「客戶管理的加密金鑰」(CMEK) 可讓您控管用於保護 Google Cloud 靜態資料的加密金鑰。本文將說明如何在廣告資料中心中設定及管理 CMEK。
廣告資料中心是採用 Google 代管的金鑰加密靜態資料。除非您有必須使用 CMEK 的特定需求,否則建議您選擇 Google 的預設加密機制。
如要使用 CMEK,您必須:
- 使用 Cloud Key Management Service (KMS)。
- 已預先設定管理員專案,並更新為新的服務帳戶。
啟用 CMEK
- 在 Cloud KMS 頁面上建立對稱金鑰。
- 您可以在任何 Google Cloud 專案中建立金鑰。
- 請務必在適用的 Cloud KMS 位置建立金鑰。根據 Cloud KMS 指南,使用「全球」區域可能會使效能受限,因此不建議選此區域。如果您不記得所在區域,請與廣告資料中心支援團隊聯絡。
廣告資料中心區域 Cloud KMS 位置 US US EU europe asia-northeast1 asia、asia-northeast1 australia-southeast1 australia-southeast1
- 請在「Cloud Identity and Access Management (IAM)」頁面授予廣告資料中心服務帳戶 Cloud KMS CryptoKey 加密者/解密者角色 (
roles/cloudkms.cryptoKeyEncrypter)。此外,您也可以直接授權廣告資料中心服務帳戶存取 Cloud KMS 頁面上的金鑰。 - 在廣告資料中心使用者介面中:
- 前往「設定」分頁。
- 在「客戶管理的加密技術」下方,按一下「編輯」。
- 將「客戶管理的加密技術」切換為「開啟」。
- 貼上金鑰資源 ID。注意:這必須是金鑰的完整資源 ID,而不是特定版本。瞭解如何取得 Cloud KMS 資源 ID
- 按一下「儲存」。
管理金鑰
輪替金鑰
輪替金鑰是常見的安全性做法。如要瞭解如何在 Cloud KMS 頁面中輪替金鑰,請參閱本文。
與帳戶相關聯的 Cloud KMS 金鑰輪替時,廣告資料中心並不會自動輪替加密金鑰。現有資料表會繼續使用當初建立時採用的金鑰版本。新的資料表則會使用目前的金鑰版本。
變更金鑰
您可以將金鑰變更為新金鑰,不必輪替現有金鑰。需要刪除金鑰或進行大幅度的金鑰管理異動 (例如改用其他防護等級) 時,即可使用這項功能。
如要改用新的金鑰,請按照「啟用 CMEK」下方的說明操作。注意:如果在更新完成之前修改或刪除先前的金鑰,可能會導致資料永久遺失。
撤銷權限、停用或刪除金鑰
請依照 Google Cloud 說明文件中的指示進行下列操作:
- 撤銷廣告資料中心服務帳戶的權限。
- 這項操作會立即生效。您必須等到問題解決後,才能在廣告資料中心執行查詢,而臨時表格和模型可能會遺失無法復原的資料。
- 停用金鑰。
- 這項操作最多可能要 3 小時才會在廣告資料中心生效。在此之前,您都可以在廣告資料中心繼續使用已停用的金鑰執行查詢。
- 刪除金鑰。
- 重要事項:請先停用 CMEK,再刪除金鑰。否則,您必須等到問題解決後,才能在廣告資料中心執行查詢,而臨時表格和模型可能會遺失無法復原的資料。
停用 CMEK
刪除使用中的金鑰前,請務必先停用 CMEK,否則您將無法存取那些使用已刪除金鑰加密的資料。
停用 CMEK 的方法如下:
- 前往廣告資料中心的「設定」分頁。
- 在「客戶管理的加密技術」下方,按一下「編輯」。
- 將「客戶管理的加密技術」切換為「關閉」。
- 按一下「儲存」。