تفعيل مفاتيح التشفير المُدارة من العميل

تسمح لك مفاتيح التشفير المُدارة من العميل (CMEK) بالتحكّم في مفاتيح التشفير المستخدَمة لحماية بيانات Google Cloud غير النشِطة. توضّح هذه المقالة كيفية إعداد مفاتيح التشفير المُدارة للعميل (CMEK) وإدارتها في Ads Data Hub.

تعمل خدمة Ads Data Hub على تشفير البيانات غير النشِطة باستخدام مفاتيح مُدارة من Google. إنّ خيار التشفير التلقائي من Google هو الخيار الأفضل ما لم تكن لديك متطلبات محدّدة تستدعي استخدام مفاتيح التشفير المُدارة للعميل (CMEK).

لاستخدام مفاتيح التشفير المُدارة للعميل (CMEK)، يجب:

  • استخدام "خدمة إدارة المفاتيح في السحابة الإلكترونية" (KMS)
  • ضبط مشروع مشرف مسبقًا وتعديله إلى حساب الخدمة الجديد

مزيد من المعلومات عن مفاتيح التشفير المُدارة للعميل (CMEK)

تفعيل مفاتيح التشفير المُدارة للعميل (CMEK)

  1. في صفحة Cloud KMS، أنشِئ مفتاحًا متماثلاً.
    1. يمكنك إنشاء المفتاح في أي مشروع على Google Cloud.
    2. تأكَّد من إنشاء مفتاحك ضمن موقع Cloud KMS متوافق. وفقًا لإرشادات Cloud KMS، لا يُنصَح باستخدام المنطقة "العالمية" بسبب قيود الأداء المحتمَلة. إذا لم تتمكّن من تذكُّر منطقتك، يُرجى التواصل مع فريق دعم Ads Data Hub.
      منطقة Ads Data Hubمواقع Cloud KMS الجغرافية
      الولايات المتحدةالولايات المتحدة
      الاتحاد الأوروبيeurope
      آسيا-شمال الشرق1آسيا، آسيا-شمال الشرق1
      australia-southeast1australia-southeast1
  2. في صفحة "إدارة الهوية وإمكانية الوصول" (IAM)، امنح حساب خدمة Ads Data Hub دور "أداة تشفير/أداة فك التشفير" في Cloud KMS (roles/cloudkms.cryptoKeyEncrypter). بدلاً من ذلك، يمكنك منح حساب خدمة Ads Data Hub مباشرةً إلى المفتاح في صفحة Cloud KMS.
  3. في واجهة مستخدم Ads Data Hub:
    1. انتقِل إلى علامة التبويب الإعدادات.
    2. ضِمن "التشفير المُدار من العميل"، انقر على تعديل.
    3. فعِّل ميزة "التشفير الذي يديره العميل".
    4. الصِق معرِّف مورّد المفتاح. ملاحظة: يجب أن يكون هذا هو معرّف المورد الكامل للمفتاح، وليس إصدارًا معيّنًا. تعرَّف على كيفية الحصول على رقم تعريف المورد في Cloud KMS
    5. انقر على حفظ.

إدارة المفاتيح

تدوير مفتاح

إنّ تدوير المفاتيح هو ممارسة أمنية شائعة. اطّلِع على تعليمات حول كيفية تغيير المفاتيح في صفحة Cloud KMS هنا.

لا يبدِّل Ads Data Hub مفتاح التشفير تلقائيًا عند تدوير مفتاح Cloud KMS المرتبط بالحساب. تستمر الجداول الحالية في استخدام إصدار المفتاح الذي تم إنشاؤها به. تستخدم الجداول الجديدة إصدار المفتاح الحالي.

تغيير المفاتيح

يمكنك التغيير إلى مفتاح جديد بدلاً من تدوير مفتاح حالي. يكون هذا الإجراء مفيدًا عندما تحتاج إلى إزالة مفتاح أو إجراء تغييرات مهمة على إدارة مفتاح التشفير، مثل التغيير إلى مستوى حماية مختلف.

للتبديل إلى مفتاح جديد، اتّبِع التعليمات الواردة ضمن تفعيل مفاتيح التشفير المُدارة للعميل (CMEK). تحذير: قد يؤدي تعديل المفتاح السابق أو إتلافه قبل اكتمال التحديث إلى فقدان البيانات نهائيًا.

إبطال الأذونات أو إيقاف مفتاح أو إتلافه

يمكنك اتّباع التعليمات الواردة في مستندات Google Cloud لتنفيذ الإجراءات التالية:

  • أبطل أذونات حساب خدمة Ads Data Hub.
    • سيتم تطبيق هذا الإجراء على الفور. لن تتمكّن من تنفيذ طلبات بحث في Ads Data Hub إلى أن يتم حلّ المشكلة، وقد تواجه الجداول والنماذج المؤقتة فقدان بيانات يتعذّر استردادها.
  • إيقاف مفتاح
    • قد يستغرق هذا الإجراء ما يصل إلى 3 ساعات للظهور في Ads Data Hub. وحتى ذلك الحين، يمكنك مواصلة تنفيذ طلبات البحث باستخدام المفتاح المتوقّف في Ads Data Hub.
  • محو مفتاح.
    • ملاحظة مهمة: يجب إيقاف مفاتيح التشفير المُدارة (CMEK) قبل إتلاف المفتاح. وفي حال عدم إجراء ذلك، لن تتمكّن من تنفيذ طلبات بحث في Ads Data Hub إلى أن يتم حلّ المشكلة، وقد تواجه الجداول والنماذج المؤقتة فقدان البيانات بشكلٍ غير قابل للاسترداد.

إيقاف مفاتيح التشفير المُدارة للعميل (CMEK)

ومن المهم إيقاف مفاتيح التشفير المُدارة (CMEK) قبل حذف المفاتيح النشطة. وفي حال عدم إجراء ذلك، ستفقد إمكانية الوصول إلى البيانات التي تم تشفيرها باستخدام المفاتيح المحذوفة.

لإيقاف مفاتيح التشفير المُدارة للعميل (CMEK):

  1. انتقِل إلى علامة التبويب الإعدادات في Ads Data Hub.
  2. ضِمن "التشفير المُدار من العميل"، انقر على تعديل.
  3. بدِّل "التشفير الذي يديره العميل" إلى "إيقاف".
  4. انقر على حفظ.