Khoá mã hoá do khách hàng quản lý (CMEK) cho phép bạn kiểm soát những khoá mã hoá dùng để bảo vệ dữ liệu tĩnh của bạn trên Google Cloud. Bài viết này giải thích cách thiết lập và quản lý CMEK trong Ads Data Hub.
Ads Data Hub mã hoá dữ liệu tĩnh bằng các khoá do Google quản lý. Bạn nên sử dụng phương thức mã hoá mặc định của Google, trừ phi bạn có yêu cầu cụ thể bắt buộc phải sử dụng CMEK.
Để sử dụng CMEK, bạn phải:
- Sử dụng Dịch vụ quản lý khoá đám mây (KMS).
- Đã định cấu hình trước một dự án quản trị và cập nhật lên tài khoản dịch vụ mới.
Bật CMEK
- Trên trang Cloud KMS, hãy tạo một khoá đối xứng.
- Bạn có thể tạo khoá trong bất kỳ dự án nào trên Google Cloud.
- Đảm bảo rằng bạn tạo khoá ở một vị trí Cloud KMS tương thích. Theo nguyên tắc của Cloud KMS, bạn không nên sử dụng khu vực "toàn cầu" do các hạn chế về hiệu suất tiềm ẩn. Nếu bạn không nhớ khu vực của mình, hãy liên hệ với nhóm hỗ trợ Ads Data Hub.
Khu vực ADH Vị trí Cloud KMS Hoa Kỳ Hoa Kỳ Liên minh Châu Âu europe châu á-đông bắc-1 châu á, châu á-đông bắc1 australia-southeast1 australia-southeast1
- Trên trang Quản lý danh tính và quyền truy cập (IAM) của Cloud, hãy cấp cho tài khoản dịch vụ Ads Data Hub vai trò Người mã hoá/Trình giải mã Cloud KMS CryptoKey (
roles/cloudkms.cryptoKeyEncrypter
). Ngoài ra, bạn có thể cấp quyền cho tài khoản dịch vụ Ads Data Hub trực tiếp đối với khoá trên trang Cloud KMS. - Trong giao diện người dùng Ads Data Hub:
- Điều hướng đến thẻ Cài đặt.
- Trong mục "Mã hoá do khách hàng quản lý", hãy nhấp vào Chỉnh sửa.
- Chuyển chế độ "Mã hoá do khách hàng quản lý" sang trạng thái "bật".
- Dán mã tài nguyên của khoá. Lưu ý: đây phải là toàn bộ mã nhận dạng tài nguyên của khoá, chứ không phải một phiên bản cụ thể. Tìm hiểu cách lấy mã tài nguyên Cloud KMS
- Nhấp vào Lưu.
Quản lý khoá
Xoay chìa khoá
Xoay vòng khoá là một phương pháp bảo mật phổ biến. Hãy tìm hướng dẫn về cách thay đổi khoá trên trang Cloud KMS tại đây.
Ads Data Hub không tự động xoay vòng khoá mã hoá khi khoá Cloud KMS được liên kết với tài khoản xoay vòng. Các bảng hiện có sẽ tiếp tục sử dụng phiên bản khoá mà chúng được tạo cùng. Các bảng mới sử dụng phiên bản khoá hiện tại.
Thay đổi phím
Bạn có thể đổi sang khoá mới thay vì xoay khoá hiện có. Tính năng này rất hữu ích khi bạn cần huỷ khoá hoặc thực hiện các thay đổi quan trọng đối với hoạt động quản lý khoá, chẳng hạn như chuyển sang một cấp độ bảo vệ khác.
Để chuyển sang khoá mới, hãy làm theo hướng dẫn trong phần Bật CMEK. Chú ý: việc sửa đổi hoặc huỷ khoá trước đó trước khi quá trình cập nhật hoàn tất có thể dẫn đến việc mất dữ liệu vĩnh viễn.
Thu hồi quyền, vô hiệu hoá hoặc huỷ khoá
Làm theo hướng dẫn trong tài liệu về Google Cloud để thực hiện những thao tác sau:
- Thu hồi quyền của tài khoản dịch vụ Ads Data Hub.
- Hành động này sẽ có hiệu lực ngay lập tức. Bạn sẽ không thể chạy truy vấn trong Ads Data Hub cho đến khi giải quyết được vấn đề, đồng thời các bảng và mô hình tạm thời của bạn có thể bị mất dữ liệu không khôi phục được.
- Tắt chìa khoá.
- Hành động này có thể mất đến 3 giờ để xuất hiện trong Ads Data Hub. Cho đến lúc đó, bạn có thể tiếp tục chạy truy vấn bằng cách sử dụng khoá đã vô hiệu hoá trong Ads Data Hub.
- Huỷ khoá.
- Quan trọng: Hãy tắt CMEK trước khi huỷ khoá. Nếu không, bạn sẽ không thể chạy các truy vấn trong Ads Data Hub cho đến khi giải quyết được vấn đề, đồng thời các bảng và mô hình tạm thời của bạn có thể bị mất dữ liệu không khôi phục được.
Tắt CMEK
Bạn cần phải tắt CMEK trước khi xoá các khoá đang hoạt động. Nếu không, bạn sẽ mất quyền truy cập vào dữ liệu được mã hoá bằng các khoá đã xoá.
Cách tắt CMEK:
- Di chuyển đến thẻ Cài đặt trong Ads Data Hub.
- Trong mục "Mã hoá do khách hàng quản lý", hãy nhấp vào Chỉnh sửa.
- Chuyển chế độ "Mã hoá do khách hàng quản lý" sang trạng thái "tắt".
- Nhấp vào Lưu.