Auf dieser Seite wird erläutert, wie Sie vom Kunden verwaltete Cloud KMS-Verschlüsselungsschlüssel in anderen Trusted Cloud -Diensten verwenden, um Ihre Ressourcen zu schützen. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Wenn ein Dienst CMEK unterstützt, hat er eine CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Eine Liste der Dienste mit CMEK-Integrationen finden Sie auf dieser Seite unter CMEK für unterstützte Dienste aktivieren.
Hinweise
Bevor Sie Cloud KMS-Schlüssel in anderen Trusted Cloud -Diensten verwenden können, benötigen Sie eine Projektressource, die Ihre Cloud KMS-Schlüssel enthält. Wir empfehlen, ein separates Projekt für Ihre Cloud KMS-Ressourcen zu verwenden, das keine anderen Trusted Cloud Ressourcen enthält.
CMEK-Integrationen
CMEK-Integration aktivieren
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligenTrusted Cloud -Dienst. Einen Link zur CMEK-Dokumentation für jeden Dienst finden Sie auf dieser Seite unter CMEK für unterstützte Dienste aktivieren. Für jeden Dienst müssen Sie in etwa so vorgehen:
Erstellen Sie einen Schlüsselbund oder wählen Sie einen vorhandenen aus. Der Schlüsselbund sollte sich geografisch so nah wie möglich an den Ressourcen befinden, die Sie schützen möchten.
Erstellen Sie einen Schlüssel im ausgewählten Schlüsselbund oder wählen Sie einen vorhandenen Schlüssel aus. Achten Sie darauf, dass das Schutzniveau, der Zweck und der Algorithmus für den Schlüssel für die Ressourcen geeignet sind, die Sie schützen möchten. Dieser Schlüssel ist der CMEK-Schlüssel.
Rufen Sie die Ressourcen-ID für den CMEK-Schlüssel ab. Sie benötigen diese Ressourcen-ID später.
Weisen Sie dem Dienstkonto für den Dienst die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel zu.
Nachdem Sie den Schlüssel erstellt und die erforderlichen Berechtigungen zugewiesen haben, können Sie einen Dienst erstellen oder konfigurieren, der Ihren CMEK-Schlüssel verwendet.
Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden
In den folgenden Schritten wird Secret Manager als Beispiel verwendet. Die genauen Schritte zur Verwendung eines Cloud KMS-CMEK-Schlüssels in einem bestimmten Dienst finden Sie in der Liste der CMEK-integrierten Dienste.
In Secret Manager können Sie einen CMEK verwenden, um ruhende Daten zu schützen.
Rufen Sie in der Trusted Cloud Console die Seite Secret Manager auf.
Klicken Sie auf Secret erstellen, um ein Secret zu erstellen.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.
Gehen Sie im Feld Verschlüsselungsschlüssel so vor:
Optional: So verwenden Sie einen Schlüssel in einem anderen Projekt:
- Klicken Sie auf Projekt wechseln.
- Geben Sie den vollständigen oder einen Teil des Projektnamens in die Suchleiste ein und wählen Sie das Projekt aus.
- Klicken Sie auf Auswählen, um die verfügbaren Schlüssel für das ausgewählte Projekt aufzurufen.
Optional: Wenn Sie verfügbare Schlüssel nach Standort, Schlüsselbund, Name oder Schutzniveau filtern möchten, geben Sie Suchbegriffe in die Filterleiste ein.
Wählen Sie einen Schlüssel aus der Liste der verfügbaren Schlüssel im ausgewählten Projekt aus. Anhand der angezeigten Details zu Speicherort, Schlüsselbund und Schutzstufe können Sie sicher sein, dass Sie den richtigen Schlüssel auswählen.
Wenn der Schlüssel, den Sie verwenden möchten, nicht in der Liste angezeigt wird, klicken Sie auf Schlüssel manuell eingeben und geben Sie die Ressourcen-ID des Schlüssels ein.
Schließen Sie die Konfiguration des Secrets ab und klicken Sie dann auf Secret erstellen. Secret Manager erstellt das Secret und verschlüsselt es mit dem angegebenen CMEK-Schlüssel.
CMEK für unterstützte Dienste aktivieren
Suchen Sie zuerst den gewünschten Dienst in der folgenden Tabelle, um CMEK zu aktivieren. Sie können Suchbegriffe in das Feld eingeben, um die Tabelle zu filtern. Produkte, die in Cloud KMS eingebunden werden, wenn externe Cloud EKM-Schlüssel verwendet werden, sind in der Spalte EKM supported (EKM wird unterstützt) angegeben.
Folgen Sie der Anleitung für jeden Dienst, für den Sie CMEK-Schlüssel aktivieren möchten.
| Dienst | Durch CMEK geschützt | EKM-Unterstützung | Thema |
|---|---|---|---|
| Agent Assist | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| AI Applications | Ruhende Daten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| AlloyDB for PostgreSQL | Daten, die in Datenbanken geschrieben werden | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Anti Money Laundering AI | Daten in AML AI-Instanzressourcen | Nein | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln |
| Apigee | Ruhende Daten | Nein | Einführung in CMEK |
| Apigee API-Hub | Ruhende Daten | Ja | Verschlüsselung |
| Application Integration | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Artifact Registry | Daten in Repositories | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren |
| Backup for GKE | Daten in Sicherung für GKE | Ja | Informationen zur Sicherung für GKE-CMEK-Verschlüsselung |
| BigQuery | Daten in BigQuery | Ja | Daten mit Cloud KMS-Schlüsseln schützen |
| Bigtable | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Cloud Composer | Umgebungsdaten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Data Fusion | Umgebungsdaten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Healthcare API | Cloud Healthcare API-Datasets | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |
| Cloud Logging | Daten im Log-Router | Ja | Schlüssel verwalten, die Log Router-Daten schützen |
| Cloud Logging | Daten im Logging-Speicher | Ja | Schlüssel verwalten, die Protokollspeicherdaten schützen |
| Cloud Run | Container-Image | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud Run verwenden |
| Cloud Run-Funktionen | Daten in Cloud Run Functions | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud SQL | Daten, die in Datenbanken geschrieben werden | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Storage | Daten in Storage-Buckets | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Tasks | Aufgabentext und ‑header im Ruhezustand | Ja | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Workstations | Daten auf VM-Laufwerken | Ja | Arbeitsstationsressourcen verschlüsseln |
| Colab Enterprise | Laufzeiten und Notebookdateien | Nein | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Compute Engine | Nichtflüchtige Speicher | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Snapshots | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Benutzerdefinierte Images | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Maschinen-Images | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Dialogorientierte Insights | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Homogene Migrationen mit dem Database Migration Service | MySQL-Migrationen – Daten, die in Datenbanken geschrieben werden | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Homogene Migrationen mit dem Database Migration Service | PostgreSQL-Migrationen – In Datenbanken geschriebene Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Homogene Migrationen mit dem Database Migration Service | Migrationen von PostgreSQL zu AlloyDB – In Datenbanken geschriebene Daten | Ja | Informationen zu CMEK |
| Homogene Migrationen mit dem Database Migration Service | SQL Server-Migrationen – In Datenbanken geschriebene Daten | Ja | Informationen zu CMEK |
| Heterogene Migrationen mit dem Database Migration Service | Ruhende Daten von Oracle zu PostgreSQL | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) für kontinuierliche Migrationen verwenden |
| Dataflow | Pipeline-Zustandsdaten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Dataform | Daten in Repositories | Ja | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Dataplex Universal Catalog | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Dataproc | Daten von Dataproc-Clustern auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Dataproc | Dataproc Serverless-Daten auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Dataproc Metastore | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Datastream | Daten während der Übertragung | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Dialogflow CX | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Document AI | Ruhende und aktive Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Eventarc Advanced (Vorschau) | Ruhende Daten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |
| Eventarc Standard | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |
| Filestore | Ruhende Daten | Ja | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln |
| Firestore | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |
| Gemini Code Assist | Ruhende Daten | Nein | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln |
| Google Agentspace – NotebookLM Enterprise | Ruhende Daten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Google Agentspace Enterprise | Ruhende Daten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Von Google verwalteter Dienst für Apache Kafka | Mit Themen verknüpfte Daten | Ja | Nachrichtenverschlüsselung konfigurieren |
| Google Cloud NetApp Volumes | Ruhende Daten | Ja | CMEK-Richtlinie erstellen |
| Google Distributed Cloud | Daten zu Edge-Knoten | Ja | Sicherheit des lokalen Speichers |
| Google Kubernetes Engine | Daten auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Google Kubernetes Engine | Secrets auf Anwendungsebene | Ja | Verschlüsselung von Secrets auf Anwendungsebene |
| Integration Connectors | Ruhende Daten | Ja | Verschlüsselungsmethoden |
| Looker (Google Cloud Core) | Ruhende Daten | Ja | CMEK für Looker (Google Cloud Core) aktivieren |
| Memorystore for Redis | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Migrate to Virtual Machines | Daten, die aus VMware-, AWS- und Azure-VM-Quellen migriert wurden | Ja | Während der Migration gespeicherte Daten mit CMEK verschlüsseln |
| Migrate to Virtual Machines | Aus Laufwerks- und Maschinen-Image-Quellen migrierte Daten | Ja | CMEK zum Verschlüsseln von Daten auf Ziellaufwerken und Maschinen-Images verwenden |
| Parameter Manager | Nutzlasten für Parameterversionen | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel für Parameter Manager aktivieren |
| Pub/Sub | Mit Themen verknüpfte Daten | Ja | Nachrichtenverschlüsselung konfigurieren |
| Secret Manager | Secret-Nutzlasten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren |
| Secure Source Manager | Instanzen | Ja | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln |
| Spanner | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Speaker ID (eingeschränkte allgemeine Verfügbarkeit) | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Speech-to-Text | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Vertex AI | Mit Ressourcen verknüpfte Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Von Vertex AI Workbench verwaltete Notebooks | Ruhende Nutzerdaten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Vertex AI Workbench: Nutzerverwaltete Notebooks | Daten auf VM-Laufwerken | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Vertex AI Workbench-Instanzen | Daten auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Workflows | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |