Klucze szyfrowania zarządzane przez klienta (CMEK) umożliwiają Ci kontrolowanie kluczy szyfrowania używanych do ochrony danych Google Cloud w spoczynku. Z tego artykułu dowiesz się, jak skonfigurować klucze CMEK w Centrum danych reklam i nimi zarządzać.
Centrum danych reklam szyfruje dane w spoczynku za pomocą kluczy zarządzanych przez Google. Jeśli nie masz żadnych szczególnych potrzeb wymagających używania kluczy CMEK, najlepszym wyborem będzie dla Ciebie domyślne szyfrowanie Google.
Aby używać kluczy CMEK, musisz:
- korzystać z usługi Cloud Key Management Service (KMS),
- mieć skonfigurowany wcześniej projekt administracyjny zaktualizowany odpowiednio do nowego konta usługi.
Więcej informacji o kluczach CMEK
Włączanie kluczy CMEK
- Na stronie Cloud KMS utwórz klucz symetryczny.
- Możesz to zrobić w dowolnym projekcie Google Cloud.
- Pamiętaj, aby utworzyć klucz w zgodnej lokalizacji Cloud KMS. Kierując się wytycznymi Cloud KMS, nie zalecamy korzystania z regionu „globalnego” ze względu na potencjalne ograniczenia wydajności. Jeśli nie pamiętasz swojego regionu, skontaktuj się z zespołem pomocy Centrum danych reklam.
Region CDR Lokalizacje Cloud KMS US US EU europe asia-northeast1 asia, asia-northeast1 australia-southeast1 australia-southeast1
- Na stronie Cloud Identity and Access Management (IAM) przyznaj kontu usługi Centrum danych reklam rolę Szyfrator/deszyfrator klucza CryptoKey Cloud KMS (
roles/cloudkms.cryptoKeyEncrypter). Na stronie Cloud KMS możesz też przyznać temu kontu bezpośredni dostęp do klucza. - W interfejsie Centrum danych reklam:
- Otwórz kartę Ustawienia.
- W sekcji „Szyfrowanie zarządzane przez klienta” kliknij Edytuj.
- Przełącz „Szyfrowanie zarządzane przez klienta” na włączone.
- Wklej identyfikator zasobów klucza. Uwaga: musi to być identyfikator całych zasobów klucza, a nie tylko określonej wersji. Dowiedz się, jak uzyskać identyfikator zasobów Cloud KMS
- Kliknij Zapisz.
Zarządzanie kluczami
Rotacja klucza
Rotacja kluczy to powszechnie stosowana metoda zapewniania bezpieczeństwa. Instrukcje dotyczące rotacji kluczy na stronie Cloud KMS znajdziesz tutaj.
Centrum danych reklam nie rotuje automatycznie klucza szyfrowania po wystąpieniu rotacji klucza Cloud KMS powiązanego z kontem. Dotychczasowe tabele nadal będą używać wersji klucza, za której pomocą zostały utworzone. Nowe tabele używają natomiast bieżącej wersji klucza.
Zmiana kluczy
Zamiast rotacji obecnego klucza możesz zamienić go na nowy. Jest to przydatne, gdy chcesz zniszczyć klucz lub wprowadzić istotne zmiany w zarządzaniu kluczami, np. modyfikację poziomu ochrony.
Aby przełączyć się na nowy klucz, wykonaj instrukcje podane w sekcji Włączanie kluczy CMEK. Uwaga: modyfikacja lub zniszczenie poprzedniego klucza przed zakończeniem aktualizacji może spowodować trwałą utratę danych.
Odbieranie uprawnień do klucza, wyłączanie go lub niszczenie
Wykonaj podane niżej czynności zgodnie z instrukcjami zawartymi w dokumentacji Google Cloud:
- Odbierz uprawnienia kontu usługi Centrum danych reklam.
- To działanie ma natychmiastowy efekt. Dopóki nie rozwiążesz problemu, nie możesz wykonywać zapytań w Centrum danych reklam, a Twoje tymczasowe tabele i modele mogą nieodwracalnie utracić dane.
- Wyłącz klucz.
- Zanim to działanie zostanie uwzględnione przez Centrum danych reklam, może minąć do 3 godzin. Do tego czasu nadal możesz wykonywać zapytania w tej usłudze za pomocą wyłączonego klucza.
- Zniszcz klucz.
- Ważne: przed zniszczeniem swojego klucza wyłącz klucze CMEK. Dopóki tego nie zrobisz, nie możesz wykonywać zapytań w Centrum danych reklam, a Twoje tymczasowe tabele i modele mogą nieodwracalnie utracić dane.
Wyłączanie kluczy CMEK
Pamiętaj, aby przed usunięciem aktywnych kluczy wyłączyć klucze CMEK. W przeciwnym razie utracisz dostęp do danych zaszyfrowanych za pomocą usuniętych kluczy.
Aby wyłączyć klucze CMEK:
- W Centrum danych reklam otwórz kartę Ustawienia.
- W sekcji „Szyfrowanie zarządzane przez klienta” kliknij Edytuj.
- Przełącz „Szyfrowanie zarządzane przez klienta” na wyłączone.
- Kliknij Zapisz.