借助客户管理的加密密钥 (CMEK),您可以控制用于保护 Google Cloud 静态数据的加密密钥。本文介绍如何在广告数据中心内设置和管理 CMEK。
广告数据中心使用 Google 管理的密钥对静态数据进行加密。除非有特殊要求必须使用 CMEK,否则最好使用 Google 的默认加密方式。
如需使用 CMEK,您必须满足以下条件:
- 使用 Cloud Key Management Service (KMS)。
- 之前配置过管理项目并已更新为新服务账号。
启用 CMEK
- 在 Cloud KMS 页面上,创建对称密钥。
- 您可以在任何 Google Cloud 项目中创建该密钥。
- 请确保在兼容的 Cloud KMS 位置下创建该密钥。根据 Cloud KMS 准则,由于存在潜在的性能限制,不建议使用“global”区域。如果您不记得所在的区域,请与广告数据中心支持团队联系。
广告数据中心区域 Cloud KMS 位置 US US EU europe asia-northeast1 asia、asia-northeast1 australia-southeast1 australia-southeast1
- 在 Cloud Identity and Access Management (IAM) 页面上,向广告数据中心服务账号授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypter)。或者,在 Cloud KMS 页面上直接向广告数据中心服务账号授予使用该密钥的权限。 - 在广告数据中心界面中:
- 前往设置标签页。
- 在“由客户管理的加密”下,点击修改。
- 将“由客户管理的加密”切换为“on”(启用)状态。
- 粘贴密钥资源 ID。注意:此值必须是密钥的完整资源 ID,而不是特定版本。了解如何获取 Cloud KMS 资源 ID
- 点击保存。
管理密钥
轮替密钥
轮替密钥是保障安全的常见做法。请点击此处,了解如何在 Cloud KMS 页面上轮替密钥。
与账号关联的 Cloud KMS 密钥轮替时,广告数据中心不会自动轮替加密密钥。现有的表将继续使用其创建时所用的密钥版本。新的表将使用当前的密钥版本。
更改密钥
除了轮替现有密钥,您也可以改用新密钥。如果需要销毁密钥或对密钥管理进行重大更改(例如更改为其他保护等级),这种方法会非常有用。
如需切换到新密钥,请按照启用 CMEK 部分的说明操作。注意:如果在更新完成之前修改或销毁旧密钥,可能会导致数据永久丢失。
撤消权限、停用或销毁密钥
对于以下操作,请按照 Google Cloud 文档中的说明执行:
- 撤消广告数据中心服务账号的权限。
- 此操作会立即生效。在解决问题前,您无法在广告数据中心内运行查询,您的临时表和模型可能会丢失数据且无法恢复。
- 停用密钥。
- 此操作最多可能需要 3 小时才会显示在广告数据中心内。在此之前,您可以继续在广告数据中心内使用被停用的密钥来运行查询。
- 销毁密钥。
- 重要提示:在销毁密钥之前,请停用 CMEK。否则,在解决问题前,您无法在广告数据中心内运行查询,您的临时表和模型可能会丢失数据且无法恢复。
停用 CMEK
在删除有效密钥之前,请务必停用 CMEK。否则,您将无法访问使用被删除的密钥加密的数据。
如需停用 CMEK,请按以下步骤操作:
- 前往广告数据中心内的设置标签页。
- 在“由客户管理的加密”下,点击修改。
- 将“由客户管理的加密”切换为“off”(停用)状态。
- 点击保存。