启用客户管理的加密密钥

借助客户管理的加密密钥 (CMEK),您可以控制用于保护 Google Cloud 静态数据的加密密钥。本文介绍如何在广告数据中心内设置和管理 CMEK。

广告数据中心使用 Google 管理的密钥对静态数据进行加密。除非有特殊要求必须使用 CMEK,否则最好使用 Google 的默认加密方式。

如需使用 CMEK,您必须满足以下条件:

  • 使用 Cloud Key Management Service (KMS)。
  • 之前配置过管理项目并已更新为新服务账号。

详细了解 CMEK

启用 CMEK

  1. 在 Cloud KMS 页面上,创建对称密钥
    1. 您可以在任何 Google Cloud 项目中创建该密钥。
    2. 请确保在兼容的 Cloud KMS 位置下创建该密钥。根据 Cloud KMS 准则,由于存在潜在的性能限制,不建议使用“global”区域。如果您不记得所在的区域,请与广告数据中心支持团队联系。
      广告数据中心区域Cloud KMS 位置
      USUS
      EUeurope
      asia-northeast1asia、asia-northeast1
      australia-southeast1australia-southeast1
  2. 在 Cloud Identity and Access Management (IAM) 页面上,向广告数据中心服务账号授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (roles/cloudkms.cryptoKeyEncrypter)。或者,在 Cloud KMS 页面上直接向广告数据中心服务账号授予使用该密钥的权限。
  3. 在广告数据中心界面中:
    1. 前往设置标签页。
    2. 在“由客户管理的加密”下,点击修改
    3. 将“由客户管理的加密”切换为“on”(启用)状态。
    4. 粘贴密钥资源 ID。注意:此值必须是密钥的完整资源 ID,而不是特定版本。了解如何获取 Cloud KMS 资源 ID
    5. 点击保存

管理密钥

轮替密钥

轮替密钥是保障安全的常见做法。请点击此处,了解如何在 Cloud KMS 页面上轮替密钥。

与账号关联的 Cloud KMS 密钥轮替时,广告数据中心不会自动轮替加密密钥。现有的表将继续使用其创建时所用的密钥版本。新的表将使用当前的密钥版本。

更改密钥

除了轮替现有密钥,您也可以改用新密钥。如果需要销毁密钥或对密钥管理进行重大更改(例如更改为其他保护等级),这种方法会非常有用。

如需切换到新密钥,请按照启用 CMEK 部分的说明操作。注意:如果在更新完成之前修改或销毁旧密钥,可能会导致数据永久丢失。

撤消权限、停用或销毁密钥

对于以下操作,请按照 Google Cloud 文档中的说明执行:

  • 撤消广告数据中心服务账号的权限
    • 此操作会立即生效。在解决问题前,您无法在广告数据中心内运行查询,您的临时表和模型可能会丢失数据且无法恢复。
  • 停用密钥
    • 此操作最多可能需要 3 小时才会显示在广告数据中心内。在此之前,您可以继续在广告数据中心内使用被停用的密钥来运行查询。
  • 销毁密钥
    • 重要提示:在销毁密钥之前,请停用 CMEK。否则,在解决问题前,您无法在广告数据中心内运行查询,您的临时表和模型可能会丢失数据且无法恢复。

停用 CMEK

在删除有效密钥之前,请务必停用 CMEK。否则,您将无法访问使用被删除的密钥加密的数据。

如需停用 CMEK,请按以下步骤操作:

  1. 前往广告数据中心内的设置标签页。
  2. 在“由客户管理的加密”下,点击修改
  3. 将“由客户管理的加密”切换为“off”(停用)状态。
  4. 点击保存