Müşteri tarafından yönetilen şifreleme anahtarları (CMEK), aktif olmayan Google Cloud verilerinizi korumak için kullanılan şifreleme anahtarlarını kontrol etmenize olanak tanır. Bu makalede, Ads Data Hub'da CMEK'nin nasıl oluşturulacağı ve yönetileceği açıklanmaktadır.
Ads Data Hub, Google tarafından yönetilen anahtarları kullanarak aktif olmayan verileri şifreler. CMEK'nin kullanılmasını gerektiren belirli ihtiyaçlarınız yoksa en iyi seçenek Google'ın varsayılan şifrelemesidir.
CMEK'yi kullanmak için:
- Cloud Key Management Service'i (KMS) kullanın.
- Önceden bir yönetici projesi yapılandırın ve yeni hizmet hesabını bununla güncelleyin.
CMEK hakkında daha fazla bilgi
CMEK'yi etkinleştirme
- Cloud KMS sayfasında bir simetrik anahtar oluşturun.
- Anahtarı, herhangi bir Google Cloud projesinde oluşturabilirsiniz.
- Anahtarınızı uyumlu bir Cloud KMS konumu altında oluşturduğunuzdan emin olun. Cloud KMS yönergeleri uyarınca, potansiyel performans sınırlamaları nedeniyle "global" bölgenin kullanılması önerilmez. Bölgenizi hatırlayamıyorsanız Ads Data Hub destek ekibiyle iletişime geçin.
ADH bölgesi Cloud KMS konumları US US EU europe asia-northeast1 asia, asia-northeast1 australia-southeast1 australia-southeast1
- Cloud Identity and Access Management (IAM) sayfasında, Cloud KMS CryptoKey Şifreleyici/Şifre Çözücü rolü için (
roles/cloudkms.cryptoKeyEncrypter) kullanarak Ads Data Hub hizmet hesabına erişim izni verin. Alternatif olarak, Ads Data Hub hizmet hesabına doğrudan Cloud KMS sayfasındaki anahtarı kullanma izni verebilirsiniz. - Ads Data Hub kullanıcı arayüzünde:
- Ayarlar sekmesine gidin.
- "Müşteri tarafından yönetilen şifreleme"nin altında Düzenle'yi tıklayın.
- "Müşteri tarafından yönetilen şifreleme"yi "açık" duruma getirin.
- Anahtar kaynak kimliğini yapıştırın. Not: Bu, anahtara ait kaynak kimliğinin tamamı değil, belirli bir sürüm olmalıdır. Cloud KMS kaynak kimliğini nasıl edineceğinizi öğrenin
- Kaydet'i tıklayın.
Anahtarları yönetme
Anahtarı döndürme
Anahtarları döndürmek yaygın bir güvenlik uygulamasıdır. Cloud KMS sayfasındaki anahtarları nasıl döndüreceğinize ilişkin talimatları burada bulabilirsiniz.
Ads Data Hub, hesapla ilişkili Cloud KMS anahtarı değiştiğinde şifreleme anahtarını otomatik olarak döndürmez. Mevcut tablolar oluşturuldukları anahtar sürümünü kullanmaya devam eder. Yeni tablolar ise geçerli anahtar sürümünü kullanır.
Anahtarları değiştirme
Mevcut bir anahtarı döndürmek yerine yeni bir anahtara değiştirebilirsiniz. Bu seçenek, bir anahtarı kaldırmanız veya anahtar yönetiminde farklı bir koruma düzeyine geçmek gibi önemli değişiklikler yapmanız gerektiğinde yararlıdır.
Yeni bir anahtara geçmek için CMEK'yi etkinleştirme bölümündeki talimatları uygulayın. Dikkat: Önceki anahtarı güncelleme tamamlanmadan değiştirmek veya kaldırmak kalıcı veri kaybına neden olabilir.
İzinleri iptal etme, devre dışı bırakma veya anahtarı kaldırma
Aşağıdaki işlemler için Google Cloud dokümanlarındaki talimatları uygulayın:
- Ads Data Hub hizmet hesabının izinlerini iptal edin.
- Bu işlem hemen geçerli olur. Sorunu çözene kadar Ads Data Hub'da sorgu çalıştıramazsınız ve geçici tablolarınız ile modellerinizde kurtarılamaz veri kaybı oluşabilir.
- Bir anahtarı devre dışı bırakma.
- Bu işlemin Ads Data Hub'da görünmesi 3 saati bulabilir. O zamana kadar, Ads Data Hub'da devre dışı bırakılmış anahtarı kullanarak sorgu çalıştırmaya devam edebilirsiniz.
- Bir anahtarı kaldırma.
- Önemli: Anahtarınızı kaldırmadan önce CMEK'yi devre dışı bırakın. Bunu yapmazsanız, sorun çözülene kadar Ads Data Hub'da sorgu çalıştıramazsınız ve geçici tablolarınız ile modellerinizda kurtarılamaz veri kaybı oluşabilir.
CMEK'yi devre dışı bırakma
Etkin anahtarları silmeden önce CMEK'yi devre dışı bırakmanız önemlidir. Aksi halde, silinen anahtarlarınız kullanılarak şifrelenmiş verilere erişimi kaybedersiniz.
CMEK'yi devre dışı bırakmak için:
- Ads Data Hub'da Ayarlar sekmesine gidin.
- "Müşteri tarafından yönetilen şifreleme"nin altında Düzenle'yi tıklayın.
- "Müşteri tarafından yönetilen şifreleme"yi "kapalı" duruma getirin.
- Kaydet'i tıklayın.