本頁面由 Cloud Translation API 翻譯而成。

客戶管理的加密金鑰

根據預設，整合連接器會加密靜態儲存的客戶內容。整合連接器會為您處理加密作業，您不必採取任何其他動作。這個選項稱為「Google 預設加密」。

如果您想控制加密金鑰，可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，並搭配 CMEK 整合服務 (包括整合連接器) 使用。使用 Cloud KMS 金鑰可讓您控制金鑰的保護等級、位置、輪替時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 還可讓您查看稽核記錄，並控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK)，而非由 Google 擁有及管理這些金鑰。

使用 CMEK 設定資源後，存取 Integration Connectors 資源的體驗就會類似於使用 Google 預設加密機制。如要進一步瞭解加密選項，請參閱「客戶管理的加密金鑰 (CMEK)」。

事前準備

使用整合連接器的 CMEK 前，請務必完成下列工作：

針對要用來儲存加密金鑰的專案啟用 Cloud KMS API。
啟用 Cloud KMS API
提示：您可以在同一個 Google Cloud 專案或不同的專案中執行 Integration Connectors 和 Cloud KMS。
請指派 Cloud KMS 管理員 IAM 角色，或是授予下列 IAM 權限給要用來儲存加密金鑰的專案：
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
如要進一步瞭解如何授予其他角色或權限，請參閱「授予、變更及撤銷存取權」。

注意： Cloud KMS 管理員角色包含金鑰維護和金鑰版本銷毀的權限。為保護 Cloud KMS 資源，請只將這個角色指派給負責金鑰管理的人員。
建立金鑰環和金鑰。
注意： 金鑰環必須建立在您設定整合連接器的相同區域。

將服務帳戶新增至 CMEK 金鑰

如要在整合連接器中使用 CMEK 金鑰，您必須確保已新增預設服務帳戶 (格式為 service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com)，並指派該 CMEK 金鑰的 CryptoKey Encrypter/Decrypter IAM 角色。

注意： 如果您要佈建第一個區域，可能就沒有預設服務帳戶。如要產生服務帳戶，請執行 gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID 指令。

前往 Google Cloud 控制台的「Key Inventory」頁面。
前往「廣告空間」頁面
勾選所需 CMEK 金鑰的核取方塊。
右邊窗格中的「Permissions」分頁隨即顯示。
按一下「新增主體」，然後輸入預設服務帳戶的電子郵件地址。
按一下「選取角色」，然後從下拉式清單中選取「Cloud KMS CryptoKey 加密者/解密者」角色。
按一下「儲存」。

為現有的 Integration Connectors 區域啟用 CMEK 加密

您可以使用 CMEK 加密及解密儲存在地區 (也稱為位置) 中的支援資料。如要為現有的 Integration Connectors 區域啟用 CMEK 加密功能，請執行下列步驟：

在 Google Cloud 控制台中，依序前往「Integration Connectors」(整合連接器) >「Connections」(連線) 頁面。
前往「所有連線」頁面。
篩選所需位置的連線。
系統會列出指定位置 (區域) 的所有連線。
暫停區域中的所有連線。
前往「Integration Connectors」>「Regions」頁面。這份清單列出可使用 Integration Connectors 的所有區域。
針對您要啟用 CMEK 的區域，請在「動作」選單中，按一下「編輯加密」。這會顯示「Edit encryption」窗格。
選取「客戶管理的加密金鑰 (CMEK)」，然後從「客戶管理的金鑰」下拉式清單中選取所需金鑰。
系統可能會提示您將 cloudkms.cryptoKeyEncrypterDecrypter 角色授予服務帳戶。按一下「授予」。
按一下 [完成]。

為新的 Integration Connectors 區域啟用 CMEK 加密

您可以使用 CMEK 加密及解密儲存在地區 (也稱為位置) 中的支援資料。如要為新的 Integration Connectors 區域啟用 CMEK 加密功能，請執行下列步驟：

在 Google Cloud 控制台中，依序前往「Integration Connectors」>「Regions」頁面。
前往「地區」頁面。
按一下「Provision new region」。這會顯示「建立區域」頁面。
從「Region」下拉式清單中選取所需區域。
在「Advanced settings」部分中，選取「Customer-managed encryption key (CMEK)」，然後從「Customer-managed key」下拉式清單中選取所需金鑰
系統可能會提示您將 cloudkms.cryptoKeyEncrypterDecrypter 角色授予服務帳戶。按一下「授予」。
按一下 [完成]。

Cloud KMS 配額和整合連接器

在 Integration Connectors 中使用 CMEK 時，專案可以使用 Cloud KMS 密碼編譯要求配額。舉例來說，CMEK 金鑰可在每次加密和解密呼叫中使用這些配額。

使用 CMEK 金鑰進行加密和解密作業會對 Cloud KMS 配額造成以下影響：

在 Cloud KMS 中產生的軟體 CMEK 金鑰不會消耗 Cloud KMS 配額。
對於硬體 CMEK 金鑰 (有時稱為 Cloud HSM 金鑰)，加密和解密作業會計入包含金鑰的專案中 Cloud HSM 配額。
對於外部 CMEK 金鑰 (有時稱為 Cloud EKM 金鑰)，加密和解密作業會計入包含金鑰的專案中 Cloud EKM 配額。

詳情請參閱「Cloud KMS 配額」。