As chaves de encriptação geridas pelo cliente (CMEK) permitem controlar as chaves de encriptação usadas para proteger os dados em repouso do Google Cloud. Este artigo explica como configurar e gerir as CMEK no Ads Data Hub.
O Ads Data Hub encripta os dados em repouso com chaves geridas pela Google. A menos que tenha requisitos específicos que exijam a utilização das CMEK, a encriptação predefinida da Google é a melhor escolha.
Para usar as CMEK, tem de:
- Usar o Cloud Key Management Service (KMS).
- Ter configurado anteriormente um projeto do administrador e atualizado para a nova conta de serviço.
Ative as CMEK
- Na página do Cloud KMS, crie uma chave simétrica.
- Pode criar a chave em qualquer projeto do Google Cloud.
- Certifique-se de que cria a chave numa localização do Cloud KMS compatível. De acordo com as diretrizes do Cloud KMS, não é aconselhável usar a região "global" devido a potenciais limitações de desempenho. Se não se lembrar da sua região, contacte o apoio técnico do Ads Data Hub.
Região do ADH Localizações do Cloud KMS EUA EUA UE europa ásia-nordeste1 ásia, ásia-nordeste1 austrália-sudeste1 austrália-sudeste1
- Em Cloud Identity and Access Management (IAM), conceda à conta de serviço do Ads Data Hub a função de encriptar/desencriptar do CryptoKey do Cloud KMS (
roles/cloudkms.cryptoKeyEncrypter). Em alternativa, autorize o acesso direto da conta de serviço do Ads Data Hub à chave na página do Cloud KMS. - Na IU do Ads Data Hub:
- Navegue para o separador Definições.
- Em "Encriptação gerida pelo cliente", clique em Editar.
- Ative a opção "Encriptação gerida pelo cliente".
- Cole o ID de recurso da chave. Nota: este ID tem de ser o ID de recurso completo da chave e não uma versão específica. Saiba como obter um ID de recurso do Cloud KMS
- Clique em Guardar.
Faça a gestão de chaves
Alterne uma chave
Alternar chaves é uma prática de segurança comum. Pode encontrar instruções sobre como alternar chaves na página do Cloud KMS aqui.
O Ads Data Hub não alterna automaticamente a chave de encriptação quando a chave do Cloud KMS associada à conta é alternada. As tabelas existentes continuam a usar a versão da chave com a qual foram criadas. As novas tabelas usam a versão atual da chave.
Altere chaves
Pode mudar para uma chave nova em vez de alternar para uma chave existente. Isto é útil quando precisa de destruir uma chave ou fazer alterações significativas à sua gestão de chaves, como alterar para um nível de proteção diferente.
Para mudar para uma chave nova, siga as instruções em Ative as CMEK. Atenção: modificar ou destruir a chave anterior antes de concluir a atualização pode resultar numa perda permanente de dados.
Revogue autorizações, desative ou destrua uma chave
Siga as instruções na documentação do Google Cloud para as seguintes ações:
- Revogue as autorizações da conta de serviço do Ads Data Hub.
- Esta ação entra imediatamente em vigor. Não poderá executar consultas no Ads Data Hub até resolver o problema e as suas tabelas e modelos temporários podem perder dados de forma irrecuperável.
- Desative uma chave.
- Esta ação pode demorar até 3 horas a ser apresentada no Ads Data Hub. Até lá, pode continuar a executar consultas com a chave desativada no Ads Data Hub.
- Destrua uma chave.
- Importante: desative as CMEK antes de destruir a chave. Se não o fizer, não poderá executar consultas no Ads Data Hub até resolver o problema e as suas tabelas e modelos temporários podem perder dados de forma irrecuperável.
Desative as CMEK
É importante desativar as CMEK antes de eliminar chaves ativas. Caso contrário, perde o acesso aos dados que foram encriptados com as chaves eliminadas.
Para desativar as CMEK:
- Navegue para o separador Definições no Ads Data Hub.
- Em "Encriptação gerida pelo cliente", clique em Editar.
- Desative a opção "Encriptação gerida pelo cliente".
- Clique em Guardar.