CMEK für Looker (Google Cloud Core) aktivieren

Standardmäßig Google Cloud automatisch verschlüsselt Daten im inaktiven Zustand mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für die Verschlüsselung auf Anwendungsebene von Looker (Google Cloud Core) verwenden.

Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie in der Dokumentation zum Cloud Key Management Service.

Auf dieser Seite wird beschrieben, wie Sie eine Looker (Google Cloud Core)-Instanz für die Verwendung von CMEK konfigurieren.

Wie interagiert Looker (Google Cloud Core) mit CMEK?

In Looker (Google Cloud Core) wird ein einzelner CMEK-Schlüssel (über eine Hierarchie von sekundären Schlüsseln) verwendet, um die sensiblen Daten zu schützen, die von der Looker (Google Cloud Core)-Instanz verwaltet werden. Beim Start ruft jeder Prozess in der Looker-Instanz einmal den Cloud Key Management Service (KMS) auf, um den Schlüssel zu entschlüsseln. Im Normalbetrieb (nach dem Start) führt die gesamte Looker-Instanz etwa alle fünf Minuten einen einzelnen Aufruf an KMS aus, um zu prüfen, ob der Schlüssel noch gültig ist.

Welche Arten von Looker (Google Cloud Core)-Instanzen unterstützen CMEK?

Looker (Google Cloud Core)-Instanzen unterstützen CMEK, wenn zwei Kriterien erfüllt sind:

  • Die auf dieser Seite beschriebenen CMEK-Konfigurationsschritte werden vor dem Erstellen der Looker (Google Cloud Core)-Instanz ausgeführt. Vom Kunden verwaltete Verschlüsselungsschlüssel können nicht für vorhandene Instanzen aktiviert werden.
  • Instanzversionen müssen Enterprise oder Embed sein.

Workflow zum Erstellen einer Looker (Google Cloud Core)-Instanz mit CMEK

Auf dieser Seite werden Sie durch die folgenden Schritte geführt, um CMEK für eine Looker (Google Cloud Core)-Instanz einzurichten.

  1. Richten Sie Ihre Umgebung ein.
  2. Nur gcloud-, Terraform- und API-Nutzer:Erstellen Sie ein Dienstkonto für jedes Projekt, für das vom Kunden verwaltete Verschlüsselungsschlüssel erforderlich sind, sofern für das Projekt nicht bereits ein Looker-Dienstkonto eingerichtet wurde.
  3. Erstellen Sie einen Schlüsselbund und einen Schlüssel und legen Sie den Speicherort für den Schlüssel fest. Der Standort ist die Google Cloud-Region, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten.
  4. Nur für Google Cloud CLI-, Terraform- und API-Nutzer:Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.
  5. Nur Nutzer der Google Cloud CLI, von Terraform und der API:Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel.
  6. Rufen Sie Ihr Projekt auf und erstellen Sie eine Looker (Google Cloud Core)-Instanz mit den folgenden Optionen:
    1. Wählen Sie denselben Speicherort aus, der für den vom Kunden verwalteten Verschlüsselungsschlüssel verwendet wird.
    2. Legen Sie die Version auf Enterprise oder Embed fest.
    3. Aktivieren Sie die Konfiguration Vom Kunden verwalteter Schlüssel.
    4. Fügen Sie den vom Kunden verwalteten Verschlüsselungsschlüssel entweder nach Name oder nach ID hinzu.

Sobald alle diese Schritte abgeschlossen sind, ist CMEK für Ihre Looker (Google Cloud Core)-Instanz aktiviert.

Hinweise

Falls noch nicht geschehen, konfigurieren Sie Ihre Umgebung so, dass Sie der Anleitung auf dieser Seite folgen können. Folgen Sie der Anleitung in diesem Abschnitt, um sicherzustellen, dass Ihre Einrichtung korrekt ist.

  1. Wählen Sie in der Google Cloud -Console auf der Seite für die Projektauswahl ein Google Cloud -Projekt aus oder erstellen Sie eines. Hinweis:Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen. Dadurch werden alle mit dem Projekt verknüpften Ressourcen entfernt.

    Zur Projektauswahl

  2. Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.
  3. Installieren Sie die Google Cloud CLI.

  4. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  5. Aktivieren Sie die Cloud Key Management Service API.

    API aktivieren

  6. Aktivieren Sie die Looker (Google Cloud Core) API.

    API aktivieren

Erforderliche Rollen

Informationen zu den erforderlichen Rollen für die Einrichtung von CMEK finden Sie in der Dokumentation zum Cloud Key Management Service auf der Seite Zugriffssteuerung mit IAM.

Wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen möchten, benötigen Sie die IAM-Rolle Looker-Administrator für das Projekt, in dem die Looker (Google Cloud Core)-Instanz erstellt wird. Damit Sie CMEK für die Instanz in der Google Cloud -Konsole aktivieren können, müssen Sie die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den Schlüssel haben, der für CMEK verwendet wird.

Wenn Sie dem Looker-Dienstkonto Zugriff auf einen Cloud KMS-Schlüssel gewähren müssen, benötigen Sie die IAM-Rolle Cloud KMS-Administrator für den verwendeten Schlüssel.

Dienstkonto erstellen

Wenn Sie die Google Cloud CLI, Terraform oder die API verwenden, um Ihre Looker (Google Cloud Core)-Instanz zu erstellen, und noch kein Looker-Dienstkonto für das Google Cloud Projekt erstellt wurde, in dem sich die Instanz befindet, müssen Sie ein Dienstkonto für dieses Projekt erstellen. Wenn Sie mehrere Looker (Google Cloud Core)-Instanzen im Projekt erstellen, gilt dasselbe Dienstkonto für alle Looker (Google Cloud Core)-Instanzen in diesem Projekt. Das Dienstkonto muss also nur einmal erstellt werden. Wenn Sie die Console zum Erstellen einer Instanz verwenden, erstellt Looker (Google Cloud Core) automatisch das Dienstkonto und gewährt ihm Zugriff auf den CMEK-Schlüssel, wenn Sie die Option Vom Kunden verwalteten Verschlüsselungsschlüssel verwenden konfigurieren.

Gewähren Sie eine der folgenden Rollen, um zuzulassen, dass ein Nutzer Dienstkonten verwalten kann:

  • Dienstkontonutzer (roles/iam.serviceAccountUser): Umfasst Berechtigungen zum Auflisten von Dienstkonten, Abrufen von Details zu einem Dienstkonto und zum Übernehmen der Identität eines Dienstkontos.
  • Dienstkontoadministrator (roles/iam.serviceAccountAdmin): Umfasst Berechtigungen zum Auflisten von Dienstkonten und zum Abrufen von Details zu einem Dienstkonto. Umfasst außerdem Berechtigungen zum Erstellen, Aktualisieren und Löschen von Dienstkonten.

Derzeit können Sie nur Google Cloud CLI-Befehle verwenden, um die Art von Dienstkonto zu erstellen, die Sie für vom Kunden verwaltete Verschlüsselungsschlüssel benötigen. Wenn Sie die Google Cloud -Konsole verwenden, wird dieses Dienstkonto automatisch für Sie erstellt.

gcloud

Führen Sie den folgenden Befehl aus, um das Dienstkonto zu erstellen:

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch das Projekt, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

Mit diesem Befehl wird das Dienstkonto erstellt und der Name des Dienstkontos zurückgegeben. Sie verwenden diesen Dienstkontonamen, während Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Warten Sie nach dem Erstellen des Dienstkontos einige Minuten, bis es übertragen wird.

Schlüsselbund und Schlüssel erstellen

Sie können den Schlüssel im selben Google Cloud -Projekt wie die Looker (Google Cloud Core)-Instanz oder in einem separaten Nutzerprojekt erstellen. Der Speicherort des Cloud KMS-Schlüsselbunds muss mit der Region übereinstimmen, in der Sie die Looker (Google Cloud Core)-Instanz erstellen möchten. Ein Schlüssel mit mehreren Regionen oder globaler Region funktioniert nicht. Die Erstellungsanfrage der Looker (Google Cloud Core)-Instanz schlägt fehl, wenn die Regionen nicht übereinstimmen.

Folgen Sie der Anleitung auf den Dokumentationsseiten Schlüsselbund erstellen und Schlüssel erstellen, um einen Schlüsselbund und einen Schlüssel zu erstellen, die die folgenden beiden Kriterien erfüllen:

  • Das Feld Schlüsselbundspeicherort muss mit der Region übereinstimmen, die Sie für die Looker (Google Cloud Core)-Instanz festlegen.
  • Das Feld Zweck des Schlüssels muss Symmetrisches Ver-/Entschlüsseln lauten.

Informationen zum Rotieren des Schlüssels und zum Erstellen neuer Schlüsselversionen finden Sie im Abschnitt Schlüssel rotieren.

Kopieren oder notieren Sie die KMS_KEY_ID und die KMS_KEYRING_ID.

Wenn Sie die Google Cloud CLI, Terraform oder die API zum Einrichten Ihrer Looker (Google Cloud Core)-Instanz verwenden, folgen Sie der Anleitung auf der Dokumentationsseite Cloud KMS-Ressourcen-ID abrufen, um die Ressourcen-IDs für den Schlüsselbund und den Schlüssel zu finden, die Sie gerade erstellt haben. Kopieren oder notieren Sie die Schlüssel-ID (KMS_KEY_ID) und den Speicherort für den Schlüssel sowie die ID (KMS_KEYRING_ID) für den Schlüsselbund. Sie benötigen diese Informationen, wenn Sie dem Dienstkonto Zugriff auf den Schlüssel gewähren.

Gewähren Sie dem Dienstkonto Zugriff auf den Schlüssel

Sie müssen diese Schritte nur ausführen, wenn beide der folgenden Bedingungen zutreffen:

  • Sie verwenden die Google Cloud CLI, Terraform oder die API.
  • Dem Dienstkonto wurde noch kein Zugriff auf den Schlüssel gewährt. Wenn es beispielsweise bereits eine Looker (Google Cloud Core)-Instanz im selben Projekt gibt, die denselben Schlüssel verwendet, müssen Sie keinen Zugriff gewähren. Wenn der Zugriff auf den Schlüssel bereits von einer anderen Person gewährt wurde, müssen Sie keinen Zugriff gewähren.

Sie benötigen die IAM-Rolle Cloud KMS-Administrator für den verwendeten Schlüssel, um dem Dienstkonto Zugriff zu gewähren.

So gewähren Sie dem Dienstkonto Zugriff:

gcloud 

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ersetzen Sie Folgendes:

  • KMS_KEY_ID: die ID des KMS-Schlüssels
  • REGION: Die Region, in der die Looker-Instanz (Google Cloud Core) erstellt wird, und der Speicherort des Schlüsselbunds.
  • KMS_KEYRING_ID: die ID des KMS-Schlüsselbunds
  • SERVICE_ACCOUNT_NAME: Der Name des Dienstkontos, der zurückgegeben wurde, als Sie das Dienstkonto erstellt haben.

Nachdem Sie dem Dienstkonto die IAM-Rolle zugewiesen haben, warten Sie einige Minuten, bis die Berechtigung übertragen wurde.

Looker (Google Cloud Core)-Instanz mit CMEK erstellen

Wenn Sie eine Instanz mit vom Kunden verwalteten Verschlüsselungsschlüsseln in der Google Cloud -Konsole erstellen möchten, folgen Sie zuerst der Anleitung im Abschnitt Schlüsselbund und Schlüssel erstellen, um einen Schlüsselbund und einen Schlüssel in derselben Region zu erstellen, die Sie für Ihre Looker (Google Cloud Core)-Instanz verwenden. Gehen Sie dann mit den folgenden Einstellungen der Anleitung zum Erstellen einer Looker (Google Cloud Core)-Instanz nach.

Wenn Sie eine Looker (Google Cloud Core)-Instanz mit CMEK-Einstellungen erstellen möchten, wählen Sie eine der folgenden Optionen aus:

Console

  1. Sie benötigen die IAM-Rolle Cloud KMS CryptoKey Encrypter/Decrypter für den Schlüssel, der für CMEK verwendet wird.
  2. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Version die Version Enterprise oder Embed aus, um CMEK zu verwenden.
  3. Wählen Sie auf der Seite Instanz erstellen im Abschnitt Verschlüsselung das Optionsfeld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus. Daraufhin wird das Drop-down-Feld Vom Kunden verwalteten Schlüssel auswählen angezeigt.
  4. Legen Sie im Feld Vom Kunden verwalteten Schlüssel auswählen den Schlüssel fest, den Sie verwenden möchten. Der Schlüssel muss sich in einem Schlüsselbund befinden, dessen Standort auf dieselbe Region wie die Looker (Google Cloud Core)-Instanz festgelegt ist, die Sie erstellen. Andernfalls schlägt die Instanzerstellung fehl. Sie können den Schlüssel auf eine der folgenden zwei Arten auswählen:
    1. Schlüsselname aus der Drop-down-Liste auswählen:Die verfügbaren Schlüssel in Ihrem Google Cloud-Projekt werden in einer Drop-down-Liste angezeigt. Wenn Sie Ihren Schlüssel ausgewählt haben, klicken Sie auf OK.
    2. Geben Sie die Ressourcen-ID des Schlüssels ein:Klicken Sie auf den Text Ihr Schlüssel wird nicht angezeigt? Schlüsselressourcen-ID eingeben, das unten im Drop-down-Menü angezeigt wird.Daraufhin wird das Dialogfeld Schlüsselressourcen-ID eingeben angezeigt, in dem Sie die ID des Schlüssels eingeben können. Wenn Sie die ID eingegeben haben, wählen Sie Speichern aus.
  5. Nachdem Sie einen Schlüssel ausgewählt haben, werden Sie in einer Meldung aufgefordert, Ihrem Dienstkonto die Berechtigung zur Verwendung des Schlüssels zu erteilen. Klicken Sie auf die Schaltfläche Gewähren.
  6. Wenn das Dienstkonto keine Berechtigung zum Verschlüsseln und Entschlüsseln mit dem ausgewählten Schlüssel hat, wird eine Meldung angezeigt. Klicken Sie in diesem Fall auf Erteilen, um dem Dienstkonto die IAM-Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ für den ausgewählten KMS-Schlüssel zuzuweisen.
  7. Wenn Sie die Konfiguration Ihrer Looker (Google Cloud Core)-Instanz abgeschlossen haben, klicken Sie auf Erstellen.

gcloud 

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: Ein Name für Ihre Looker (Google Cloud Core)-Instanz. Er ist nicht mit der Instanz-URL verknüpft.
  • PROJECT_ID: der Name des Google Cloud Projekts, in dem Sie die Looker (Google Cloud Core)-Instanz erstellen
  • OAUTH_CLIENT_ID und OAUTH_CLIENT_SECRET: die OAuth-Client-ID und das OAuth-Secret, die Sie beim Einrichten des OAuth-Clients erstellt haben. Nachdem die Instanz erstellt wurde, geben Sie die URL der Instanz im Abschnitt Autorisierte Weiterleitungs-URIs des OAuth-Clients ein.
  • KMS_KEY_ID: die ID des KMS-Schlüssels
  • REGION: die Region, in der Ihre Looker-Instanz (Google Cloud Core) gehostet wird. Die verfügbaren Regionen sind auf der Dokumentationsseite Looker (Google Cloud Core)-Standorte aufgeführt.
  • EDITION: Damit CMEK aktiviert werden kann, muss EDITION core-embed-annual oder core-enterprise-annual sein.
  • CONSUMER_NETWORK: Ihr VPC-Netzwerk oder Ihre freigegebene VPC. Muss festgelegt werden, wenn Sie eine Instanz mit privater IP-Adresse erstellen.
  • RESERVED_RANGE: Der Bereich von IP-Adressen innerhalb der VPC, in dem Google ein Subnetzwerk für Ihre Looker-Instanz (Google Cloud Core) bereitstellt. Muss festgelegt werden, wenn Sie eine Instanz mit privater IP-Adresse erstellen.

Sie können die folgenden Flags einfügen:

  • --private-ip-enabled aktiviert die private IP.
  • --public-ip-enabled ermöglicht die Verwendung öffentlicher IP-Adressen.
  • --no-public-ip-enabled deaktiviert öffentliche IP-Adressen.

Terraform

Verwenden Sie die folgende Terraform-Ressource, um eine Enterprise-Instanz von Looker (Google Cloud Core) mit einer privaten Netzwerkverbindung bereitzustellen:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Ihre Looker (Google Cloud Core)-Instanz ist jetzt mit CMEK aktiviert.

Wichtige Informationen für eine CMEK-fähige Instanz aufrufen

Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, können Sie prüfen, ob CMEK aktiviert ist.

Wählen Sie eine der folgenden Optionen aus, um zu prüfen, ob CMEK aktiviert ist:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Looker-Instanzen auf.
  2. Klicken Sie auf einen Instanznamen, um die zugehörige Seite Details zu öffnen. Wenn für eine Instanz CMEK aktiviert ist, wird in der Zeile Verschlüsselung die für die Instanz verwendete Verschlüsselung angegeben. Im Feld Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) wird die Schlüssel-ID angezeigt.

gcloud 

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: Ein Name für Ihre Looker (Google Cloud Core)-Instanz. Er ist nicht mit der Instanz-URL verknüpft.
  • REGION: Die Region, in der die Instanz erstellt wurde.

Dieser Befehl sollte kmsKeyName, kmsKeyNameVersion und kmsKeyState zurückgeben, um zu bestätigen, dass die Instanz mit CMEK konfiguriert wurde.

Cloud External Key Manager (Cloud EKM) verwenden

Zum Schutz von Daten in Looker (Google Cloud Core)-Instanzen können Sie Schlüssel verwenden, die Sie mit einem unterstützten Partner für externe Schlüsselverwaltung verwalten. Weitere Informationen finden Sie auf der Dokumentationsseite Cloud External Key Manager, einschließlich des Abschnitts Hinweise.

Informationen zum Erstellen eines Cloud EKM-Schlüssels finden Sie im Abschnitt Funktionsweise auf der Dokumentationsseite Cloud External Key Manager. Nachdem ein Schlüssel erstellt wurde, geben Sie den Namen des Schlüssels an, wenn Sie eine Looker (Google Cloud Core)-Instanz erstellen.

Google hat keine Kontrolle über die Verfügbarkeit von Schlüsseln in einem Partnersystem für die externe Schlüsselverwaltung.

Schlüssel rotieren

Sie sollten Ihren Schlüssel rotieren, um die Sicherheit zu erhöhen. Jedes Mal, wenn Ihr Schlüssel rotiert wird, wird eine neue Schlüsselversion erstellt. Weitere Informationen zur Schlüsselrotation finden Sie auf der Dokumentationsseite Schlüsselrotation.

Wenn Sie den Schlüssel rotieren, der zum Sichern Ihrer Looker (Google Cloud Core)-Instanz verwendet wird, ist die vorherige Schlüsselversion weiterhin erforderlich, um auf Sicherungen oder Exporte zuzugreifen, die erstellt wurden, als diese Schlüsselversion verwendet wurde. Aus diesem Grund empfiehlt Google, die vorherige Schlüsselversion nach der Rotation mindestens 45 Tage lang aktiviert zu lassen, damit diese Elemente weiterhin zugänglich sind. Schlüsselversionen werden standardmäßig so lange aufbewahrt, bis sie deaktiviert oder gelöscht werden.

Schlüsselversionen deaktivieren und reaktivieren

Weitere Informationen finden Sie auf den folgenden Dokumentationsseiten:

Wenn eine Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, deaktiviert wird, muss die Looker (Google Cloud Core)-Instanz den Betrieb einstellen, alle unverschlüsselten vertraulichen Daten löschen, die sich möglicherweise im Arbeitsspeicher befinden, und warten, bis der Schlüssel wieder verfügbar ist. So läuft der Vorgang ab:

  1. Die Schlüsselversion, die zum Schutz einer Looker (Google Cloud Core)-Instanz verwendet wird, ist deaktiviert.
  2. Innerhalb von etwa 15 Minuten erkennt die Looker (Google Cloud Core)-Instanz, dass die Schlüsselversion widerrufen wurde, stellt den Betrieb ein und löscht alle verschlüsselten Daten im Arbeitsspeicher.
  3. Nachdem die Instanz nicht mehr funktioniert, wird bei Aufrufen von Looker-APIs eine Fehlermeldung zurückgegeben.
  4. Nachdem die Instanz nicht mehr funktioniert, wird in der Looker (Google Cloud Core)-Benutzeroberfläche eine Fehlermeldung zurückgegeben.
  5. Wenn Sie die Schlüsselversion wieder aktivieren, müssen Sie manuell einen Neustart der Instanz auslösen.

Wenn Sie eine Schlüsselversion deaktivieren und nicht warten möchten, bis die Looker (Google Cloud Core)-Instanz von selbst beendet wird, können Sie einen Neustart der Instanz manuell auslösen, damit die Looker (Google Cloud Core)-Instanz die widerrufene Schlüsselversion sofort erkennt.

