Mit „Vom Kunden verwaltete Verschlüsselungsschlüssel“ (Customer-Managed Encryption Keys, CMEK) können Sie steuern, mit welchen Verschlüsselungsschlüsseln Ihre ruhenden Google Cloud-Daten geschützt werden. In diesem Artikel wird erläutert, wie Sie CMEK in Ads Data Hub einrichten und verwalten.
In Ads Data Hub werden ruhende Daten mit von Google verwalteten Schlüsseln verschlüsselt. Wenn es keine speziellen Anforderungen gibt, die die Verwendung eines vom Kunden verschlüsselten Verschlüsselungsschlüssels erfordern, ist die Standardverschlüsselung von Google die beste Wahl.
Damit Sie CMEK verwenden können, müssen Sie
- den Cloud Key Management Service (KMS) nutzen und
- ein Administratorprojekt konfiguriert und auf das neue Dienstkonto aktualisiert haben.
CMEK aktivieren
- Erstellen Sie auf der Cloud KMS-Seite einen symmetrischen Schlüssel.
- Sie können den Schlüssel in einem beliebigen Google Cloud-Projekt erstellen.
- Achten Sie darauf, dass der Schlüssel unter einem kompatiblen Cloud KMS-Standort erstellt wird. In den Cloud KMS-Richtlinien wird die Verwendung der Region „Global“ wegen möglicher Leistungseinschränkungen nicht empfohlen. Sollten Sie Ihre Region vergessen haben, wenden Sie sich an das Ads Data Hub-Supportteam.
Ads Data Hub-Region Cloud KMS-Standorte USA USA EU Europa Asien-Nordost 1 Asien, Asien-Nordost 1 Australien-Südost 1 Australien-Südost 1
- Auf der Seite „Cloud Identity and Access Management“ (IAM) weisen Sie dem Ads Data Hub-Dienstkonto dann die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ zu (
roles/cloudkms.cryptoKeyEncrypter
). Alternativ können Sie dem Ads Data Hub-Dienstkonto auch direkt Zugriff auf den Schlüssel auf der Cloud KMS-Seite gewähren. - Führen Sie in der Ads Data Hub-Benutzeroberfläche folgende Schritte aus:
- Gehen Sie zum Tab Einstellungen.
- Klicken Sie unter „Vom Kunden verwaltete Verschlüsselung“ auf Bearbeiten.
- Stellen Sie die Ein/Aus-Schaltfläche „Vom Kunden verwaltete Verschlüsselung“ auf „Ein“.
- Fügen Sie die Schlüsselressourcen-ID ein. Hinweis: Hier muss die gesamte Ressourcen-ID für den Schlüssel angegeben werden, nicht eine bestimmte Version. Informationen zum Abrufen einer Cloud KMS-Ressourcen-ID
- Klicken Sie auf Speichern.
Schlüssel verwalten
Schlüssel rotieren
Das Rotieren von Schlüsseln ist eine gängige Sicherheitsmaßnahme. Eine Anleitung zum Rotieren von Schlüsseln auf der Cloud KMS-Seite finden Sie unter diesem Link.
In Ads Data Hub wird der Verschlüsselungsschlüssel nicht automatisch rotiert, wenn der mit dem Konto verknüpfte Cloud KMS-Schlüssel rotiert wird. Vorhandene Tabellen verwenden weiterhin die Schlüsselversion, mit der sie erstellt wurden. Neue Tabellen verwenden die aktuelle Schlüsselversion.
Schlüssel wechseln
Sie können zu einen neuen Schlüssel wechseln, statt einen vorhandenen zu rotieren. Das ist sinnvoll, wenn Sie einen Schlüssel löschen oder wesentliche Änderungen an der Schlüsselverwaltung vornehmen möchten (z. B. Umstellung auf ein anderes Schutzniveau).
Folgen Sie der Anleitung unter CMEK aktivieren, um zu einem neuen Schlüssel zu wechseln. Achtung: Wenn Sie den vorherigen Schlüssel vor Abschluss der Aktualisierung ändern oder löschen, kann das zum dauerhaften Verlust von Daten führen.
Berechtigungen aufheben, Schlüssel deaktivieren oder löschen
Folgen Sie für die folgenden Aktionen der Anleitung in der Google Cloud-Dokumentation:
- Berechtigungen des Ads Data Hub-Dienstkontos aufheben
- Diese Aktion wird sofort wirksam. Sie können erst dann Abfragen in Ads Data Hub ausführen, wenn das Problem behoben ist, und bei Ihren temporären Tabellen und Modellen kann es zu nicht wiederherstellbaren Datenverlusten kommen.
- Schlüssel deaktivieren.
- Es kann bis zu drei Stunden dauern, bis diese Aktion in Ads Data Hub angezeigt wird. Bis dahin können Sie in Ads Data Hub weiterhin Abfragen mit dem deaktivierten Schlüssel ausführen.
- Schlüssel löschen
- Wichtig: Deaktivieren Sie CMEK, bevor Sie Ihren Schlüssel löschen. Andernfalls können Sie erst dann Abfragen in Ads Data Hub ausführen, wenn das Problem behoben ist, und bei Ihren temporären Tabellen und Modellen kann es zu nicht wiederherstellbaren Datenverlusten kommen.
CMEK deaktivieren
Es ist wichtig, dass Sie CMEK deaktivieren, bevor Sie aktive Schlüssel löschen. Andernfalls haben Sie keinen Zugriff mehr auf Daten, die mit den gelöschten Schlüsseln verschlüsselt wurden.
So deaktivieren Sie CMEK:
- Gehen Sie in Ads Data Hub zum Tab Kontoeinstellungen.
- Klicken Sie unter „Vom Kunden verwaltete Verschlüsselung“ auf Bearbeiten.
- Stellen Sie die Ein/Aus-Schaltfläche „Vom Kunden verwaltete Verschlüsselung“ auf „Aus“.
- Klicken Sie auf Speichern.