zeitpunkt der Sicherung verwendet wurde.

Firestore erstellt die erste Sicherung einer CMEK-Datenbank 24 Stunden nach der Aktivierung von Sicherungszeitplänen.

Weitere Informationen zu Firestore-Sicherungen finden Sie unter Daten sichern und wiederherstellen.

Für eine aus einer Sicherung wiederhergestellte Datenbank wird standardmäßig derselbe Verschlüsselungsmechanismus wie für die Sicherung verwendet. Wenn Sie eine Datenbank wiederherstellen, können Sie auf eine der folgenden Arten einen anderen Verschlüsselungstyp angeben:

  • Wiederherstellen in einer CMEK-Datenbank mit einem neu angegebenen Schlüssel.
  • Wiederherstellen Sie die Daten in einer Datenbank ohne CMEK, die die Standardverschlüsselung von Google verwendet.
  • Wiederherstellen Sie die Datenbank in einer Datenbank, die dieselbe Verschlüsselung wie die Sicherung verwendet.

Weitere Informationen zum Wiederherstellen einer Firestore-Datenbank aus einer Sicherung finden Sie unter Daten aus einer Datenbanksicherung wiederherstellen. Weitere Informationen zum Wiederherstellen einer CMEK-geschützten Firestore-Datenbank aus einer Sicherung finden Sie unter CMEK-geschützte Datenbank wiederherstellen.

Schlüssel-Tracking

Mit dem Schlüssel-Tracking können Sie sich Ressourcen ansehen, z. B. Firestore-Datenbanken, die durch einen Schlüssel geschützt sind. Weitere Informationen zum Schlüssel-Tracking finden Sie unter Schlüsselnutzung ansehen.

CMEK und Schlüsselverfügbarkeit

Wenn Schlüssel nicht verfügbar oder deaktiviert sind, kann es in CMEK-fähigen Datenbanken zu folgenden Verhaltensweisen kommen:

  • Sie können die Einstellungen für die Firestore-Wiederherstellung zu einem bestimmten Zeitpunkt (Point-in-Time-Recovery, PITR) in einer CMEK-fähigen Datenbank ändern, auch wenn der Schlüssel nicht verfügbar ist. Die PITR-Einstellungen sind Datenbankmetadaten, die nicht mit CMEK verschlüsselt werden.
  • Sie können eine CMEK-Datenbank mit nicht verfügbaren Schlüsseln löschen.
  • Wenn Sie eine CMEK-kompatible Datenbank erstellen, werden deaktivierte Schlüssel nicht in der Liste der verfügbaren Schlüssel in der Google Cloud Console angezeigt. Wenn Sie einen deaktivierten Schlüssel manuell eingeben, schlägt die Datenbankerstellung mit dem FAILED_PRECONDITION-Fehler 400 fehl.

Beschränkungen

  • Sie können einen Schlüssel für eine CMEK-geschützte Datenbank nicht ändern. Sie können Schlüssel drehen, aktivieren und deaktivieren.
  • CMEK-geschützte Datenbanken unterstützen den Schlüsselvisualisierer nur für Entitäts- und Dokumentdaten, nicht für Indexdaten.
  • Sie können CMEK nicht für vorhandene Datenbanken aktivieren. Sie können CMEK nur für neue Datenbanken aktivieren und müssen dies beim Erstellen der Datenbank tun. Wenn Sie Daten aus einer vorhandenen Datenbank ohne CMEK in eine CMEK-geschützte Datenbank migrieren möchten, exportieren Sie die Daten und importieren Sie sie dann in eine neue CMEK-geschützte Datenbank. Sie können auch Daten aus einer Datenbank ohne CMEK in einer CMEK-Datenbank wiederherstellen.
  • Firestore unterstützt eine begrenzte Anzahl von CMEK-geschützten Datenbanken.
  • Der CMEK-Schutz wird bei der Einbindung von Cloud Functions (1. Generation) nicht unterstützt. Wenn Sie CMEK-Schutz benötigen, verwenden Sie Firestore-Trigger für Cloud Run Functions (2. Generation).

Nächste Schritte