Auf dieser Seite wird die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) zum Verwalten von Google Cloud NetApp Volumes beschrieben.
Informationen zu CMEK
NetApp Volumes verschlüsselt Ihre Daten immer mit volumenspezifischen Schlüsseln. NetApp Volumes verschlüsselt Ihre inaktiven Daten immer.
Mit CMEK umschließt Cloud Key Management Service Ihre gespeicherten Volumeschlüssel. Mit dieser Funktion haben Sie mehr Kontrolle über die von Ihnen verwendeten Verschlüsselungsschlüssel und profitieren von der zusätzlichen Sicherheit, die sich daraus ergibt, dass die Schlüssel auf einem System oder an einem Ort gespeichert werden, der sich von den Daten unterscheidet. NetApp Volumes unterstützt Cloud Key Management Service-Funktionen wie Hardware Security Modules und den gesamten Schlüssellebenszyklus von „Generieren“, „Verwenden“, „Rotieren“ und „Löschen“.
NetApp Volumes unterstützt eine CMEK-Richtlinie pro Region. Eine CMEK-Richtlinie wird an einen Speicherpool angehängt und für alle in diesem Pool erstellten Volumes verwendet. In einer Region können Sie eine Mischung aus Speicherpools mit und ohne CMEK-Richtlinien haben. Wenn Sie Pools ohne CMEK in einer bestimmten Region haben, können Sie sie mit der Migrationsaktion der CMEK-Richtlinie einer Region in CMEK umwandeln.
Die Verwendung von CMEK ist optional. CMEK-Richtlinien sind regionsspezifisch. Sie können nur eine Richtlinie pro Region konfigurieren.
Hinweise
In den folgenden Abschnitten werden Einschränkungen für CMEK beschrieben, die Sie berücksichtigen sollten.
Schlüsselverwaltung
Bei Verwendung von CMEK sind Sie allein für Ihre Schlüssel und Ihre Daten verantwortlich.
Cloud KMS-Konfigurationen
Bei CMEK werden symmetrische Schlüssel für die Ver- und Entschlüsselung verwendet.
Nachdem alle Volumes in einer Region für ein Projekt gelöscht wurden, wird die Cloud KMS-Konfiguration wieder in den Status Ready zurückgesetzt. Er wird wieder verwendet, wenn Sie das nächste Volume in dieser Region erstellen.
Regionale Schlüsselbunde
NetApp-Volumes unterstützen nur regionale KMS-Schlüsselringe, die sich in derselben Region wie die CMEK-Richtlinie befinden müssen.
Service-Level
CMEK wird für Speicherpools mit den Service-Levels „Flex“, „Standard“, „Premium“ und „Extreme“ unterstützt.
VPC Service Controls
Wenn Sie VPC Service Controls verwenden, beachten Sie die Einschränkungen von VPC Service Controls für NetApp-Volumes.
CMEK-Organisationsrichtlinie
Mit der Organisationsrichtlinie für CMEK für NetApp Volumes können Organisationen die Verschlüsselungsschlüssel für Daten steuern und einschränken, welche Schlüssel für CMEK verwendet werden können. Dies wird erreicht, indem die Verwendung von CMEK für die Verschlüsselung inaktiver Daten in neuen Speicherpools erzwungen wird und Organisationen Verschlüsselungsschlüssel mit Cloud KMS verwalten können. Die Organisationsrichtlinie wird bei der Erstellung des Speicherpools erzwungen und wirkt sich nicht auf vorhandene Speicherpools aus.
Mit Organisationsrichtlinien können Administratoren einheitliche Einschränkungen für alle Projekte und Ressourcen anwenden und erzwingen. Das ist wichtig für Organisationen, die mehrere Projekte und Ressourcen verwalten, um standardisierte Richtlinien durchzusetzen.
Es gibt zwei Arten von Einschränkungen für Organisationsrichtlinien, die auf CMEK angewendet werden können:
Nicht-CMEK-Dienste einschränken: Hiermit können Sie angeben, welche Dienste in einer Organisation, einem Projekt oder einem Ordner ohne CMEK konfiguriert werden können. Wenn Sie einen Dienst der Ablehnungsliste hinzufügen oder ihn aus der Zulassungsliste ausschließen, ist für Ressourcen dieses Dienstes CMEK erforderlich. Standardmäßig erlaubt diese Einschränkung die Erstellung von Ressourcen, die nicht mit CMEK verschlüsselt sind.
CMEK-CryptoKey-Projekte einschränken: Damit können Sie definieren, welche Projekte KMS-Schlüssel für CMEK bereitstellen können, wenn Ressourcen innerhalb der Organisation, des Projekts oder des Ordners konfiguriert werden. Wenn diese Einschränkung festgelegt ist, können nur KMS-Schlüssel aus den angegebenen Projekten für CMEK-geschützte Ressourcen verwendet werden. Wenn die Einschränkung nicht festgelegt ist, können CryptoKeys aus einem beliebigen Projekt verwendet werden.
Weitere Informationen zum Anwenden einer Organisationsrichtlinie finden Sie unter CMEK-Organisationsrichtlinie anwenden.
CMEK-Optionen
NetApp Volumes unterstützt CMEKs, die als Softwareschlüssel, Hardwareschlüssel in einem HSM-Cluster oder als externe Schlüssel in Cloud External Key Manager (Cloud EKM) gespeichert werden können.
Weitere Informationen finden Sie unter Cloud Key Management Service.
Störungen des EKM-Dienstes
Externe Schlüssel werden von einem Drittanbieter verwaltet und Google Cloud ist nicht für die Verfügbarkeit von Schlüsseln verantwortlich.
Wenn der External Key Manager (EKM) Cloud Key Management Service darüber informiert, dass ein externer Schlüssel nicht erreichbar ist, erhalten Nutzer eine detaillierte Fehlermeldung zum aktuellen Status des Schlüssels. Dadurch werden Volumes offline geschaltet und alle Lese- und Schreibvorgänge für das Volume schlagen fehl.
Nutzer erhalten auch einen Fehler, wenn einer der folgenden Vorgänge versucht wird, während EKM nicht erreichbar ist: