Diese Seite wurde von der Cloud Translation API übersetzt.

Workstation-Ressourcen mit CMEK verschlüsseln

In Cloud Workstations werden inaktive Kundendaten standardmäßig verschlüsselt. Die Verschlüsselung wird von Cloud Workstations übernommen. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Cloud Workstations verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Cloud Workstations-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Standardmäßig verwendet Cloud Workstations einen Google-owned and Google-managed encryption key, um Workstationressourcen wie VMs und nichtflüchtige Speicher zu verschlüsseln, wenn Daten im Ruhezustand sind. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) mit Cloud Key Management Service (Cloud KMS) verwenden.

Weitere Informationen zu CMEK und deren Aktivierung finden Sie in der Cloud KMS-Dokumentation.

Hinweise

Projekte erstellen

Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl die folgenden Google Cloud-Projekte aus oder erstellen Sie sie:
- Ein Schlüsselprojekt enthält Ihre Cloud KMS-Ressourcen, einschließlich eines Schlüsselbunds und eines symmetrischen Verschlüsselungsschlüssels.
- Ein Workstations-Projekt enthält Workstations, die mit einem CMEK-Schlüssel verschlüsselt sind.
Sie können dasselbe Projekt für Ihr Schlüsselprojekt und Ihr Arbeitsstationsprojekt verwenden. Wir empfehlen jedoch, zwei Projekte zu verwenden, um die Aufgabentrennung zu gewährleisten.

Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie neue Projekte, anstatt vorhandene Projekte auszuwählen. Wenn Sie fertig sind, können Sie die Projekte löschen und dadurch alle mit ihnen verknüpften Ressourcen entfernen.
Die Abrechnung für das Cloud-Projekt muss aktiviert sein. Weitere Informationen finden Sie unter Abrechnungsstatus Ihrer Projekte prüfen.
Aktivieren Sie die erforderlichen APIs in jedem Projekt.
- Achten Sie darauf, dass in Ihrem Schlüsselprojekt die Cloud KMS API aktiviert ist.
  
  Cloud KMS API aktivieren
- Achten Sie darauf, dass in Ihrem Workstations-Projekt die Cloud KMS API und die Cloud Workstations API aktiviert sind.
  
  Cloud KMS- und Cloud Workstations-APIs aktivieren
Installieren und initialisieren Sie die gcloud-CLI:
1. Informationen zum Installieren der gcloud CLI finden Sie unter gcloud CLI installieren. Folgen Sie der Anleitung für Ihr Betriebssystem.
2. Informationen zum Initialisieren der gcloud-Befehlszeile finden Sie unter gcloud-Befehlszeile initialisieren oder führen Sie den folgenden Befehl aus:
```
gcloud init
```

Erforderliche Rollen

Sie können zwar die Rollen „Cloud KMS-Administrator“ und „Cloud Workstations-Administrator“ derselben Person zuweisen, wir empfehlen jedoch, beim Zuweisen von Rollen das Prinzip der geringsten Berechtigung zu befolgen. Es empfiehlt sich, diese Rollen zwei verschiedenen Personen zuzuweisen und sie zu koordinieren, anstatt Ihren Cloud KMS-Administrator auch als Cloud Workstations-Administrator zu verwenden. Weitere Informationen finden Sie unter Best Practices für die Sicherheit und IAM sicher verwenden.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Einrichten von CMEK benötigen:

Wenn Sie der Cloud KMS-Administrator sind, bitten Sie Ihren Administrator, Ihnen die folgende Rolle für Ihr Schlüsselprojekt zuzuweisen, damit Sie Cloud KMS-Ressourcen erstellen und verwalten können: Cloud KMS-Administrator (roles/cloudkms.admin)
Wenn Sie der Cloud Workstations-Administrator sind, bitten Sie Ihren Administrator, Ihnen die folgende Rolle für Ihr Workstations-Projekt zuzuweisen, damit Sie Workstations erstellen und aktualisieren können: Cloud Workstations-Administrator (roles/workstations.admin) .

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Schlüsselbund und Verschlüsselungsschlüssel erstellen

Erstellen Sie in Ihrem Schlüsselprojekt einen Schlüssel und speichern Sie die Ressourcen-ID des Schlüssels:

Erstellen Sie einen Schlüsselbund oder wählen Sie einen aus.

Der Schlüsselbund muss sich in derselben Region wie Ihr Workstation-Cluster befinden. Cloud Workstations unterstützt keine multiregionalen oder globalen Cloud KMS-Standorte.

Sie können Schlüsselbunde für mehrere Dienste freigeben. Als Best Practice empfehlen wir jedoch, für jede geschützte Ressource einen anderen Schlüssel zu verwenden. Weitere Informationen finden Sie unter Aufgabentrennung.
Erstellen Sie einen symmetrischen Verschlüsselungsschlüssel.
Rufen Sie die Ressourcen-ID des Schlüssels ab und speichern Sie sie für einen späteren Schritt.

Zugriff auf Ihren Verschlüsselungsschlüssel gewähren

Cloud Workstations verwendet die folgenden Dienstkonten, um die Verschlüsselung Ihrer Ressourcen zu verwalten:

Der Cloud Workstations-Dienst-Agent: Cloud Workstations verwendet dieses Konto, um zu erkennen, wann Ihr Schlüssel rotiert wird.
Das Cloud KMS-Schlüssel-Dienstkonto: Sie stellen ein Dienstkonto bereit, das Cloud Workstations verwenden kann, um auf Ihren Schlüssel zum Verschlüsseln und Entschlüsseln von Ressourcen zuzugreifen.

Cloud Workstations-Dienst-Agent die Rolle „Cloud KMS Viewer“ zuweisen

Mit dem Cloud Workstations-Dienstagent kann Cloud Workstations Dienstaufgaben in Ihrem Projekt ausführen. Wenn Sie den Cloud Workstations-Dienst in Ihrem Workstations-Projekt aktiviert haben, wurde dieser Dienst-Agent automatisch erstellt. Damit CMEK ordnungsgemäß funktioniert, müssen Sie dem Cloud Workstations-Dienst-Agent für Ihr Workstations-Projekt die Cloud KMS-Betrachterrolle (roles/cloudkms.viewer) für den Cloud KMS-Schlüssel zuweisen, damit Cloud Workstations die Schlüsselrotation erkennen kann.

Verwenden Sie den folgenden Befehl, um den Cloud Workstations-Dienst-Agent für Ihr Workstation-Projekt abzurufen:
```
gcloud beta services identity create \
    --service=workstations.googleapis.com \
    --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie WORKSTATIONS_PROJECT_ID durch die ID Ihres Workstation-Projekts.

Der Cloud Workstations-Dienst-Agent hat das folgende Format:
service-$WORKSTATIONS_PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com.
Weisen Sie dem Cloud Workstations-Dienst-Agent die Rolle „Cloud KMS Viewer“ (roles/cloudkms.viewer) für den CMEK-Schlüssel zu. So kann Cloud Workstations die Schlüsselrotation erkennen und Ressourcen nach Bedarf in Ihrem Projekt neu verschlüsseln.
```
gcloud kms keys add-iam-policy-binding \
    KEY_NAME \
    --keyring=KEY_RING \
    --location=LOCATION \
    --project=KMS_PROJECT_ID \
    --role=roles/cloudkms.viewer \
    --member=CLOUD_WORKSTATIONS_SERVICE_AGENT
```
Ersetzen Sie Folgendes:
- KEY_NAME: der Name des Schlüssels
- KEY_RING: der Name des Schlüsselbunds
- LOCATION: der Speicherort Ihres Schlüsselbunds
- KMS_PROJECT_ID: die ID des Projekts, das Ihren Schlüssel enthält.
- CLOUD_WORKSTATIONS_SERVICE_AGENT: Der Cloud Workstations-Dienst-Agent, der im vorherigen Schritt abgerufen wurde.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Cloud KMS-Schlüssel-Dienstkonto einrichten

Cloud Workstations verwendet ein Dienstkonto Ihrer Wahl, um die Ver- und Entschlüsselung mit Ihrem vom Kunden verwalteten Schlüssel durchzuführen. Wir bezeichnen dieses Konto als Cloud KMS-Schlüssel-Dienstkonto. Sie können ein neues Dienstkonto erstellen oder ein vorhandenes verwenden. Für dieses Konto gelten folgende Anforderungen:

Der Cloud Workstations-Administrator muss die Berechtigung iam.serviceAccounts.actAs für dieses Dienstkonto haben.
Das ausgewählte Dienstkonto muss die Cloud KMS-Rolle CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) für Ihren Cloud KMS-Schlüssel haben.

Wenn Sie ein neues Dienstkonto erstellen möchten, verwenden Sie den folgenden Befehl:
```
gcloud iam service-accounts create \
  KMS_KEY_SERVICE_ACCOUNT_NAME \
  --display-name="Service account for Cloud Workstations CMEK" \
  --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- KMS_KEY_SERVICE_ACCOUNT_NAME ist der Name des Dienstkontos.
- WORKSTATIONS_PROJECT_ID: Die ID Ihres Workstation-Projekts.
Das von Ihnen erstellte Dienstkonto hat eine E-Mail-Adresse im folgenden Format: KMS_KEY_SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

Speichern Sie die E-Mail-Adresse des Dienstkontos für einen späteren Schritt.
Führen Sie den folgenden Befehl aus, um dem Cloud KMS Key Service Account die IAM-Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für Cloud Workstations-Administrator zu gewähren:
```
gcloud iam service-accounts add-iam-policy-binding \
    KMS_KEY_SERVICE_ACCOUNT_EMAIL \
    --member="user:CLOUD_WORKSTATIONS_ADMIN_EMAIL" \
    --project=WORKSTATIONS_PROJECT_ID \
    --role=roles/iam.serviceAccountUser
```
Ersetzen Sie Folgendes:
- KMS_KEY_SERVICE_ACCOUNT_EMAIL: die E-Mail-Adresse des Cloud KMS-Schlüssel-Dienstkontos.
- CLOUD_WORKSTATIONS_ADMIN_EMAIL: Die E-Mail-Adresse des Cloud Workstations-Administrators.
- WORKSTATIONS_PROJECT_ID: Die ID Ihres Workstation-Projekts.
Führen Sie den folgenden Befehl aus, um dem Cloud KMS-Schlüssel-Dienstkonto die Cloud KMS-Rolle CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) für Ihren Cloud KMS-Schlüssel zu gewähren:
```
  gcloud kms keys add-iam-policy-binding \
    KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --project KMS_PROJECT_ID \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --member serviceAccount:KMS_KEY_SERVICE_ACCOUNT_EMAIL\
```
Ersetzen Sie Folgendes:
- KEY_NAME: der Name des Schlüssels
- KEY_RING: der Name des Schlüsselbunds
- LOCATION: der Speicherort Ihres Schlüsselbunds
- KMS_PROJECT_ID: die ID des Projekts, das Ihren Schlüssel enthält.
- KMS_KEY_SERVICE_ACCOUNT_EMAIL: die E-Mail-Adresse des Cloud KMS-Schlüssel-Dienstkontos.
Wenn Sie Informationen zu allen Flags und möglichen Werten erhalten möchten, führen Sie den Befehl mit dem Flag --help aus.

Nach Workstationclustern suchen

Wenn Sie in der Google Cloud -Konsole keine Workstation-Cluster haben, bitten Sie Ihren Cloud Workstations-Administrator, einen Workstation-Cluster für Sie in derselben Region wie der Cloud KMS-Schlüsselbund zu erstellen. Alternativ können Sie sich selbst die IAM-Rolle „Cloud Workstations Admin“ für das Projekt zuweisen, damit Sie diese Ressourcen selbst erstellen können.

Kundenverwaltete Verschlüsselungsschlüssel verwenden

Wenn Sie noch keinen Workstation-Cluster erstellt haben, erstellen Sie einen mit dem clusters create-gcloud-CLI-Befehl.
```
gcloud workstations clusters create \
    WORKSTATIONS_CLUSTER_NAME --region=LOCATION \
    --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- WORKSTATIONS_CLUSTER_NAME: Der Name des Arbeitsstationsclusters.
- LOCATION: Der Regionsname für Ihren Workstation-Cluster.
- WORKSTATIONS_PROJECT_ID: Die ID Ihres Workstation-Projekts.
Workstationkonfiguration mit encryption_key-Einstellungen erstellen

Führen Sie den folgenden gcloud-CLI-Befehl aus, um eine Workstation-Konfiguration mit dem Maschinentyp e2-standard-2, dem Leerlauftimeout 3600s und CMEK-verschlüsselten Workstation-Ressourcen zu erstellen:
```
gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \
  --cluster=WORKSTATIONS_CLUSTER_NAME \
  --region=LOCATION \
  --machine-type="e2-standard-2" \
  --idle-timeout=3600 \
  --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \
  --kms-key-service-account="KMS_KEY_SERVICE_ACCOUNT_EMAIL" \
  --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- WORKSTATIONS_CONFIG_NAME: der Name der Arbeitsstationskonfiguration.
- WORKSTATIONS_CLUSTER_NAME: Der Name Ihres Arbeitsstationsclusters.
- LOCATION: Der Regionsname für Ihren Cluster.
- KMS_PROJECT_ID: Projekt-ID, ein eindeutiger String, der Ihr Projekt von allen anderen in Google Cloudunterscheidet.
- KEY_RING: der Name des Schlüsselbunds
- KEY_NAME: der Name des Schlüssels
- KMS_KEY_SERVICE_ACCOUNT_EMAIL: die E-Mail-Adresse des Cloud KMS-Schlüssel-Dienstkontos.
- WORKSTATIONS_PROJECT_ID: Die ID Ihres Workstation-Projekts.
Nachdem Sie eine Workstation-Konfiguration erstellt haben, werden die Persistent Disks in Ihrem Projekt mit dem angegebenen Cloud KMS-Schlüssel verschlüsselt.

Vom Kunden verwaltete Verschlüsselungsschlüssel rotieren

Wenn Sie dem Cloud Workstations-Dienst-Agent die Rolle „Cloud KMS Viewer“ (roles/cloudkms.viewer) für den CMEK-Schlüssel gewährt haben, kann der Workstation-Dienst die Schlüsselrotation erkennen und Ihre Home-Festplatte mit der neuen primären Schlüsselversion neu verschlüsseln.

Die erneute Verschlüsselung erfolgt, nachdem Sie Ihre Workstation beendet haben. Jedes Mal, wenn Sie eine verschlüsselte Workstation beenden, prüft der Workstation-Dienst, ob der Schlüssel rotiert wurde. Wenn der Schlüssel rotiert wurde, erstellt der Workstation-Dienst einen Snapshot des Home-Laufwerks Ihrer Workstation und löscht das Laufwerk. Wenn Sie die Workstation das nächste Mal starten, erstellt der Workstation-Dienst ein neues Laufwerk aus dem Snapshot und verwendet dabei die neue primäre Schlüsselversion.

Cloud KMS-Kontingente und Cloud Workstations

Wenn Sie CMEK in Cloud Workstations verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Repositories können diese Kontingente beispielsweise pro Up- oder Download verbrauchen. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Externe Schlüssel

Sie können Cloud External Key Manager (Cloud EKM) verwenden, um Daten inGoogle Cloud mit von Ihnen verwalteten externen Schlüsseln zu verschlüsseln.

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels. Wenn der Schlüssel nicht mehr verfügbar ist, kann Ihre Workstation nicht gestartet werden.

Weitere Überlegungen zur Verwendung externer Schlüssel finden Sie unter Cloud External Key Manager.