为 Cloud Logging 配置 CMEK

本文档介绍了如何为 Cloud Logging 配置和管理客户管理的加密密钥 (CMEK),以满足贵组织的合规性需求。您可以将 CMEK 配置为组织文件夹的默认资源设置,也可以为这两者都配置。配置完成后,Cloud Logging 会确保组织或文件夹中的所有新日志存储分区都使用客户管理的密钥进行加密。

您可以为组织和文件夹配置默认设置。创建新资源时,这些资源会继承其父级的默认设置。例如,如果您将 CMEK 配置为组织的默认资源设置,则在该组织的项目、文件夹或结算账号中创建的任何新的 _Default_Required 日志存储分区都将使用默认密钥进行加密。此外,如果您在该组织的子项目中创建自定义日志存储桶,系统会自动使用默认密钥,除非您在创建日志存储桶时提供其他密钥。

本指南中的说明使用 Google Cloud CLI。

概览

默认情况下,Cloud Logging 会对以静态方式存储的客户内容进行加密。Logging 存储在日志分桶中的数据使用密钥加密密钥进行加密,此过程称为“信封加密”。访问日志记录数据需要访问这些密钥加密密钥,Google Cloud 会为您管理这些密钥,您无需执行任何操作。

您的组织可能具有我们的默认静态加密不提供的监管、合规性相关或高级加密要求。为满足贵组织的要求,您可以将 CMEK 配置为控制和管理您自己的加密,而不是由 Google Cloud 管理用于保护您的数据的加密密钥。

如需了解 CMEK 的具体信息(包括其优点和限制),请参阅 CMEK

将 CMEK 配置为 Logging 的默认资源设置后,会发生以下情况:

  • 组织或文件夹中的新日志存储分区会自动使用配置的密钥进行加密。不过,您可以更改该键,也可以创建日志存储分区并指定其他键。如需了解详情,请参阅为日志存储分区配置 CMEK
  • 如果您使用 Log Analytics 并查询多个日志存储分区,则系统可能会使用默认密钥来加密临时数据。如需了解详情,请参阅 Log Analytics 限制

准备工作

首先,请完成以下步骤:

  1. 在创建启用了 CMEK 的日志存储桶之前,请先查看限制

  2. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  3. 配置您计划创建密钥的 Google Cloud 项目:

    1. 如需获得创建密钥所需的权限,请让您的管理员向您授予对项目的 Cloud KMS Admin (roles/cloudkms.admin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

      您也可以通过自定义角色或其他预定义角色来获取所需的权限。

    2. 启用 Cloud KMS API

    3. 创建密钥环和密钥

      借助 Cloud Logging,您可以使用任何区域的密钥。不过,在创建日志存储桶时,日志存储桶的位置必须与密钥的位置一致。如需了解支持的区域,请参阅以下内容:

      如果您按照本文档中的步骤将 CMEK 配置为 Logging 的默认资源设置,则在组织或文件夹中创建的新日志存储分区会自动配置为使用 CMEK。此外,由于日志存储桶的位置必须与密钥的位置匹配,因此在将 CMEK 配置为默认资源设置后,您无法在 global 区域中创建日志桶。

  4. 确保您在要配置默认设置的组织或文件夹中的 IAM 角色具有以下 Cloud Logging 权限:

    • logging.settings.get
    • logging.settings.update

为组织或文件夹启用 CMEK

请按照以下说明为您的 Google Cloud 文件夹或组织启用 CMEK。

确定服务账号 ID

如需确定与要为其应用 CMEK 的组织或文件夹关联的服务账号 ID,请运行以下 gcloud logging settings describe 命令:

文件夹

 gcloud logging settings describe --folder=FOLDER_ID

在运行上一个命令之前,请先进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。如需了解如何使用文件夹,请参阅创建和管理文件夹

单位 

gcloud logging settings describe --organization=ORGANIZATION_ID

在运行上一个命令之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的唯一数字标识符。如需了解如何获取此标识符,请参阅获取组织 ID

上一个命令会为组织或文件夹生成服务账号(如果组织或文件夹尚无服务账号)。该命令还会返回两个服务账号的 ID,一个在 kmsServiceAccountId 字段中,另一个在 loggingServiceAccountId 字段中。如需将 CMEK 配置为默认设置,请使用 kmsServiceAccountId 字段中的值。

以下示例展示了指定组织后对上述命令的响应:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

请为每个资源运行一次配置过程。多次运行 describe 命令会为 kmsServiceAccountId 字段返回相同的值。

如果您无法使用 Google Cloud CLI,请运行 Cloud Logging API 方法 getSettings

分配 Encrypter/Decrypter 角色

如需使用 CMEK,请将 Cloud KMS CryptoKey Encrypter/Decrypter 角色分配给服务账号,以向该服务账号授予使用 Cloud KMS 的权限:

gcloud

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

在运行上一个命令之前,请先进行以下替换:

  • KMS_PROJECT_ID:运行 Cloud KMS 的 Google Cloud 项目的唯一字母数字标识符,由 Google Cloud 项目名称和随机分配的编号组成。如需了解如何获取此标识符,请参阅标识项目
  • KMS_SERVICE_ACCT_NAMEgcloud logging settings describe 命令响应的 kmsServiceAccountId 字段中显示的服务账号的名称。
  • KMS_KEY_LOCATION:Cloud KMS 密钥所在的区域。
  • KMS_KEY_RING:Cloud KMS 密钥环的名称。
  • KMS_KEY_NAME:Cloud KMS 密钥的名称。其格式如下所示:projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

控制台

  1. 在 Google Cloud 控制台中打开 Cloud Key Management Service 密钥浏览器。
    打开 Cloud KMS 密钥浏览器

  2. 选择包含密钥的密钥环的名称。

  3. 选中密钥对应的复选框。

    权限标签变为可用。

  4. 添加成员对话框中,指定您授予访问权限的 Logging 服务账号的电子邮件地址。

  5. 选择角色下拉列表中,选择 Cloud KMS CryptoKey Encrypter/Decrypter

  6. 点击添加

配置组织政策

日志记录支持可以要求 CMEK 保护并且可以限制可用于 CMEK 保护的 Cloud KMS CryptoKey 的组织政策:

  • constraints/gcp.restrictNonCmekServices 限制条件的服务 Deny 政策列表中包含 logging.googleapis.com 时,Logging 会拒绝创建未受 CMEK 保护的新用户定义存储分区。不过,此限制不会阻止 Cloud Logging 创建在创建 Google Cloud 项目时创建的 _Required_Default 日志存储分区。

  • 强制执行 constraints/gcp.restrictCmekCryptoKeyProjects 后,日志记录会创建受 CMEK 保护的资源,这些资源由来自允许的项目、文件夹或组织的 CryptoKey 保护。

如需详细了解 CMEK 和组织政策,请参阅 CMEK 组织政策

如果存在指定 CMEK 限制条件的组织政策,请确保这些限制条件与 Logging 针对组织或文件夹的默认设置一致。此外,如果您打算修改默认设置,请先查看组织政策,并根据需要更新这些政策,然后再更新默认设置。

如需查看或配置组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往组织政策页面:

    前往组织政策

    如果您使用搜索栏查找此页面,请选择子标题为 IAM 和管理的结果。

  2. 选择您的组织。

  3. 验证 CMEK 专用限制条件,并根据需要进行更新。

    如需了解如何修改组织政策,请参阅创建和修改政策

使用 Cloud KMS 密钥配置 Cloud Logging

如需将 CMEK 配置为 Logging 的默认资源设置,请运行以下 gcloud logging settings update 命令:

文件夹

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

在运行上一个命令之前,请先进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。如需了解如何使用文件夹,请参阅创建和管理文件夹
  • KMS_KEY_LOCATION:Cloud KMS 密钥所在的区域。
  • KMS_KEY_NAME:Cloud KMS 密钥的名称。其格式如下所示:projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
  • KMS_KEY_RING:Cloud KMS 密钥环的名称。
  • KMS_PROJECT_ID:运行 Cloud KMS 的 Google Cloud 项目的唯一字母数字标识符,由 Google Cloud 项目名称和随机分配的编号组成。如需了解如何获取此标识符,请参阅标识项目

上一个命令会更新默认设置,以存储 Cloud KMS 密钥的相关信息。您必须确保该文件夹的默认存储位置设置为 KMS_KEY_LOCATION 的值。如果您尚未设置默认存储位置,或者该位置的值与 KMS_KEY_LOCATION 的值不匹配,请将以下内容附加到上一条命令:

--storage-location = KMS_KEY_LOCATION

借助 --storage-location 标志,您可以设置或更新文件夹的默认存储位置。

单位 

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

在运行上一个命令之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的唯一数字标识符。如需了解如何获取此标识符,请参阅获取组织 ID
  • KMS_KEY_LOCATION:Cloud KMS 密钥所在的区域。
  • KMS_KEY_NAME:Cloud KMS 密钥的名称。其格式如下所示:projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
  • KMS_KEY_RING:Cloud KMS 密钥环的名称。
  • KMS_PROJECT_ID:运行 Cloud KMS 的 Google Cloud 项目的唯一字母数字标识符,由 Google Cloud 项目名称和随机分配的编号组成。如需了解如何获取此标识符,请参阅标识项目

上一个命令会更新默认设置,以存储 Cloud KMS 密钥的相关信息。您必须确保为组织设置的默认存储位置KMS_KEY_LOCATION 的值。如果您尚未设置默认存储位置,或者该位置的值与 KMS_KEY_LOCATION 的值不匹配,请将以下内容附加到上一个命令:

--storage-location = KMS_KEY_LOCATION

借助 --storage-location 标志,您可以设置或更新组织的默认存储位置。

应用密钥后,组织或文件夹中的新日志存储分区会配置为使用此密钥加密其静态数据。您还可以更改单个日志存储分区的密钥。您无法在 global 区域创建日志存储分区,因为您必须使用区域与数据的区域范围相匹配的密钥。

如果您无法使用 Google Cloud CLI,请运行 Cloud Logging API 方法 updateSettings

验证密钥的启用状态

如需验证您是否已成功为组织或文件夹启用 CMEK,请运行以下 gcloud logging settings describe 命令:

文件夹

gcloud logging settings describe --folder=FOLDER_ID

在运行上一个命令之前,请先进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。如需了解如何使用文件夹,请参阅创建和管理文件夹

单位 

gcloud logging settings describe --organization=ORGANIZATION_ID

在运行上一个命令之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的唯一数字标识符。如需了解如何获取此标识符,请参阅获取组织 ID

如果上一个命令返回 kmsKeyName 字段中已填充的 Cloud KMS 密钥名称,则表明相应组织或文件夹已启用 CMEK:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

将日志路由到支持的目的地

  • Cloud Logging 日志存储分区可以配置为使用 CMEK 加密数据。将 CMEK 配置为组织或文件夹的默认设置后,组织或文件夹中的新日志存储分区会自动使用 CMEK。您可以更改这些日志存储分区的密钥,还可以创建使用与默认设置指定的 KMS 密钥不同的 KMS 密钥的日志存储分区。

    如需了解应用于日志存储桶的 CMEK(包括如何更改密钥以及在日志存储桶上启用 CMEK 时的限制),请参阅为日志存储桶配置 CMEK

  • Cloud Storage 支持使用 CMEK 路由日志。如需了解如何为 Cloud Storage 配置 CMEK,请参阅使用客户管理的加密密钥

    如果在将日志数据路由到 Cloud Storage 时,由于密钥不可用而导致数据丢失,那么当这些日志也存储在日志存储桶中时,您可以追溯性地将日志批量复制到 Cloud Storage。如需了解详情,请参阅复制日志条目

  • 默认情况下,Pub/Sub 会对静态存储的客户内容进行加密。如需了解详情,请参阅配置消息加密

管理 Cloud KMS 密钥

以下部分介绍了如何针对 Cloud KMS 密钥执行何更改、撤消访问权限或停用操作。

更改 Cloud KMS 密钥

如需更改与组织或文件夹关联的 Cloud KMS 密钥,请创建密钥,然后运行 gcloud logging settings update 命令并提供有关新 Cloud KMS 密钥的信息:

文件夹

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

您必须确保该文件夹的默认存储位置设置为 KMS_KEY_LOCATION 的值。如果您尚未设置默认存储位置,或者该位置的值与 KMS_KEY_LOCATION 的值不匹配,请将以下内容附加到上一个命令:

--storage-location = NEW_KMS_KEY_LOCATION

单位 

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

您必须确保为组织设置的默认存储位置KMS_KEY_LOCATION 的值。如果您尚未设置默认存储位置,或者该位置的值与 KMS_KEY_LOCATION 的值不匹配,请将以下内容附加到上一个命令:

--storage-location = NEW_KMS_KEY_LOCATION

撤消对 Cloud KMS 密钥的访问权限

您可以撤消 Logging 对 Cloud KMS 密钥的访问权限,方法是移除已配置的服务账号对该密钥的 IAM 权限。

如果您取消了 Logging 对某个密钥的访问权限,更改最长可能需要一小时才会生效。

如需撤消 Logging 对 Cloud KMS 密钥的访问权限,请运行以下 Google Cloud CLI 命令:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

在运行上一个命令之前,请先进行以下替换:

  • KMS_PROJECT_ID:运行 Cloud KMS 的 Google Cloud 项目的唯一字母数字标识符,由 Google Cloud 项目名称和随机分配的编号组成。如需了解如何获取此标识符,请参阅标识项目
  • KMS_SERVICE_ACCT_NAMEgcloud logging settings describe 命令响应的 kmsServiceAccountId 字段中显示的服务账号的名称。
  • KMS_KEY_LOCATION:Cloud KMS 密钥所在的区域。
  • KMS_KEY_RING:Cloud KMS 密钥环的名称。
  • KMS_KEY_NAME:Cloud KMS 密钥的名称。其格式如下所示:projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

停用 CMEK

为组织或文件夹停用 CMEK 只会移除将在未来执行 CMEK 政策的操作;之前应用的配置保持不变。

如需在将 CMEK 配置为默认资源设置的资源上停用 CMEK,请运行以下 Google Cloud CLI 命令:

文件夹

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

在运行上一个命令之前,请先进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。如需了解如何使用文件夹,请参阅创建和管理文件夹

单位 

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

在运行上一个命令之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的唯一数字标识符。如需了解如何获取此标识符,请参阅获取组织 ID

如果您要销毁密钥,请参阅销毁和恢复密钥版本

Cloud KMS 密钥轮替注意事项

当与 Google Cloud 组织或文件夹关联的 Cloud KMS 密钥轮替使用时,Cloud Logging 不会自动轮替临时灾难恢复文件的加密密钥。现有恢复文件将继续使用在创建它们时所用的密钥版本。新的恢复文件会使用当前的主要密钥版本。

限制

将 CMEK 配置为 Logging 的默认资源设置时,存在以下已知限制。

灾难恢复文件不可用

如果同时满足以下两个条件,则 Cloud KMS 密钥被视为可由 Logging 使用和访问:

  • 密钥已启用
  • gcloud logging settings describe 命令响应的 kmsServiceAccountId 字段中列出的服务账号拥有该密钥的加密和解密权限。

如果 Logging 无法再访问 Cloud KMS 密钥,则 Logging 无法写入临时灾难恢复文件,而对于用户,查询将停止运行。即使在密钥访问恢复后,查询性能也可能会降低。

将日志路由到 Cloud Storage 也可能受到影响,因为日志记录功能将无法写入协调路由所需的临时文件。如果在加密或解密数据时遇到错误,系统会向包含 Cloud KMS 密钥的 Google Cloud 项目发送通知。

客户端库可用性

Logging 客户端库不提供配置 CMEK 的方法。

由于 Cloud EKM 密钥不可用而导致降级

当您使用 Cloud EKM 密钥时,Google 无法控制由外部管理的密钥在外部密钥管理合作伙伴系统中的可用性。

将 CMEK 配置为组织或文件夹的默认资源设置后,如果外部管理的密钥不可用,Cloud Logging 会不断重试访问该密钥。Cloud Logging 还会将传入的日志数据缓存最多一个小时。1 小时后,如果 Cloud Logging 仍然无法访问外部管理的密钥,则 Cloud Logging 将开始丢弃数据。

如果对日志存储桶应用了 CMEK,并且外部管理的密钥不可用,则 Cloud Logging 会继续将日志存储在日志存储桶中,但用户将无法访问这些数据。

如需了解使用外部密钥的更多注意事项和可能的替代方案,请参阅 Cloud External Key Manager 文档

日志存储分区的限制

如需了解将 CMEK 与日志存储分区搭配使用时的限制,请参阅限制

配额

如需详细了解日志记录用量限制,请参阅配额和限制

排查配置错误

如需了解如何排查 CMEK 配置错误,请参阅排查 CMEK 和默认设置错误