Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) für Cloud Healthcare API-Datasets aktivieren

Standardmäßig Google Cloud automatisch Daten im inaktiven Zustand verschlüsselt mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für Ihre Cloud Healthcare API-Datasets vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Anstatt Google die Verwaltung der Verschlüsselungsschlüssel zum Schutz Ihrer Daten zu überlassen, werden Ihre Cloud Healthcare API-Datasets mit einem Schlüssel verschlüsselt, den Sie in Cloud Key Management Service (Cloud KMS) selbst erstellen, steuern und verwalten.

Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Hinweise

Entscheiden Sie, ob sich Ihr Cloud Healthcare API-Dataset und Cloud KMS im selben Google Cloud Projekt oder in verschiedenen Projekten befinden sollen. Weitere Informationen finden Sie unter Aufgabentrennung.

In der Dokumentation werden die folgenden Konventionen verwendet:

  • PROJECT_ID: die Cloud Healthcare API-Projekt-ID
  • KMS_PROJECT_ID: die Projekt-ID, unter der Cloud KMS ausgeführt wird. Dies kann dieselbe wie PROJECT_ID sein.

Weitere Informationen zu Google Cloud Projekt-IDs und Projektnummern finden Sie unter Projekte identifizieren.

Beschränkungen

  • Sie können Cloud KMS-Schlüssel nur beim Erstellen eines Datasets für die Cloud Healthcare API verwenden. Sie können Cloud KMS-Schlüssel für einen vorhandenen Cloud Healthcare API-Dataset nicht aktivieren, ändern oder deaktivieren.
  • In CMEK-verschlüsselten Datasets werden nur FHIR-, DICOM- und HL7v2-Speicher unterstützt. CMEK-Schutz gilt für DICOM-, FHIR- und HL7v2-Speicher im Dataset und deren Ressourcen.
  • CMEK-verschlüsselte Ressourcen können nicht de-identifiziert werden.

CMEK-Vorgänge

Cloud KMS-Schlüssel werden verwendet, wenn eine CMEK-verschlüsselte Ressource erstellt, gelesen, aktualisiert oder gelöscht wird, sowie für betriebliche Aufgaben wie die Abrechnung oder die Sicherstellung der Verfügbarkeit des Schlüssels.

Überlegungen zu externen Schlüsseln

Informationen zur Verwendung von Schlüsseln, die Sie in einem unterstützten System eines externen Partners für die Schlüsselverwaltung verwalten, um Daten inGoogle Cloudzu schützen, finden Sie unter Cloud External Key Manager.

Wenn Sie Schlüssel verlieren, die Sie außerhalb von Google Cloudverwalten, kann Google Ihre Daten nicht wiederherstellen.

Nicht verfügbare Schlüssel und Datenverlust

Wenn ein Dataset mit einem Schlüssel verschlüsselt ist und dieser Schlüssel nicht mehr verfügbar ist und auch nicht wieder verfügbar wird, deaktiviert die Cloud Healthcare API das Dataset und löscht es schließlich. Manchmal ist ein Schlüssel nicht mehr verfügbar, weil er deaktiviert oder gelöscht wurde oder weil er aufgrund widerrufener Berechtigungen nicht mehr zugänglich ist. Dieses Verhalten tritt jedoch auf, wenn der Schlüssel aus irgendeinem Grund nicht mehr verfügbar ist. Das Schutzniveau des Schlüssels oder die Frage, ob es sich um einen externen Schlüssel handelt, hat keinen Einfluss auf dieses Verhalten. Externe Schlüssel können auch unvorhersehbar nicht mehr verfügbar sein. Beispielsweise können Verbindungsprobleme zwischen IhrenGoogle Cloud -Ressourcen und Ihrem EKM auftreten.

Im Folgenden wird beschrieben, wie die Schlüsselverfügbarkeit geprüft wird und wie ein Dataset deaktiviert und gelöscht werden kann:

  1. Nachdem ein CMEK-verschlüsseltes Cloud Healthcare API-Dataset erstellt wurde, prüft die Cloud Healthcare API alle fünf Minuten den Status des Schlüssels, um sicherzustellen, dass er verfügbar ist. Wenn der Schlüssel nicht verfügbar ist, unterstützt die Cloud Healthcare API Anfragen an das Dataset bis zu einer Stunde lang weiter.

  2. Wenn die Cloud Healthcare API nach einer Stunde immer noch keine Verbindung zu Cloud KMS herstellen kann, wird das Cloud Healthcare API-Dataset als Schutzmaßnahme deaktiviert. Wenn Sie das Cloud Healthcare API-Dataset wieder aktivieren möchten, wenden Sie sich an Ihren Supportmitarbeiter.

    Wenn diese Option deaktiviert ist, können Sie nur datasets.get- und datasets.delete-Anfragen an das Cloud Healthcare API-Dataset senden. Andere Anfragen schlagen mit dem Fehler 400 FAILED_PRECONDITION fehl.

  3. Wenn das Cloud Healthcare API-Dataset länger als 30 Tage nicht verfügbar ist, wird es endgültig gelöscht. Alle DICOM-, FHIR- und HL7v2-Speicher im Dataset und die zugehörigen Daten werden ebenfalls gelöscht. Wenn sie gelöscht wurden, können diese Daten nicht wiederhergestellt werden.

Schlüsselerstellung

In den folgenden Abschnitten wird beschrieben, wie Sie einen Cloud KMS-Schlüsselbund und einen Schlüssel erstellen. Es werden nur symmetrische Verschlüsselungsschlüssel von Cloud KMS unterstützt.

Unterstützte Standorte

Cloud KMS-Schlüssel sind an den Standorten der Cloud Healthcare API verfügbar. Erstellen Sie den Schlüsselbund an einem Standort, der der Region oder dem multiregionalen Standort Ihres Cloud Healthcare API-Datasets entspricht.

  • Für jedes multiregionale Cloud Healthcare API-Dataset muss ein multiregionaler Schlüsselbund an einem übereinstimmenden Speicherort verwendet werden. Beispiel: Ein Cloud Healthcare API-Dataset in der Region us muss mit einem Schlüsselbund aus der Region us und ein Cloud Healthcare API-Dataset in der Region eu mit einem Schlüsselbund aus der Region europe geschützt werden.

  • Für regionale Cloud Healthcare API-Datasets müssen übereinstimmende regionale Schlüssel verwendet werden. Beispiel: Ein Cloud Healthcare API-Dataset in der Region asia-northeast1 muss mit einem Schlüsselbund aus der Region asia-northeast1 geschützt werden.

  • Sie können die Region global nicht verwenden, wenn Sie CMEK für ein Cloud Healthcare API-Dataset konfigurieren.

Weitere Informationen finden Sie unter Cloud Healthcare API-Standorte und Cloud KMS-Standorte.

Schlüsselbund und Schlüssel erstellen

Führen Sie die folgenden Schritte im Google Cloud -Projekt aus, in dem Cloud KMS ausgeführt wird:

  1. Erstellen Sie einen Schlüsselbund.
  2. Schlüssel erstellen

Berechtigungen zum Verschlüsseln und Entschlüsseln erteilen

Wenn Sie Ihre Cloud Healthcare API-Daten mit einem Cloud KMS-Schlüssel schützen möchten, weisen Sie dem Cloud Healthcare-Dienst-Agent-Dienstkonto die Rolle CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für diesen Schlüssel zu. Eine Anleitung finden Sie unter CMEK-Berechtigungen für Datasets.

Nachdem Sie dem Dienstkonto die Rolle zugewiesen haben, kann die Cloud Healthcare API CMEK-verschlüsselte Ressourcen verschlüsseln und entschlüsseln. Ihre Anwendungen müssen beim Lesen oder Schreiben von Daten keine Schlüssel angeben. Die Cloud Healthcare API übernimmt die Verschlüsselung.

Wenn ein Anfragesteller ein Objekt liest oder schreibt, das mit einem Cloud KMS-Schlüssel verschlüsselt ist, greift er wie gewohnt auf das Objekt zu. Während der Anfrage verschlüsselt oder entschlüsselt der Dienst-Agent das angeforderte Objekt automatisch, sofern beide der folgenden Bedingungen erfüllt sind:

  • Der Dienst-Agent hat weiterhin die erforderlichen Berechtigungen.
  • Der Schlüssel ist verfügbar und aktiviert.

CMEK-verschlüsseltes Cloud Healthcare API-Dataset erstellen

Die folgenden Beispiele zeigen, wie Sie ein CMEK-verschlüsseltes Dataset erstellen.

Sie müssen beim Erstellen des Datasets eine Cloud KMS-Schlüsselressourcen-ID angeben. Bei diesem Schlüssel muss die Groß-/Kleinschreibung beachtet werden. Er hat das folgende Format:

projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Informationen zum Aufrufen der Ressourcen-IDs Ihres Cloud KMS-Schlüssels finden Sie unter Cloud KMS-Ressourcen-ID abrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Browser auf.

    Browser aufrufen

  2. Klicken Sie auf Dataset erstellen. Die Seite Dataset erstellen wird angezeigt.

  3. Geben Sie im Feld Name eine Kennzeichnung für das Dataset ein, die den Anforderungen an Zeichen und Größen für Datasets entspricht.

  4. Wählen Sie einen der folgenden Standorttypen aus:

    • Region Das Dataset befindet sich dauerhaft in einer Google Cloud -Region. Geben Sie nach der Auswahl dieser Option einen Standort in das Feld Region ein oder wählen Sie ihn aus.

    • Mehrere Regionen: Der Datensatz befindet sich dauerhaft an einem Standort, der sich über mehrere Google Cloud Regionen erstreckt. Geben Sie nach der Auswahl dieser Option einen multiregionalen Standort in das Feld Mehrere Regionen ein oder wählen Sie ihn aus.

  5. Wählen Sie im Bereich Verschlüsselung einen der folgenden Verschlüsselungstypen aus:

    • Google-managed encryption key: Die Standardverschlüsselungsmethode. Verwenden Sie diese Methode, wenn Google die Verschlüsselungsschlüssel verwalten soll, mit denen Ihre Daten in diesem Cloud Healthcare API-Dataset geschützt werden.

    • Cloud KMS-Schlüssel: Verwenden Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK).

  6. Klicken Sie auf Erstellen. Die Seite Browser wird angezeigt. Das neue Dataset wird in der Liste der Datasets angezeigt.

gcloud

Erstellen Sie das Dataset mit dem Befehl gcloud healthcare datasets create.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud healthcare datasets create DATASET_ID \
  --location=LOCATION \
  --encryption-key=KEY_RESOURCE_ID

Windows (PowerShell)

gcloud healthcare datasets create DATASET_ID `
  --location=LOCATION `
  --encryption-key=KEY_RESOURCE_ID

Windows (cmd.exe)

gcloud healthcare datasets create DATASET_ID ^
  --location=LOCATION ^
  --encryption-key=KEY_RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Create request issued for: [DATASET_ID]
Waiting for operation [projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID] to complete...
Created dataset [DATASET_ID].

REST

  1. Erstellen Sie das Dataset mit der Methode datasets.create.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    JSON-Text der Anfrage:

    {
  "encryptionSpec": {
    "kmsKeyName": "KEY_RESOURCE_ID"
  }
}

    Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

    curl

    Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

    cat > request.json << 'EOF'
{
  "encryptionSpec": {
    "kmsKeyName": "KEY_RESOURCE_ID"
  }
}
EOF

    Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID"

    PowerShell

    Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json. Führen Sie folgenden Befehl im Terminal aus, um diese Datei im aktuellen Verzeichnis zu erstellen oder zu überschreiben: 

    @'
{
  "encryptionSpec": {
    "kmsKeyName": "KEY_RESOURCE_ID"
  }
}
'@  | Out-File -FilePath request.json -Encoding utf8

    Führen Sie dann folgenden Befehl aus, um Ihre REST-Anfrage zu senden: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID" | Select-Object -Expand Content

    APIs Explorer

    Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

    Die Ausgabe sieht so aus. Die Antwort enthält eine Kennung für einen Vorgang mit langer Ausführungszeit (Long-Running Operation, LRO). Lang andauernde Vorgänge werden zurückgegeben, wenn die Ausführung von Methodenaufrufen zusätzliche Zeit in Anspruch nehmen kann. Notieren Sie sich den Wert von OPERATION_ID. Sie benötigen diesen Wert im nächsten Schritt.

  2. Rufen Sie den Status des Vorgangs mit langer Ausführungszeit mit der Methode projects.locations.datasets.operations.get ab.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • PROJECT_ID: die ID Ihres Google Cloud Projekts
    • LOCATION ist der Standort des Datasets
    • DATASET_ID ist die Dataset-ID
    • OPERATION_ID: die ID, die vom Vorgang mit langer Ausführungszeit zurückgegeben wurde

    Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

    curl

    Führen Sie folgenden Befehl aus: 

    curl -X GET \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"

    PowerShell

    Führen Sie folgenden Befehl aus: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method GET `
        -Headers $headers `
        -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" | Select-Object -Expand Content

    APIs Explorer

    Öffnen Sie die Methodenreferenzseite. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Füllen Sie die Pflichtfelder aus und klicken Sie auf Ausführen.

    Die Ausgabe sieht so aus. Wenn die Antwort "done": true enthält, ist der Vorgang mit langer Ausführungszeit abgeschlossen.

Ermitteln, ob ein Dataset durch Cloud KMS geschützt ist

Für jeden der Schlüssel, die Sie erstellt haben oder die Ihre Cloud Healthcare API-Datasets schützen, können Sie mit der Schlüsselnutzungsanalyse sehen, welche Ressourcen durch diesen Schlüssel geschützt werden. Weitere Informationen finden Sie unter Schlüsselnutzung ansehen.

Schlüsselrotation

Cloud KMS unterstützt sowohl die automatische als auch die manuelle Schlüsselrotation auf eine neue Version.

Die Rotation eines Schlüssels hat folgende Auswirkungen:

  • Cloud Healthcare API-Datasets, die nach der Rotation erstellt wurden, verwenden die neue Schlüsselversion für die Verschlüsselung und alle Vorgänge.
  • Ressourcen in einem vorhandenen Dataset, die mit dem Schlüssel verschlüsselt sind, werden nicht automatisch mit der neuen primären Schlüsselversion neu verschlüsselt.

Damit die Verschlüsselung funktioniert, müssen alle Schlüsselversionen verfügbar sein. Andernfalls wird das Cloud Healthcare API-Dataset deaktiviert und alle Anfragen an das Dataset schlagen fehl. Weitere Informationen finden Sie unter Überlegungen zu externen Schlüsseln und Deaktivierte Datasets und das endgültige Löschen von Datasets.

Cloud Healthcare API-Zugriff auf den Cloud KMS-Schlüssel entfernen

Sie haben die Kontrolle über Ihre Schlüssel und können Berechtigungen für den Schlüssel deaktivieren, löschen oder widerrufen, sodass die Cloud Healthcare API nicht auf CMEK-verschlüsselte Daten zugreifen kann. Wenn Sie einen Schlüssel oder eine Schlüsselversion löschen, die mit einem Cloud Healthcare API-Dataset verknüpft ist, gehen alle mit diesem Schlüssel oder dieser Schlüsselversion verschlüsselten Daten dauerhaft verloren.

Es gibt eine Verzögerung zwischen dem Deaktivieren eines Schlüssels oder einer Schlüsselversion und dem Zeitpunkt, zu dem er nicht mehr verwendet werden kann. Es gibt auch eine Verzögerung zwischen dem Zeitpunkt, zu dem Sie die Berechtigungen des Cloud Healthcare-Dienst-Agent-Dienstkontos für den Schlüssel widerrufen, und dem Zeitpunkt, zu dem nicht mehr darauf zugegriffen werden kann. Weitere Informationen finden Sie unter Konsistenz von Cloud KMS-Ressourcen.

Daten in eine CMEK-fähige Instanz exportieren und importieren

Wenn Ihre Daten während eines Exports mit einem vom Kunden verwalteten Schlüssel verschlüsselt bleiben sollen, müssen Sie vor Beginn des Exports einen CMEK für das Speicherziel festlegen. Es gibt keine besonderen Anforderungen oder Einschränkungen für den Import von Daten in ein CMEK-verschlüsseltes Dataset, wenn der Import aus nicht CMEK-verschlüsseltem oder CMEK-verschlüsseltem Speicher erfolgt.

Beschränkungen

Preise

Datasets werden unabhängig davon, ob sie mit CMEK verschlüsselt sind, gleich abgerechnet. Weitere Informationen finden Sie unter Preise für die Cloud Healthcare API.

Ihnen werden von Cloud KMS sowohl die Kosten für den Schlüssel als auch alle kryptografischen Vorgänge für diesen Schlüssel in Rechnung gestellt. Diese Vorgänge erfolgen, wenn die Cloud Healthcare API den Schlüssel für die Ver- oder Entschlüsselung verwendet. Wir erwarten, dass diese Kosten auf Basis der erwarteten Anzahl kryptografischer Vorgänge, die von der Cloud Healthcare API generiert werden, minimal sind. Weitere Informationen finden Sie unter Cloud KMS – Preise.

Cloud KMS-Kontingente und Cloud Healthcare API

Wenn Sie CMEK in der Cloud Healthcare API verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Cloud Healthcare API-Datasets und ihre DICOM-, FHIR- und HL7v2-Speicher verbrauchen diese Kontingente für alle Vorgänge mit Ausnahme von datasets.get. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Nächste Schritte