此页面由 Cloud Translation API 翻译。

客户管理的加密密钥

默认情况下，Integration Connectors 会对静态客户内容进行加密。Integration Connectors 会为您处理加密，您无需执行任何其他操作。此选项称为 Google 默认加密。

如果您想要控制加密密钥，则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务（包括 Integration Connectors）搭配使用。使用 Cloud KMS 密钥时，您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外，您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK)，而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后，访问 Integration Connectors 资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项，请参阅客户管理的加密密钥 (CMEK)。

准备工作

在使用 Integration Connectors 的 CMEK 之前，请确保完成以下任务：

为存储加密密钥的项目启用 Cloud KMS API。
启用 Cloud KMS API
提示：您可以在同一 Google Cloud 项目中运行 Integration Connectors 和 Cloud KMS，也可以在不同的项目中运行它们。
分配 Cloud KMS Admin IAM 角色，或为将存储加密密钥的项目授予以下 IAM 权限：
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
如需了解如何授予其他角色或权限，请参阅授予、更改和撤消访问权限。

注意： Cloud KMS Admin 角色包含密钥维护和密钥版本销毁权限。为保护您的 Cloud KMS 资源，此角色应仅分配给负责密钥管理的个人。
创建密钥环和密钥。
注意： 密钥环必须在您设置集成连接器的同一区域中创建。

将服务账号添加到 CMEK 密钥

如需在 Integration Connectors 中使用 CMEK 密钥，您必须确保已添加默认服务账号（格式为 service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com），并为该服务账号分配相应 CMEK 密钥的 CryptoKey Encrypter/Decrypter IAM 角色。

注意： 如果您正在配置第一个区域，则默认服务账号可能不存在。如需生成服务账号，请运行 gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID 命令。

在 Google Cloud 控制台中，前往密钥清单页面。
前往“密钥清单”页面
选中所需的 CMEK 密钥对应的复选框。
右侧窗格中的权限标签变为可用。
点击添加主账号，然后输入默认服务账号的电子邮件地址。
点击选择角色，然后从下拉列表中选择 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
点击保存。

为现有 Integration Connectors 区域启用 CMEK 加密

您可以使用 CMEK 加密和解密存储在区域（也称为位置）中的受支持的数据。如需为现有的 Integration Connectors 区域启用 CMEK 加密，请执行以下步骤：

在 Google Cloud 控制台中，前往集成连接器 > 连接页面。
前往所有连接页面。
按所需位置过滤连接。
您将获得指定位置（区域）的所有连接的列表。
暂停相应区域中的所有连接。
前往集成连接器 > 区域页面。此列表列出了支持 Integration Connectors 的所有区域。
对于要启用 CMEK 的区域，请点击操作菜单中的修改加密。系统会显示修改加密窗格。
选择客户管理的加密密钥 (CMEK)，然后从客户管理的密钥下拉列表中选择所需的密钥。
系统可能会提示您向服务账号授予 cloudkms.cryptoKeyEncrypterDecrypter 角色。点击授权。
点击完成。

为新的 Integration Connectors 区域启用 CMEK 加密

您可以使用 CMEK 加密和解密存储在区域（也称为位置）中的受支持的数据。如需为新的 Integration Connectors 区域启用 CMEK 加密，请执行以下步骤：

在 Google Cloud 控制台中，前往集成连接器 > 区域页面。
前往“地区”页面。
点击预配新区域。系统随即会显示“创建区域”页面。
从区域下拉列表中选择所需的区域。
在高级设置部分中，选择客户管理的加密密钥 (CMEK)，然后从客户管理的密钥下拉列表中选择所需的密钥
系统可能会提示您向服务账号授予 cloudkms.cryptoKeyEncrypterDecrypter 角色。点击授权。
点击完成。

Cloud KMS 配额和 Integration Connectors

在 Integration Connectors 中使用 CMEK 时，您的项目可能会消耗 Cloud KMS 加密请求配额。例如，CMEK 密钥可为每次加密和解密调用消耗这些配额。

使用 CMEK 密钥执行的加密和解密操作通过以下方式影响 Cloud KMS 配额：

对于在 Cloud KMS 中生成的软件 CMEK 密钥，不会消耗 Cloud KMS 配额。
对于硬件 CMEK 密钥（有时称为 Cloud HSM 密钥），加密和解密操作会计入包含该密钥的项目中的 Cloud HSM 配额。
对于外部 CMEK 密钥（有时称为 Cloud EKM 密钥），加密和解密操作会计入包含该密钥的项目中的 Cloud EKM 配额。

如需了解详情，请参阅 Cloud KMS 配额。