CMEK für Log-Buckets konfigurieren

In diesem Dokument finden Sie eine Anleitung zum Konfigurieren von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) für Protokolle, die in Protokoll-Buckets gespeichert sind. Außerdem wird beschrieben, wie Sie diese Schlüssel verwalten und welche Einschränkungen mit der Verwendung von CMEK verbunden sind.

Sie können CMEK als Standardressourceneinstellung für eine Organisation oder einen Ordner konfigurieren. Wenn Cloud Logging konfiguriert ist, werden alle neuen Log-Buckets in der Organisation oder im Ordner mit einem kundenverwalteten Schlüssel verschlüsselt. Wenn Sie beim Erstellen des Log-Buckets keinen Schlüssel angeben, wird der Standardschlüssel verwendet. Weitere Informationen finden Sie unter CMEK für Cloud Logging konfigurieren.

Übersicht

Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Von Logging in Protokoll-Buckets gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Umschlagverschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel, die Google Cloud für Sie verwaltet, ohne dass Sie etwas tun müssen.

Ihre Organisation kann regulatorische, Compliance- oder erweiterte Verschlüsselungsanforderungen haben, die unsere Standardverschlüsselung inaktiver Daten nicht anspricht. Anstatt die Schlüsselverschlüsselungsschlüssel, die Ihre Daten schützen, von Google Cloud verwalten zu lassen, können Sie Ihre Schlüssel selbst verwalten.

Weitere Informationen zur Verwendung von CMEK, einschließlich Vorteilen und Einschränkungen, finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Für die symmetrische Verschlüsselung wird die regelmäßige und automatische Schlüsselrotation empfohlen. Weitere Informationen finden Sie unter Schlüsselrotation.

Vorbereitung

Gehen Sie folgendermaßen vor:

1. Bei der Verwendung von CMEK gibt es einige Einschränkungen. Lesen Sie die Einschränkungen, bevor Sie einen Protokoll-Bucket mit aktivierter CMEK-Verschlüsselung erstellen.

2. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

3. Konfigurieren Sie das Google Cloud-Projekt, in dem Sie Ihre Schlüssel erstellen möchten:

   1. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für das Projekt oder eine übergeordnete Ressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

      Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

   2. Aktivieren Sie die Cloud KMS API.

   3. Erstellen Sie einen Schlüsselbund und Schlüssel.

      In Cloud Logging können Sie einen Schlüssel aus einer beliebigen Region verwenden. Wenn Sie jedoch einen Protokoll-Bucket erstellen, muss der Speicherort des Protokoll-Buckets mit dem Speicherort des Schlüssels übereinstimmen. Informationen zu unterstützten Regionen finden Sie hier:

      • Cloud KMS-Standorte
      • Unterstützte Regionen für Logging

      Sie können CMEK nicht für Log-Buckets aktivieren, die in der Region global erstellt wurden.

4. Sie benötigen die folgenden Cloud Logging-Berechtigungen für das Google Cloud-Projekt, in dem Sie Log-Buckets erstellen möchten:

   • logging.settings.get
   • logging.buckets.get
   • logging.buckets.list
   • logging.buckets.create
   • logging.buckets.update

CMEK aktivieren

Nachdem Sie die erforderlichen Schritte ausgeführt haben, folgen Sie dieser Anleitung, um CMEK für einen einzelnen Protokoll-Bucket zu aktivieren.

Dienstkonto-ID ermitteln

So ermitteln Sie die Dienstkonto-ID der Google Cloud-Ressource, für die CMEK gelten soll:

1. Führen Sie den folgenden gcloud logging settings describe-Befehl aus:

   gcloud logging settings describe --project=BUCKET_PROJECT_ID
   

   Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

   • BUCKET_PROJECT_ID: Name des Google Cloud-Projekts, in dem Sie den Log-Bucket erstellen möchten.

   Mit diesem Befehl wird ein Dienstkonto für die angegebene Ressource generiert, falls noch keines vorhanden ist. Außerdem wird die ID dieses Dienstkontos im Feld kmsServiceAccountId zurückgegeben:

   kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
   loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
   name: projects/BUCKET_PROJECT_ID/settings
   

   Im Feld kmsServiceAccountId wird das Dienstkonto aufgeführt, das von Cloud Logging zum Aufrufen von Cloud Key Management Service verwendet wird.

2. Wenn das Feld KMS_SERVICE_ACCT_NAME das Format cmek-pPROJECT_NUMBER hat und Sie VPC Service Controls verwenden oder die freigabe auf Domainebene aktivieren, müssen Sie Ihr CMEK-Dienstkonto migrieren. Informationen dazu, wann Sie migrieren müssen und wie Sie die Migration durchführen, finden Sie unter Fehlerbehebung bei VPC Service Controls und domainbeschränkter Freigabe.

Verschlüsseler-/Entschlüsselerrolle zuweisen

Wenn Sie CMEK auf Ebene des Protokoll-Buckets konfigurieren, müssen Sie dem Dienstkonto die Berechtigung geben, Cloud KMS zu verwenden. Weisen Sie dem Dienstkonto, das im Feld kmsServiceAccountId angegeben ist, dazu die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

• KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird, erstellt aus dem Google Cloud-Projektnamen und einer zufällig zugewiesenen Nummer. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
• KMS_SERVICE_ACCT_NAME: Der Name des Dienstkontos, der im Feld kmsServiceAccountId der Antwort des Befehls gcloud logging settings describe angezeigt wird.
• KMS_KEY_LOCATION: Die Region des Cloud KMS-Schlüssels.
• KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
• KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Log-Bucket erstellen und Cloud KMS-Schlüssel angeben

Führen Sie den folgenden gcloud logging buckets create-Befehl aus, um einen Protokoll-Bucket zu erstellen und CMEK für den Protokoll-Bucket zu aktivieren:

gcloud logging buckets create BUCKET_ID \
--location=LOCATION \
--cmek-kms-key-name=KMS_KEY_NAME \
--project=BUCKET_PROJECT_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

• BUCKET_ID: Der Name oder die ID des Log-Buckets.
• LOCATION: Der Speicherort des Log-Buckets.
• KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
• BUCKET_PROJECT_ID: Name des Google Cloud-Projekts, in dem der Log-Bucket erstellt wird.

Schlüsselaktivierung prüfen

Führen Sie folgenden gcloud logging buckets list-Befehl aus, um zu prüfen, ob Sie einen Log-Bucket mit aktivierter CMEK-Verschlüsselung erstellt haben:

gcloud logging buckets list --project=BUCKET_PROJECT_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

• BUCKET_PROJECT_ID: Name des Google Cloud-Projekts, in dem der Log-Bucket gespeichert wird.

In der tabellarischen Ausgabe sehen Sie eine Spalte mit der Bezeichnung CMEK. Wenn der Wert der Spalte CMEK TRUE ist, ist CMEK für den Protokoll-Bucket aktiviert.

Führen Sie diesen Befehl aus, um die Details für einen bestimmten Log-Bucket einschließlich der Schlüsseldetails aufzurufen:

gcloud logging buckets describe BUCKET_ID --location=LOCATION --project=BUCKET_PROJECT_ID

Cloud KMS-Schlüssel verwalten

In den folgenden Abschnitten wird beschrieben, wie Sie einen Log-Bucket so aktualisieren, dass die neueste Primärschlüsselversion eines Cloud KMS-Schlüssels verwendet wird. Außerdem wird beschrieben, wie Sie Ihren Cloud KMS-Schlüssel ändern, den Zugriff widerrufen und ihn deaktivieren.

Cloud KMS-Schlüssel rotieren

Wenn Sie einen Cloud KMS-Schlüssel erstellen, können Sie einen Rotationszeitraum konfigurieren. Sie können einen Cloud KMS-Schlüssel auch manuell rotieren. Jedes Mal, wenn ein Schlüssel rotiert wird, wird eine neue Version für diesen Schlüssel erstellt.

Wenn Sie einen Cloud KMS-Schlüssel rotieren, gilt die neue Schlüsselversion nur für Log-Buckets, die nach der Schlüsselrotation erstellt wurden. Wenn der Schlüssel von einem vorhandenen Log-Bucket verwendet wird, ändert sich durch das Rotieren des Schlüssels nichts daran, wie der Log-Bucket seine Daten schützt.

Angenommen, Sie erstellen einen Log-Bucket, aktivieren CMEK und rotieren dann den Cloud KMS-Schlüssel. Der von Ihnen erstellte Log-Bucket verwendet nicht die neue Schlüsselversion, sondern schützt seine Daten weiterhin mit der Schlüsselversion, die beim Erstellen des Log-Buckets als primär markiert wurde.

So aktualisieren Sie einen Log-Bucket, damit die neueste Primärschlüsselversion eines Cloud KMS-Schlüssels verwendet wird:

1. Ermitteln Sie den aktuellen Cloud KMS-Schlüssel für den Protokoll-Bucket. Weitere Informationen finden Sie unter Aktivierung des Schlüssels prüfen.
2. Geben Sie einen anderen Cloud KMS-Schlüssel an, den Sie verwenden können. Wenn Ihr Schlüsselbund nur einen Schlüssel enthält, erstellen Sie einen Schlüssel.
3. Ändern Sie den Cloud KMS-Schlüssel für den Protokoll-Bucket in den im vorherigen Schritt erstellten Cloud KMS-Schlüssel.
4. Ändern Sie den Cloud KMS-Schlüssel für den Protokoll-Bucket in den ursprünglichen Cloud KMS-Schlüssel.

Cloud KMS-Schlüssel ändern

Wenn Sie den mit Ihrem Log-Bucket verknüpften Cloud KMS-Schlüssel ändern möchten, erstellen Sie einen Schlüssel und aktualisieren Sie die CMEK-Einstellungen für den Log-Bucket:

gcloud logging buckets update BUCKET_ID --location=LOCATION \
--cmek-kms-key-name=NEW_KMS_KEY_NAME --project=BUCKET_PROJECT_ID

• BUCKET_ID: Der Name oder die ID des Log-Buckets.
• LOCATION: Der Speicherort des Log-Buckets.
• NEW_KMS_KEY_NAME: Name des neuen Schlüssels.
• BUCKET_PROJECT_ID: Name des Google Cloud-Projekts, in dem der Log-Bucket gespeichert wird.

Zugriff auf Cloud KMS-Schlüssel widerrufen

Wenn Sie den Zugriff von Logging auf den Cloud KMS-Schlüssel widerrufen möchten, entfernen Sie die konfigurierten IAM-Berechtigung des Dienstkontos für diesen Schlüssel.

Wenn Sie Logging den Zugriff auf einen Schlüssel entziehen, kann es bis zu einer Stunde dauern, bis die Änderung wirksam wird.

Wenn Sie ein verknüpftes BigQuery-Dataset haben, kann BigQuery diesen Zugriff nicht verwenden, um den Schlüssel auf eine neue BigQuery-Tabelle anzuwenden. Wenn Sie einen Schlüssel in einer BigQuery-Tabelle verwenden möchten, der nicht mit Logging verknüpft ist, folgen Sie der BigQuery-Dokumentation. Wenn Sie den Zugriff von Logging auf einen Schlüssel widerrufen und ein verknüpftes BigQuery-Dataset haben, widerrufen Sie auch den Zugriff von BigQuery auf denselben Schlüssel.

Sie können den Zugriff von BigQuery auf den Schlüssel des verknüpften Datensatzes nicht widerrufen und gleichzeitig den Zugriff für die Protokollierung beibehalten.

Weitere Informationen zu den Auswirkungen des Widerrufs des Zugriffs finden Sie unter Einschränkungen.

Führen Sie den folgenden Befehl aus, um den Zugriff von Logging auf einen Schlüssel zu entfernen:

gcloud kms keys remove-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

• KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird, erstellt aus dem Google Cloud-Projektnamen und einer zufällig zugewiesenen Nummer. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
• KMS_SERVICE_ACCT_NAME: Der Name des Dienstkontos, der im Feld kmsServiceAccountId der Antwort des Befehls gcloud logging settings describe angezeigt wird.
• KMS_KEY_LOCATION: Die Region des Cloud KMS-Schlüssels.
• KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
• KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Beschränkungen

Folgende Einschränkungen sind bekannt.

CMEK deaktiviert Error Reporting

Wenn Sie die Fehlerberichte verwenden möchten, aktivieren Sie in Ihren Protokoll-Buckets keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK). Weitere Informationen finden Sie unter Fehlerbehebung.

CMEK kann nicht aus Protokoll-Buckets entfernt werden

Sie können Log-Buckets nicht neu konfigurieren, um CMEK zu ändern oder zu entfernen.

Beeinträchtigung aufgrund der Nichtverfügbarkeit eines Cloud KMS-Schlüssels

Ein Cloud KMS-Schlüssel gilt als für Logging verfügbar und zugänglich, wenn die beiden folgenden Bedingungen zutreffen:

• Der Schlüssel ist aktiviert.
• Das Logging-Dienstkonto hat für den Schlüssel Berechtigungen zum Ver- und Entschlüsseln.

Für die Protokollierung wird dringend empfohlen, dass alle Schlüssel ordnungsgemäß konfiguriert und immer verfügbar sind.

Ausfall der Notfallwiederherstellung

Bei kritischen Fehlern im primären Speicher von Cloud Logging werden die Protokolldaten in Notfallwiederherstellungsdateien gespiegelt. Wenn CMEK für eine Ressource wie eine Google Cloud-Organisation aktiviert ist, werden die zugehörigen Protokolle durch den konfigurierten CMEK-Schlüssel geschützt. Wenn kein Zugriff auf den CMEK-Schlüssel besteht, können die Wiederherstellungsdateien für diese Ressource nicht geschrieben werden.

Der Verlust von Dateien zur Notfallwiederherstellung hat keine Auswirkungen auf die normalen Logging-Vorgänge. Bei einer Speicherkatastrophe kann Cloud Logging jedoch möglicherweise keine Logs aus Ressourcen wiederherstellen, deren CMEK nicht richtig konfiguriert ist.

Einschränkungen

Cloud Customer Care kann die Logs Ihrer Ressource nicht lesen, wenn der Schlüssel nicht richtig konfiguriert ist oder nicht verfügbar ist.

Verringerte Abfrageleistung

Wenn ein vom Kunden verwalteter Verschlüsselungsschlüssel nicht zugänglich ist, verschlüsselt Cloud Logging Ihre Daten weiterhin und speichert sie in Log-Buckets. In Cloud Logging können diese Daten jedoch nicht im Hintergrund optimiert werden. Wenn der Schlüsselzugriff wiederhergestellt wird, sind die Daten verfügbar. Sie werden jedoch zuerst in einem nicht optimierten Zustand gespeichert und die Abfrageleistung kann beeinträchtigt werden.

Beeinträchtigung aufgrund der Nichtverfügbarkeit eines Cloud EKM-Schlüssels

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google Cloud keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung. Wenn bei CMEK auf Bucketebene ein extern verwalteter Schlüssel nicht verfügbar ist, werden die Logs weiterhin in Log-Buckets in Cloud Logging gespeichert, Nutzer können jedoch nicht darauf zugreifen.

Weitere Informationen und mögliche Alternativen bei der Verwendung externer Schlüssel finden Sie in der Dokumentation zum Cloud External Key Manager.

Regionalität

Wenn Sie einen Log-Bucket erstellen und CMEK aktivieren, müssen Sie einen Schlüssel verwenden, dessen Region dem regionalen Geltungsbereich Ihrer Daten entspricht. Sie können CMEK nicht für Log-Buckets konfigurieren, die in der global Region erstellt wurden.

Verfügbarkeit der Clientbibliothek

Logging-Clientbibliotheken bieten keine Methoden zum Konfigurieren von CMEK.

Kontingente

Ausführliche Informationen zu den Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung bei CMEK-Konfigurationsfehlern finden Sie unter Fehlerbehebung bei CMEK- und Organisationseinstellungen.