เปิดใช้คีย์การเข้ารหัสที่จัดการโดยลูกค้า

คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) จะช่วยให้คุณควบคุมคีย์การเข้ารหัสที่ใช้ปกป้องข้อมูล Google Cloud ที่ไม่มีการเคลื่อนไหวได้ บทความนี้อธิบายวิธีตั้งค่าและจัดการ CMEK ใน Ads Data Hub

Ads Data Hub เข้ารหัสข้อมูลที่ไม่มีการเคลื่อนไหวโดยใช้คีย์ที่จัดการโดย Google การเข้ารหัสเริ่มต้นของ Google จะเป็นตัวเลือกที่ดีที่สุด เว้นแต่คุณจะมีข้อกำหนดเฉพาะซึ่งจำเป็นต่อการใช้ CMEK

หากต้องการใช้ CMEK คุณต้องมีคุณสมบัติดังนี้

• ใช้ Cloud Key Management Service (KMS)
• ก่อนหน้านี้คุณได้กำหนดค่าโปรเจ็กต์ผู้ดูแลระบบและอัปเดตเป็นบัญชีบริการใหม่

ดูข้อมูลเพิ่มเติมเกี่ยวกับ CMEK

เปิดใช้ CMEK

1. สร้างคีย์แบบสมมาตรในหน้า Cloud KMS
   1. คุณสร้างคีย์ในโปรเจ็กต์ Google Cloud ใดก็ได้
   2. ตรวจสอบว่าคุณสร้างคีย์ภายใต้ตำแหน่ง Cloud KMS ที่เข้ากันได้ ตามหลักเกณฑ์ Cloud KMS ไม่แนะนำให้ใช้ภูมิภาค "ทั่วโลก" เนื่องจากอาจมีข้อจำกัดด้านประสิทธิภาพ หากจำภูมิภาคของคุณไม่ได้ โปรดติดต่อทีมสนับสนุนของ Ads Data Hub

      ภูมิภาค ADH	ตำแหน่ง Cloud KMS
      สหรัฐอเมริกา	สหรัฐอเมริกา
      สหภาพยุโรป	europe
      เอเชีย-เหนือ 1	เอเชีย, เอเชีย-เหนือ 1
      australia-southeast1	australia-southeast1

2. ในหน้า Cloud Identity and Access Management (IAM) ให้บทบาทผู้เข้ารหัส/ผู้ถอดรหัส Cloud KMS CryptoKey (roles/cloudkms.cryptoKeyEncrypter) แก่บัญชีบริการ Ads Data Hub หรือให้สิทธิ์บัญชีบริการ Ads Data Hub แก่คีย์ในหน้า Cloud KMS โดยตรง
3. ใน UI ของ Ads Data Hub
   1. ไปที่แท็บการตั้งค่า
   2. คลิกแก้ไขในส่วน "การเข้ารหัสที่จัดการโดยลูกค้า"
   3. สลับ "การเข้ารหัสที่จัดการโดยลูกค้า" เป็น "เปิด"
   4. วางรหัสทรัพยากรของคีย์ หมายเหตุ: ต้องเป็นรหัสทรัพยากรทั้งหมดของคีย์ ไม่ใช่ระบุเวอร์ชันเฉพาะ ดูวิธีรับรหัสทรัพยากร Cloud KMS
   5. คลิกบันทึก

จัดการคีย์

หมุนเวียนคีย์

การหมุนเวียนคีย์เป็นแนวทางปฏิบัติด้านความปลอดภัยทั่วไป ดูวิธีการหมุนเวียนคีย์ในหน้า Cloud KMS ที่นี่

Ads Data Hub จะไม่หมุนเวียนคีย์การเข้ารหัสโดยอัตโนมัติเมื่อมีการหมุนเวียนคีย์ Cloud KMS ที่เชื่อมโยงกับบัญชี ตารางที่มีอยู่จะใช้เวอร์ชันคีย์ที่ใช้สร้างคีย์ต่อไป ตารางใหม่จะใช้เวอร์ชันคีย์ปัจจุบัน

เปลี่ยนคีย์

คุณเปลี่ยนเป็นคีย์ใหม่แทนการหมุนเวียนคีย์ที่มีอยู่ได้ ซึ่งจะเป็นประโยชน์เมื่อคุณต้องการทำลายคีย์ หรือทำการเปลี่ยนแปลงที่สำคัญกับการจัดการคีย์ เช่น เปลี่ยนไปใช้การปกป้องในระดับอื่น

หากต้องการเปลี่ยนไปใช้คีย์ใหม่ ให้ทำตามวิธีการในส่วนเปิดใช้ CMEK ข้อควรระวัง: การแก้ไขหรือการทำลายคีย์ก่อนหน้าก่อนที่การอัปเดตจะเสร็จสมบูรณ์อาจส่งผลให้ข้อมูลสูญหายอย่างถาวร

เพิกถอนสิทธิ์ ปิดใช้ หรือทำลายคีย์

ทำตามวิธีการในเอกสารประกอบของ Google Cloud เพื่อดำเนินการต่อไปนี้

• เพิกถอนสิทธิ์ของบัญชีบริการ Ads Data Hub
  • การดำเนินการนี้จะมีผลทันที คุณจะเรียกใช้การค้นหาใน Ads Data Hub ไม่ได้จนกว่าจะแก้ไขปัญหา และตารางชั่วคราวและโมเดลอาจได้รับข้อมูลสูญหายโดยกู้คืนไม่ได้
• ปิดใช้คีย์
  • การดำเนินการนี้อาจใช้เวลาถึง 3 ชั่วโมงจึงจะปรากฏใน Ads Data Hub ในระหว่างนี้ คุณยังเรียกใช้การค้นหาต่อไปโดยใช้คีย์ที่ปิดใช้ใน Ads Data Hub ได้
• ทำลายคีย์
  • สำคัญ: ปิดใช้ CMEK ก่อนที่จะทำลายคีย์ หากไม่ดำเนินการ คุณจะเรียกใช้การค้นหาใน Ads Data Hub ไม่ได้จนกว่าจะแก้ไขปัญหา นอกจากนี้ตารางและโมเดลชั่วคราวอาจสูญเสียข้อมูลที่กู้คืนไม่ได้

ปิดใช้ CMEK

คุณต้องปิดใช้ CMEK ก่อนที่จะลบคีย์ที่ใช้งานอยู่ มิฉะนั้น คุณจะเข้าถึงข้อมูลที่เข้ารหัสโดยใช้คีย์ที่ลบไปแล้วไม่ได้

วิธีปิดใช้ CMEK

1. ไปที่แท็บการตั้งค่าใน Ads Data Hub
2. คลิกแก้ไขในส่วน "การเข้ารหัสที่จัดการโดยลูกค้า"
3. สลับ "การเข้ารหัสที่จัดการโดยลูกค้า" เป็น "ปิด"
4. คลิกบันทึก