Schlüsselversionen löschen

Weitere Informationen finden Sie auf der folgenden Dokumentationsseite:

Wenn eine Schlüsselversion, die zum Sichern einer Looker (Google Cloud Core)-Instanz verwendet wird, zerstört wird, ist die Looker-Instanz nicht mehr zugänglich. Die Instanz muss gelöscht werden und Sie können nicht mehr auf ihre Daten zugreifen.

Fehlerbehebung

In diesem Abschnitt wird beschrieben, welche Maßnahmen Sie ergreifen können, wenn Sie beim Einrichten oder Verwenden von CMEK-fähigen Instanzen eine Fehlermeldung erhalten.

Looker (Google Cloud Core)-Administratorvorgänge wie Erstellen oder Aktualisieren können aufgrund von Cloud KMS-Fehlern und fehlenden Rollen oder Berechtigungen fehlschlagen. Häufige Gründe für einen Fehler sind eine fehlende, deaktivierte oder gelöschte Cloud KMS-Schlüsselversion, unzureichende IAM-Berechtigungen für den Zugriff auf die Cloud KMS-Schlüsselversion oder wenn sich die Cloud KMS-Schlüsselversion in einer anderen Region als die Looker (Google Cloud Core)-Instanz befindet. Verwenden Sie die folgende Tabelle zur Fehlerbehebung, um häufige Probleme zu diagnostizieren und zu beheben.

Tabelle zur Fehlerbehebung für vom Kunden verwaltete Verschlüsselungsschlüssel

Fehlermeldung Mögliche Ursachen Strategien zur Fehlerbehebung
Dienstkonto pro Produkt und Projekt wurde nicht gefunden Der Name des Dienstkontos ist falsch. Prüfen Sie, ob Sie ein Dienstkonto für das richtige Nutzerprojekt erstellt haben.

ZUR SEITE „DIENSTKONTEN“

Zugriff auf das Dienstkonto kann nicht gewährt werden Das Nutzerkonto ist nicht berechtigt, Zugriff auf diese Schlüsselversion zu gewähren.

Weisen Sie Ihrem Nutzer- oder Dienstkonto die Rolle Organisationsadministrator zu.

ZUR SEITE „IAM-KONTEN“
Die Cloud KMS-Schlüsselversion wurde gelöscht. Die Schlüsselversion wurde gelöscht. Wenn die Schlüsselversion gelöscht wurde, können Sie sie nicht zum Verschlüsseln oder Entschlüsseln von Daten verwenden. Die Looker (Google Cloud Core)-Instanz muss gelöscht werden.
Die Cloud KMS-Schlüsselversion ist deaktiviert. Die Schlüsselversion ist deaktiviert.

Aktivieren Sie die Cloud KMS-Schlüsselversion wieder.

ZUR SEITE „SCHLÜSSELVERWALTUNG“
Unzureichende Berechtigung zur Verwendung des Cloud KMS-Schlüssels Die Rolle cloudkms.cryptoKeyEncrypterDecrypter fehlt in dem Nutzer- oder Dienstkonto, das Sie zum Ausführen von Vorgängen auf Looker (Google Cloud Core)-Instanzen verwenden, oder die Cloud KMS-Schlüsselversion ist nicht vorhanden.

Weisen Sie Ihrem Nutzer- oder Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu.

ZUR SEITE „IAM-KONTEN“

Wenn die Rolle Ihrem Konto bereits zugewiesen ist, finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen Informationen zum Erstellen einer neuen Schlüsselversion. Führen Sie dann die Schritte zur Instanzerstellung noch einmal aus.
Cloud KMS-Schlüssel wurde nicht gefunden Die Schlüsselversion ist nicht vorhanden. Erstellen Sie eine neue Schlüsselversion und führen Sie die Schritte zum Erstellen der Instanz noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.
Die Looker (Google Cloud Core)-Instanz und die Cloud KMS-Schlüsselversion befinden sich in verschiedenen Regionen. Die Cloud KMS-Schlüsselversion und die Looker (Google Cloud Core)-Instanz müssen sich in derselben Region befinden. Es kommt zu einem Fehler, wenn sich die Cloud KMS-Schlüsselversion in einer globalen Region oder Mehrfachregion befindet. Erstellen Sie eine Schlüsselversion in derselben Region, in der Sie Instanzen erstellen möchten, und führen Sie die Schritte zum Erstellen von Instanzen noch einmal aus. Weitere Informationen finden Sie im Abschnitt Schlüsselbund und Schlüssel erstellen.

Nächste Schritte