Auf dieser Seite wird beschrieben, wie Sie Cloud HSM for Google Workspace (CHGWS) einrichten, den von Cloud Key Management Service (Cloud KMS) angebotenen Verschlüsselungsschlüsseldienst für Google Workspace. Cloud HSM für Google Workspace bietet erweiterte Datenschutzkontrollen für Google Workspace, die Ihnen helfen, behördliche Standards wie DISA IL5 zu erfüllen und die Datensicherheit zu erhöhen. Cloud HSM ist ein standardkonformer, hochverfügbarer und vollständig verwalteter Schlüsselverwaltungsdienst, der in der Cloud betrieben wird und hardwaresicherte Schlüssel in HSMs (Hardware Security Modules) speichert, die FIPS 140-2 Level 3 entsprechen.
Hinweise
Bevor Sie Cloud HSM für Google Workspace einrichten, müssen Sie die folgenden Voraussetzungen erfüllen:
- Richten Sie Google Workspace ein.
- Aktivieren Sie die clientseitige Verschlüsselung von Google Workspace (Client-side Encryption, CSE) in Ihrer Google Workspace-Umgebung.
- Konfigurieren Sie Ihren Identitätsanbieter (IdP) in Google Workspace CSE. Notieren Sie sich die Client-ID für Ihren IdP. Wenn Sie Google Identity Platform verwenden, finden Sie die Client-ID in Ihrem Google Cloud -Projekt.
- Optional: Wenn Sie den Zugriff auf CSE-verschlüsselte Inhalte in anderen Plattformanwendungen als im Web (z. B. auf Mobilgeräten oder Computern) zulassen möchten, fügen Sie die Client-IDs für diese Plattformen in Ihren IdP-Einstellungen in der Google Workspace Admin-Konsole hinzu. Notieren Sie sich alle Client-IDs für diesen IdP. Wenn Sie Google Identity Platform verwenden, finden Sie diese Client-IDs in Ihrem Google Cloud -Projekt. Bei anderen Identitätsanbietern müssen Sie diese Client-IDs separat erstellen.
Google Workspace-Onboarding anfordern
Wenn Sie Cloud HSM für Google Workspace einrichten möchten, senden Sie einen Onboarding-Antrag. Geben Sie die folgenden Informationen an:
Google Workspace-ID: Ihre Google Workspace-ID. So finden Sie Ihre Google Workspace-ID.
E-Mail-Adressen von Google Workspace-Administratoren: Geben Sie eine durch Kommas getrennte Liste von Administrator-E-Mail-Adressen an.
Details zum primären Identitätsanbieter (IdP):
- IdP JSON Web Key Set (JWKS) URL: Verwenden Sie für Google Identity Platform
https://www.googleapis.com/oauth2/v3/certs. - JWT-Aussteller (JSON Web Token): Verwenden Sie für Google Identity Platform
https://accounts.google.com. - JWT-Zielgruppe: Die Client-ID Ihres IdP für Webanwendungen.
- Zusätzliche JWT-Zielgruppen: Optional. Geben Sie Client-IDs für Anwendungen auf Nicht-Webplattformen an, sofern konfiguriert. Verwenden Sie für die Google Identity Platform die Client-IDs, die unter Wenn Sie die Google-Identität für CSE verwenden angegeben sind.
- IdP JSON Web Key Set (JWKS) URL: Verwenden Sie für Google Identity Platform
Details zum Gast-IdP: Optional. Füllen Sie diesen Abschnitt aus, wenn Sie einen Gast-IdP verwenden.
- JWKS-URL des Gast-IdP: Die JWKS-URL Ihres Gast-IdP.
- Aussteller des Gast-JWT-Tokens: Der Aussteller des JWT-Tokens Ihres Gast-IdP.
- Zielgruppe für Gast-JWT: Die Client-ID Ihres Gast-IdP für Webanwendungen, mit Ausnahme von Google Meet.
- Zusätzliche JWT-Zielgruppen für Gäste: Optional. Wenn Sie eine Google Meet-Webclient-ID oder andere Anwendungsclient-IDs für Nicht-Webplattformen konfigurieren, geben Sie für jede Client-ID an. Verwenden Sie für die Google Identity Platform die Client-IDs, die unter Wenn Sie die Google-Identität für CSE verwenden angegeben sind.
