Vom Kunden verwaltete Verschlüsselungsschlüssel
Integration Connectors verschlüsselt inaktive Kundendaten standardmäßig. Integration Connectors übernimmt die Verschlüsselung für Sie, ohne dass Sie zusätzliche Maßnahmen ergreifen müssen. Diese Option wird Google-Standardverschlüsselung genannt.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Integration Connectors verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Integration Connectors-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Hinweise
Achten Sie darauf, dass die folgenden Aufgaben ausgeführt werden, bevor Sie CMEK für Integration Connectors verwenden:
- Aktivieren Sie die Cloud KMS API für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.
- Weisen Sie die IAM-Rolle Cloud KMS-Administrator zu oder erteilen Sie die folgenden IAM-Berechtigungen für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Erstellen Sie einen Schlüsselbund und einen Schlüssel.
Dienstkonto zum CMEK-Schlüssel hinzufügen
Wenn Sie einen CMEK-Schlüssel in Integration Connectors verwenden möchten, müssen Sie dafür sorgen, dass Ihr Standarddienstkonto (im Format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) hinzugefügt wird und die IAM-Rolle CryptoKey-Verschlüsseler/-Entschlüsseler für diesen CMEK-Schlüssel zugewiesen wird.
- Rufen Sie in der Google Cloud Console die Seite Schlüsselinventar auf.
- Klicken Sie das Kästchen für den gewünschten CMEK-Schlüssel an.
Der Tab Berechtigungen im rechten Fensterbereich wird verfügbar.
- Klicken Sie auf Hauptkonto hinzufügen und geben Sie die E-Mail-Adresse des Standarddienstkontos ein.
- Klicken Sie auf Rolle auswählen und wählen Sie in der Drop-down-Liste die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
- Klicken Sie auf Speichern.
CMEK-Verschlüsselung für eine vorhandene Integration Connectors-Region aktivieren
Sie können CMEK verwenden, um die in einer Region (auch als Standort bezeichnet) gespeicherten unterstützten Daten zu verschlüsseln und zu entschlüsseln. So aktivieren Sie die CMEK-Verschlüsselung für eine vorhandene Integration Connectors-Region:
- Rufen Sie in der Google Cloud Console die Seite Integration Connectors > Verbindungen auf.
- Filtern Sie die Verbindungen nach dem erforderlichen Standort.
Sie erhalten eine Liste aller Verbindungen für den angegebenen Standort (Region).
- Alle Verbindungen in der Region unterbrechen
- Rufen Sie die Seite Integration Connectors > Regions auf. Hier werden alle Regionen aufgeführt, in denen Integration Connectors verfügbar ist.
- Klicken Sie für die Region, in der Sie CMEK aktivieren möchten, im Menü Aktionen auf Verschlüsselung bearbeiten. Der Bereich Verschlüsselung bearbeiten wird angezeigt.
- Wählen Sie Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus und wählen Sie dann den erforderlichen Schlüssel aus der Drop-down-Liste Vom Kunden verwalteter Schlüssel aus.
Möglicherweise werden Sie aufgefordert, dem Dienstkonto die Rolle
cloudkms.cryptoKeyEncrypterDecrypterzuzuweisen. Klicken Sie auf Erteilen. - Klicken Sie auf Fertig.
CMEK-Verschlüsselung für eine neue Integration Connectors-Region aktivieren
Sie können CMEK verwenden, um die in einer Region (auch als Standort bezeichnet) gespeicherten unterstützten Daten zu verschlüsseln und zu entschlüsseln. So aktivieren Sie die CMEK-Verschlüsselung für eine neue Integration Connectors-Region:
- Rufen Sie in der Google Cloud Console die Seite Integration Connectors > Regions auf.
- Klicken Sie auf Neue Region bereitstellen. Dadurch wird die Seite zum Erstellen von Regionen angezeigt.
- Wählen Sie die gewünschte Region aus der Drop-down-Liste Region aus.
- Wählen Sie im Abschnitt Erweiterte Einstellungen die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus und wählen Sie dann den erforderlichen Schlüssel aus der Drop-down-Liste Vom Kunden verwalteter Schlüssel aus.
Möglicherweise werden Sie aufgefordert, dem Dienstkonto die Rolle
cloudkms.cryptoKeyEncrypterDecrypterzuzuweisen. Klicken Sie auf Erteilen. - Klicken Sie auf Fertig.
Cloud KMS-Kontingente und Integration Connectors
Wenn Sie CMEK in Integration Connectors verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-Schlüssel können diese Kontingente beispielsweise für jeden Verschlüsselungs- und Entschlüsselungsaufruf verbrauchen.
Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:
- Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
- Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
- Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
Weitere Informationen finden Sie unter Cloud KMS-Kontingente.