Мы дополнили нашу документацию описанием функций и обновлений, связанных с двумя новыми интерфейсами Ads Data Hub. Рекламодателям, агентствам и издателям следует обратиться к сайту для маркетологов. Поставщикам и партнерам следует обратиться к сайту для партнеров по измерениям.

Как использовать ключи шифрования, управляемые клиентом

При использовании ключей шифрования, управляемых клиентом, вы можете управлять ключами шифрования, которые применяются для защиты хранимых данных Google Cloud. В этой статье описано, как настроить такие ключи и управлять ими в Ads Data Hub.

Ads Data Hub шифрует хранимые данные с помощью ключей, управляемых Google. Если у вас нет специальных требований, из-за которых необходимо использовать ключи шифрования, управляемые клиентом, вам лучше всего подойдет шифрование Google по умолчанию.

Чтобы использовать ключи шифрования, управляемые клиентом, вам понадобится:

сервис Cloud Key Management Service;
настроенный проект для администрирования с добавленным сервисным аккаунтом.

Подробнее о ключе шифрования, управляемом клиентом…

Как включить ключи шифрования, управляемые клиентом

На странице Cloud KMS создайте симметричный ключ.
1. Ключ можно создать в любом проекте Google Cloud.
2. Ключ необходимо создать в совместимом местоположении Cloud KMS. Согласно правилам Cloud KMS не рекомендуется использовать регион "Глобальный", так как это может отрицательно повлиять на производительность. Если вы не помните свой регион, обратитесь в службу поддержки Ads Data Hub.
  Регион ADH Местоположения Cloud KMS
  US US
  EU europe
  asia-northeast1 asia, asia-northeast1
  australia-southeast1 australia-southeast1
На странице Cloud Identity and Access Management (IAM) предоставьте сервисному аккаунту Ads Data Hub роль "Шифровальщик с криптографическим ключом Cloud KMS" (roles/cloudkms.cryptoKeyEncrypter). Также можно предоставить сервисному аккаунту Ads Data Hub доступ к ключу напрямую на странице Cloud KMS.
В интерфейсе Ads Data Hub:
1. Перейдите на вкладку Настройки.
2. В разделе "Шифрование, управляемое клиентом" нажмите Изменить.
3. Включите параметр "Шифрование, управляемое клиентом".
4. Вставьте идентификатор ресурса ключа. Примечание. Используйте весь идентификатор ресурса для ключа, а не отдельную версию. Подробнее о том, как получить идентификатор ресурса Cloud KMS…
5. Нажмите Сохранить.

Регион ADH	Местоположения Cloud KMS
US	US
EU	europe
asia-northeast1	asia, asia-northeast1
australia-southeast1	australia-southeast1

Как управлять ключами

Как проводить ротацию ключей

Ротация ключей – это распространенная процедура для обеспечения безопасности. Инструкции по ротации ключей можно найти на странице Cloud KMS.

При ротации ключа Cloud KMS, связанного с аккаунтом, Ads Data Hub не выполняет ротацию ключей шифрования автоматически. В существующих таблицах и дальше будет использоваться версия ключа, с помощью которой они были созданы, а в новых – текущая версия.

Как сменить ключ

Вместо ротации существующего ключа вы можете выбрать новый. Это полезно в тех случаях, когда вам нужно удалить ключ или внести значительно изменить настройки управления ключами, например перейти на другой уровень защиты.

Чтобы перейти на новый ключ, следуйте инструкциям в разделе Как включить ключи шифрования, управляемые клиентом. Внимание! Если изменить или удалить предыдущий ключ до того, как обновление будет завершено, данные могут быть потеряны без возможности восстановления.

Как отозвать разрешения, отключить или удалить ключ

Следуйте инструкциям в документации Google Cloud, чтобы выполнить следующие действия:

Отозвать разрешения сервисного аккаунта Ads Data Hub.
- Это действие вступает в силу немедленно. Пока вы не решите проблему, вы не сможете выполнять запросы в Ads Data Hub, а данные в ваших временных таблицах и моделях могут быть потеряны без возможности восстановления.
Отключить ключ.
- Это изменение будет применено в Ads Data Hub в течение 3 часов. До этого момента вы сможете выполнять запросы в Ads Data Hub, используя отключенный ключ.
Удалить ключ.
- Важно! Прежде чем удалять ключ, отключите ключи шифрования, управляемые клиентом. Если вы этого не сделаете, вы не сможете выполнять запросы в Ads Data Hub, пока не решите проблему, и данные в ваших временных таблицах и моделях могут быть потеряны без возможности восстановления.

Как отключить ключи шифрования, управляемые клиентом

Важно отключить ключи шифрования, управляемые клиентом, прежде чем удалять активные ключи. В противном случае вы потеряете доступ к данным, которые были зашифрованы с использованием удаленных ключей.

Чтобы отключить ключи шифрования, управляемые клиентом:

Откройте вкладку Настройки в Ads Data Hub.
В разделе "Шифрование, управляемое клиентом" нажмите Изменить.
Отключите параметр "Шифрование, управляемое клиентом".
Нажмите Сохранить.