使用 CMEK 加密工作站资源

默认情况下,Cloud Workstations 会在静态数据时使用由 Google 拥有并由 Google 管理的密钥来加密工作站资源(例如虚拟机和永久性磁盘)。如果您对保护数据的密钥有特定的合规性或监管要求,则可以使用 Cloud Key Management Service (Cloud KMS) 来使用客户管理的加密密钥 (CMEK)。

如需大致了解 CMEK(包括其启用时间和原因),请参阅 Cloud KMS 文档

准备工作

创建项目

  1. 在 Google Cloud 控制台的“项目选择器”页面上,选择或创建两个 Google Cloud 项目

    • 密钥项目包含您的 Cloud KMS 资源,包括密钥环和对称加密密钥。

    • 工作站项目包含使用 CMEK 密钥加密的工作站。

    您可以为密钥项目和工作站项目使用同一项目,但按照最佳实践,我们建议您使用两个项目来分离职责

  2. 确保您的 Cloud 项目已启用结算功能。了解如何检查项目是否已启用结算功能

  3. 在每个项目中启用所需的 API。

  4. 请务必安装并初始化 gcloud CLI。如需初始化 gcloud CLI,请运行以下命令:

    gcloud init
    

所需的角色

虽然您可以向同一人授予 Cloud KMS 管理员角色和 Cloud Workstations 管理员角色,但我们建议您在分配角色时遵循最小权限原则。最佳实践是将这些角色授予两个不同的用户,并让他们协调工作,而不是让 Cloud KMS 用户同时也是 Cloud Workstations 管理员。如需了解详情,请参阅安全最佳实践安全使用 IAM

如需获得设置 CMEK 所需的权限,请让您的管理员为您授予以下 IAM 角色:

  • 如果您是 Cloud KMS 管理员,请让您的管理员为您授予以下角色,以便您创建和管理 Cloud KMS 资源:密钥项目Cloud KMS Admin (roles/cloudkms.admin)。
  • 如果您是 Cloud Workstations Admin,请让您的管理员为您授予以下角色,以便您创建和更新工作站:workstations 项目Cloud Workstations Admin (roles/workstations.admin)。

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建密钥环和加密密钥

密钥项目中,创建一个密钥并保存该密钥的资源 ID:

  1. 创建或选择密钥环

    您可以在服务之间共享钥匙串,但最佳实践是,我们建议您为每个受保护的资源使用不同的密钥。请参阅职责分离

  2. 创建对称加密密钥

    请确保您在同一区域中创建 CMEK 密钥和工作站配置。

  3. 获取密钥的资源 ID,并将其保存以备后续步骤使用。

检查工作站配置

如果您在 Google Cloud 控制台中没有可用的工作站配置,请让您的 Cloud Workstations Admin 为您创建工作站配置,或者确保您在项目中拥有 Cloud Workstations Admin IAM 角色,以便您自行创建这些资源。

使用客户管理的加密密钥

如需在工作站配置中使用 CMEK,请通过 Google Cloud 控制台或 gcloud CLI 开启 CMEK。

控制台

向您的 Compute Engine 服务账号和 Compute Engine 服务代理授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色Cloud KMS Viewer 角色

  1. 在 Google Cloud 控制台中,进入密钥管理页面。

    前往密钥管理

  2. 点击包含密钥的密钥环的名称。

  3. 选中要使用的密钥对应的复选框。

    权限标签页会显示为一个窗格。

  4. 添加成员对话框中,指定您要授予其访问权限的 Compute Engine 服务账号和 Compute Engine 服务代理的电子邮件地址。

  5. 选择角色下拉列表中,选择 Cloud KMS CryptoKey Encrypter/Decrypter

  6. 点击添加其他角色

  7. 选择角色下拉列表中,选择 Cloud KMS Viewer

  8. 点击保存

如需通过 Google Cloud 控制台启用 CMEK,请执行以下操作:

  1. 按照相关步骤创建工作站配置

  2. 指定机器配置时,请查找高级选项部分。

  3. 点击 expand_more 展开,然后选择使用客户管理的加密密钥 (CMEK)

    1. Select a customer-managed key(选择客户管理的密钥)字段中,选择您在密钥项目中创建的客户管理的加密密钥。

      如果您创建的密钥未列出,请点击手动输入密钥以按资源 ID 选择密钥,然后输入您之前记下的资源 ID。

    2. 服务账号字段中,选择密钥使用的服务账号。

  4. 完成其他步骤以创建工作站配置。

  5. 创建、启动和启动工作站配置,以使用指定的 Cloud KMS 密钥加密项目中的永久性磁盘。

gcloud

以下示例授予一个 IAM 角色,该角色提供对 Cloud KMS 密钥的访问权限,然后通过在工作站配置中指定该密钥来启用 CMEK:

  1. 为工作站项目的 KMS 服务账号和 Compute Engine 服务代理授予 CMEK 密钥的 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (roles/cloudkms.cryptoKeyEncrypterDecrypter)。这样一来,Compute Engine 服务便可以使用指定的 CMEK 密钥在您的项目中创建加密资源。

      gcloud kms keys add-iam-policy-binding KEY_NAME \
        --location LOCATION \
        --keyring KEY_RING \
        --member serviceAccount:WORKSTATIONS_PROJECT_NUMBER-compute@developer.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project KMS_PROJECT_ID
    
      gcloud kms keys add-iam-policy-binding KEY_NAME \
        --location LOCATION \
        --keyring KEY_RING \
        --member serviceAccount:service-WORKSTATIONS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --project KMS_PROJECT_ID
    

    替换以下内容:

    • KEY_NAME:密钥的名称。
    • LOCATION:您创建密钥环的区域名称。
    • KEY_RING:密钥环的名称。
    • WORKSTATIONS_PROJECT_NUMBER:自动生成的唯一数字标识符,作为工作站项目的 Compute Engine 默认服务账号的第一部分包含在内。
    • KMS_PROJECT_ID:项目 ID,一个唯一的字符串,用于区分您的 Cloud KMS 项目与 Google Cloud 中的所有其他项目。

    如需了解所有标志和可能值,请使用 --help 标志运行命令。

  2. 如需检索工作站项目的工作站管理服务账号,请使用以下命令:

    gcloud beta services identity create --service=workstations.googleapis.com \
        --project=WORKSTATIONS_PROJECT_ID
    

    WORKSTATIONS_PROJECT_ID 替换为您的工作站项目 ID。

  3. 为项目的工作站管理服务账号授予 CMEK 密钥的 Cloud KMS 查看器角色 (roles/cloudkms.viewer)。这样,工作站服务便可以在项目中根据需要检测密钥轮替并重新加密资源

    gcloud kms keys add-iam-policy-binding KEY_NAME \
        --location LOCATION \
        --keyring KEY_RING \
        --member WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT \
        --role roles/cloudkms.viewer \
        --project KMS_PROJECT_ID
    

    替换以下内容:

    • KEY_NAME:密钥的名称。
    • LOCATION:您创建密钥环的区域名称。
    • KEY_RING:密钥环的名称。
    • WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT:从上一步中获取的工作站管理服务账号。
    • KMS_PROJECT_ID:项目 ID,一个唯一的字符串,用于区分您的 Cloud KMS 密钥项目与 Google Cloud 中的所有其他项目。

    如需了解所有标志和可能值,请使用 --help 标志运行命令。

  4. 可选:如果您尚未创建工作站集群,请使用 clusters create gcloud CLI 命令创建一个。

    gcloud workstations clusters create \
        WORKSTATIONS_CLUSTER_NAME --region=LOCATION \
        --project=WORKSTATIONS_PROJECT_NUMBER
    

    替换以下内容:

    • WORKSTATIONS_CLUSTER_NAME:工作站集群的名称。
    • LOCATION:工作站集群的区域名称。
    • WORKSTATIONS_PROJECT_NUMBER:自动生成的唯一数字标识符,作为工作站项目的 Compute Engine 默认服务账号的第一个部分包含在内
  5. 假设您已创建集群,请使用 encryption_key 设置创建工作站配置

    如需创建机器类型为 e2-standard-2、空闲超时为 3600s 且使用 CMEK 加密工作站资源的工作站配置,请运行以下 gcloud CLI 命令:

    gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \
      --cluster=WORKSTATIONS_CLUSTER_NAME \
      --region=LOCATION \
      --machine-type="e2-standard-2" \
      --idle-timeout=3600 \
      --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \
      --kms-key-service-account="WORKSTATIONS_PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
      --project=WORKSTATIONS_PROJECT_NUMBER
    

    替换以下内容:

    • WORKSTATIONS_CONFIG_NAME:工作站配置的名称。
    • WORKSTATIONS_CLUSTER_NAME:您的工作站集群的名称。
    • LOCATION:集群所在的区域名称。
    • KMS_PROJECT_ID:项目 ID,一个唯一的字符串,用于区分您的项目与 Google Cloud 中的所有其他项目。
    • KEY_RING:密钥环的名称。
    • KEY_NAME:密钥的名称。
    • WORKSTATIONS_PROJECT_NUMBER:自动生成的唯一数字标识符,作为工作站项目的 Compute Engine 默认服务账号的第一个部分包含在内

    创建工作站配置后,Cloud KMS 会使用指定的 Cloud KMS 密钥加密项目中的永久性磁盘。

轮替客户管理的加密密钥

当您向工作站管理服务账号授予 CMEK 密钥的 Cloud KMS 查看器角色 (roles/cloudkms.viewer) 后,工作站服务便可检测密钥轮替,并使用新的主密钥版本重新加密您的主磁盘

在您停止工作站后,系统会重新加密数据。每次您停止加密工作站时,工作站服务都会检查密钥是否已轮替。如果密钥已轮替,工作站服务会创建工作站主磁盘的快照,然后删除该磁盘。当您下次启动工作站时,工作站服务会使用新的主密钥版本根据快照创建新的磁盘。

Cloud KMS 配额和 Cloud Workstations

在 Cloud Workstations 中使用 CMEK 时,您的项目可能会消耗 Cloud KMS 加密请求配额。例如,由 CMEK 加密的制品库可为每次上传或下载消耗这些配额。仅当您使用硬件 (Cloud HSM) 或外部 (Cloud EKM) 密钥时,使用 CMEK 密钥执行的加密和解密操作才会影响 Cloud KMS 配额。如需了解详情,请参阅 Cloud KMS 配额

外部密钥

您可以通过 Cloud External Key Manager (Cloud EKM) 使用您管理的外部密钥加密 Google Cloud 中的数据。

当您使用 Cloud EKM 密钥时,Google 无法控制外部管理的密钥的可用性。如果密钥不可用,您的工作站将无法启动。

如需了解使用外部密钥的更多注意事项,请参阅 Cloud External Key Manager

后续步骤