Endpunktstandort:
us-central1.Erwartete Anzahl von Nutzern: Geben Sie die erwartete Anzahl von Nutzern in Ihrer Google Workspace-Instanz an.
Prüfen Sie, ob die JWKS-URL Ihres IdP öffentlich zugänglich ist. Bestätigen Sie die Werte für den JWT-Tokenaussteller und die JWT-Zielgruppe bei Ihrem IdP-Administrator.
Das CHGWS-Team antwortet innerhalb von 24 bis 48 Stunden mit dem Status Ihrer Google Workspace-Einrichtung. Nach dem Onboarding können Sie Ihr Google Cloud -Projekt für Cloud KMS einrichten.
Google Cloud Projekt für Cloud KMS einrichten
Cloud HSM für Google Workspace-Endpunkte verwendet Cloud KMS-Schlüssel für kryptografische Vorgänge. Richten Sie ein neues Google Cloud Projekt ein, in dem die Cloud KMS-Schlüssel gehostet werden.
Google Cloud Projekt erstellen Das ist Ihr Schlüsselprojekt. Notieren Sie sich die Projekt-ID und die Projektnummer. Sie benötigen sie, um die Einrichtung abzuschließen.
Aktivieren Sie die Abrechnung für das Projekt, das Sie erstellt haben.
Aktivieren Sie die Cloud KMS API in Ihrem Google Cloud -Schlüsselprojekt.
Klicken Sie in der Google Cloud Console auf Terminal Cloud Shell aktivieren.
Prüfen Sie, ob Sie sich im richtigen Projekt befinden, indem Sie Ihre Projekt-ID mit der Projekt-ID im Cloud Shell-Prompt vergleichen.
Erstellen Sie mit Cloud Shell das Cloud HSM for Google Workspace-Dienstkonto:
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.comNotieren Sie sich die Dienstidentität, die mit diesem Befehl erstellt wurde. Sie benötigen den Namen der Dienstidentität im nächsten Schritt.
Weisen Sie dem von Ihnen erstellten Dienstkonto die Rolle CHGWS key Service Agent zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgentErsetzen Sie Folgendes:
PROJECT_ID: Die Projekt-ID Ihres Schlüsselprojekts.PROJECT_NUMBER: Die Projektnummer Ihres Schlüsselprojekts.
CHGWS-Dienstendpunkt verwalten
In den folgenden Abschnitten wird beschrieben, wie Sie Ihre CHGWS-Endpunkte einrichten und verwalten.
Cloud KMS-Schlüssel einrichten
Cloud KMS-Ressourcen für den CHGWS-Schlüssel-Serviceendpunkt einrichten
Schlüsselbund in der Region
us-central1erstellen:gcloud kms keyrings create KEY_RING --location us-central1Ersetzen Sie
KEY_RINGdurch den Namen, den Sie für Ihren CHGWS-Schlüsselbund verwenden möchten, z. B.CHGWS_KEY_RING.Cloud HSM-Schlüssel erstellen:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location us-central1 \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIMEErsetzen Sie Folgendes:
KEY_NAME: Der Name, den Sie für Ihren Schlüssel verwenden möchten, z. B.CHGWS_KEY_RING.KEY_RING: Der Name Ihres Schlüsselbunds, z. B.CHGWS_KEY.ROTATION_PERIOD: Die Häufigkeit, mit der Sie Ihre Schlüssel rotieren möchten, z. B.7d.NEXT_ROTATION_TIME: Das Datum und die Uhrzeit, zu der die nächste Schlüsselrotation erfolgt, z. B.2024-03-20T01:00:00.
Anfrageendpunkt erstellen
Wenn Sie die Erstellung eines Endpunkts anfordern möchten, senden Sie eine entsprechende Anfrage. Geben Sie die folgenden Informationen an:
- Workspace-ID:
<var>GOOGLE_WORKSPACE_ID</var> - Google Cloud-Projekt-ID:
PROJECT_ID - Google Cloud-Projektnummer:
PROJECT_NUMBER - Cloud KMS-Schlüsselbundname:
KEY_RING - Cloud KMS-Schlüsselbundspeicherort:
us-central1 - Cloud KMS-Schlüsselname:
KEY_NAME - CHGWS-Basis-URL: Optional. Eine Liste von URLs, für die die Schlüsselmigration aktiviert werden soll. Wenn Sie CHGWS zum ersten Mal für diesen Google Workspace einrichten, lassen Sie dieses Feld leer.
Das CHGWS-Team antwortet innerhalb von 24 bis 48 Stunden mit der CHGWS-Endpunkt-URL, sobald der Endpunkt verfügbar ist.
CHGWS-Endpunkt in Google Workspace CSE konfigurieren
Konfigurieren Sie Google Workspace CSE so, dass die CHGWS-URL verwendet wird, die beim Erstellen des CHGWS-Endpunkts generiert wurde. Folgen Sie der Anleitung unter Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten.
Endpoints migrieren
CHGWS bietet die Flexibilität, Ihren Schlüsseldienst zu oder von CHGWS zu migrieren. Wenn Sie eine CHGWS-Migration starten möchten, müssen Sie einen Migrationsantrag stellen. Geben Sie in der Anfrage die folgenden Informationen an:
- Endpunkt-ID: Die Endpunkt-ID von CHGWS.
- CHGWS-Basis-URL: Eine Liste von URLs, um die CHGWS-Schlüsselmigration zu aktivieren.
- Wenn Sie zu Cloud HSM für Google Workspace migrieren, geben Sie die Basis-URL jedes CHGWS-Endpunkts an, von dem Sie migrieren.
- Wenn Sie von Cloud HSM for Google Workspace migrieren, geben Sie die Basis-URLs der CHGWS-Endpunkte an, zu denen Sie migrieren möchten.
Wenn Sie zwischen zwei verschiedenen Cloud HSM for Google Workspace-Endpunkten migrieren, senden Sie zwei separate Anfragen: eine vom vorherigen Endpunkt und die andere zum neuen Endpunkt.
Das CHGWS-Team antwortet innerhalb von 24 bis 48 Stunden und teilt Ihnen mit, dass der Endpunkt für die Migration bereit ist.
Endpunkte löschen oder deaktivieren
Lösch- oder Deaktivierungsvorgänge für den Cloud HSM for Google Workspace-Endpunkt werden nicht direkt unterstützt. Sie können einen Cloud HSM for Google Workspace-Endpunkt jedoch deaktivieren, indem Sie alle zugehörigen Cloud KMS-Schlüsselversionen deaktivieren.
Führen Sie für jede Cloud KMS-Schlüsselversion, die das Endpunkt unterstützt, den folgenden Befehl aus:
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location us-central1 --key KEY_NAMEErsetzen Sie Folgendes:
KEY_VERSION: Die Version des Schlüssels, die Sie deaktivieren möchten, z. B.1.KEY_RING: Der Name des Schlüsselbunds, z. B.CHGWS_KEY_RING.KEY_NAME: Der Name des Schlüssels, z. B.CHGWS_KEY.
Endpunkte aktivieren
Wenn Sie einen CHGWS-Endpunkt deaktiviert haben, indem Sie alle Schlüsselversionen des zugrunde liegenden Cloud KMS-Schlüssels deaktiviert haben, können Sie den CHGWS-Endpunkt wieder aktivieren. Um den Endpunkt wieder zu aktivieren, aktivieren Sie alle aktiven Versionen des zugrunde liegenden Cloud KMS-Schlüssels mit dem folgenden gcloud CLI-Befehl:
Führen Sie für jede Cloud KMS-Schlüsselversion, die das Endpunkt unterstützt, den folgenden Befehl aus:
gcloud kms keys versions enable KEY_VERSION \ --keyring KEY_RING --location us-central1 --key KEY_NAMEErsetzen Sie Folgendes:
KEY_VERSION: Die Version des Schlüssels, die Sie deaktivieren möchten, z. B.1.KEY_RING: Der Name des Schlüsselbunds, z. B.CHGWS_KEY_RING.KEY_NAME: Der Name des Schlüssels, z. B.CHGWS_KEY.
Nächste Schritte
- Weitere Informationen zum Cloud Key Management Service
- Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten