בדף הזה מוסבר איך להשתמש במפתחות הצפנה בניהול הלקוח של Cloud KMS בשירותים אחרים Cloud de Confiance כדי לאבטח את המשאבים. מידע נוסף זמין במאמר בנושא מפתחות הצפנה בניהול הלקוח (CMEK).
כששירות תומך ב-CMEK, אומרים שיש לו שילוב CMEK. בשירותים מסוימים, כמו GKE, יש כמה שילובים של CMEK להגנה על סוגים שונים של נתונים שקשורים לשירות. כאן מפורטת רשימת השירותים עם שילובי CMEK.
לפני שמתחילים
כדי להשתמש במפתחות Cloud KMS בשירותים אחרים של Cloud de Confiance , צריך משאב פרויקט שיכיל את מפתחות Cloud KMS. מומלץ להשתמש בפרויקט נפרד למשאבי Cloud KMS שלא מכיל משאבי Cloud de Confiance אחרים.
שילובים של CMEK
הכנות להפעלת השילוב של CMEK
הוראות מדויקות להפעלת CMEK מופיעות במסמכי העזרה שלCloud de Confiance השירות הרלוונטי. בקטע הפעלת CMEK בשירותים נתמכים בדף הזה מופיע קישור לתיעוד של CMEK לכל שירות. לכל שירות, תצטרכו לבצע שלבים דומים לאלה שמופיעים בהמשך:
יוצרים אוסף מפתחות או בוחרים אוסף מפתחות קיים. אוסף המפתחות צריך להיות ממוקם כמה שיותר קרוב גיאוגרפית למשאבים שרוצים להגן עליהם.
באוסף המפתחות שנבחר, יוצרים מפתח או בוחרים מפתח קיים. מוודאים שרמת ההגנה, המטרה והאלגוריתם של המפתח מתאימים למשאבים שרוצים להגן עליהם. המפתח הזה הוא מפתח ה-CMEK.
מקבלים את מזהה המקום של מפתח ה-CMEK. תצטרכו את מזהה המשאב הזה בהמשך.
מקצים לחשבון השירות של השירות את תפקיד ה-IAM של הצפנה/פענוח של CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) במפתח ה-CMEK.
אחרי שיוצרים את המפתח ומקצים את ההרשאות הנדרשות, אפשר ליצור או להגדיר שירות לשימוש במפתח ה-CMEK.
שימוש במפתחות Cloud KMS בשירותים עם שילוב CMEK
השלבים הבאים מתייחסים ל-Secret Manager כדוגמה. כדי לראות את השלבים המדויקים לשימוש במפתח CMEK של Cloud KMS בשירות מסוים, צריך לאתר את השירות הזה ברשימת השירותים המשולבים עם CMEK.
ב-Secret Manager, אפשר להשתמש ב-CMEK כדי להגן על נתונים במנוחה.
נכנסים לדף Secret Manager במסוף Cloud de Confiance .
כדי ליצור Secret, לוחצים על Create Secret.
בקטע Encryption, בוחרים באפשרות Use a customer-managed encryption key (CMEK).
בתיבה Encryption key (מפתח הצפנה):
אם רוצים להשתמש במפתח בפרויקט אחר:
- לוחצים על מעבר לפרויקט אחר.
- מזינים את שם הפרויקט, במלואו או בחלקו, בסרגל החיפוש ואז בוחרים את הפרויקט.
- כדי לראות את המקשים שזמינים לפרויקט שנבחר, לוחצים על בחירה.
אופציונלי: כדי לסנן את המפתחות הזמינים לפי מיקום, מחזיק מפתחות, שם או רמת הגנה, מזינים את מונחי החיפוש ב סרגל הסינון.
בוחרים מפתח מתוך רשימת המפתחות הזמינים בפרויקט שנבחר. כדי לוודא שאתם בוחרים את המפתח הנכון, אתם יכולים להשתמש בפרטים של המיקום, אוסף המפתחות ורמת ההגנה שמוצגים.
אם המפתח שרוצים להשתמש בו לא מופיע ברשימה, לוחצים על הזנת מפתח באופן ידני ומזינים את מזהה המשאב של המפתח.
מסיימים להגדיר את ה-Secret ולוחצים על יצירת Secret. Secret Manager יוצר את הסוד ומצפין אותו באמצעות מפתח ה-CMEK שצוין.
הפעלת CMEK בשירותים נתמכים
כדי להפעיל CMEK, קודם מאתרים את השירות הרצוי בטבלה הבאה. אפשר להזין מונחי חיפוש בשדה כדי לסנן את הטבלה. המוצרים שמשולבים עם Cloud KMS כשמשתמשים במפתחות חיצוניים של Cloud EKM מסומנים בעמודה EKM supported.
פועלים לפי ההוראות של כל שירות שרוצים להפעיל בו מפתחות CMEK.
| שירות | מוגן באמצעות CMEK | תמיכה ב-EKM | נושא |
|---|---|---|---|
| Artifact Registry | נתונים במאגרי מידע | כן | הפעלת מפתחות הצפנה בניהול הלקוח |
| BigQuery | נתונים ב-BigQuery | כן | הגנה על נתונים באמצעות מפתחות Cloud KMS |
| Cloud Logging | נתונים באחסון של שמירת היומנים | כן | ניהול המפתחות שמגנים על נתוני האחסון של היומנים |
| Cloud SQL | נתונים שנכתבים למסדי נתונים | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Cloud SQL | גיבויים רגילים ומשופרים | כן | סקירה כללית על גיבויים ב-Cloud SQL |
| Cloud Storage | נתונים בקטגוריות אחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Compute Engine | Snapshots | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Compute Engine | תמונות בהתאמה אישית | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Compute Engine | תמונות מכונה | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Pub/Sub | נתונים שמשויכים לנושאים | כן | הגדרת הצפנה של הודעות |