加密用户数据

Data Manager API 支持使用以下密钥管理服务加密数据：

• Google Cloud Key Management Service
• AWS Key Management Service

对某些使用情形的支持因密钥管理服务 (KMS) 而异：

设置 Google Cloud KMS

以下是设置用于加密的 Google Cloud KMS 资源的步骤。

设置 Google Cloud 命令行界面

1. 安装并初始化 Google Cloud 命令行界面。

2. 如需选择或创建新的 Google Cloud 项目并启用 Cloud Key Management Service，请点击启用 Cloud KMS。

   启用 Cloud KMS

3. 如需在环境中设置项目，请使用 gcloud config set 命令。如需检查您的环境中是否已设置项目，请运行 gcloud config list。

   如果未设置 project，或者您想为密钥使用其他项目，请运行 gcloud config set：

   gcloud config set project PROJECT_ID
   

创建密钥

如需了解详情，请参阅 Cloud Key Management Service 概览。

1. 创建密钥环。

   gcloud kms keyrings create KEY_RING_NAME \
       --location KEY_RING_LOCATION
   

   如需了解详情，请参阅创建密钥环。

2. 在密钥环中创建密钥。ROTATION_PERIOD 表示轮替密钥的间隔，NEXT_ROTATION_TIME 表示首次轮替应发生的日期和时间。

   例如，如需每 30 天轮替一次密钥，并在 1 周后进行首次轮替，请将 ROTATION_PERIOD 设置为 30d，并将 NEXT_ROTATION_TIME 设置为 $(date --utc --date="next week" --iso-8601=seconds)。

   gcloud kms keys create KEY_NAME \
       --keyring KEY_RING_NAME \
       --location KEY_RING_LOCATION \
       --purpose "encryption" \
       --rotation-period ROTATION_PERIOD \
       --next-rotation-time "NEXT_ROTATION_TIME"
   

   如需了解详情，请参阅创建密钥。

创建工作负载身份池提供方

本部分简要介绍了工作负载身份联合。如需了解详情，请参阅工作负载身份联合。

1. 创建工作负载身份池 (WIP)。池的 location 必须为 global。

   gcloud iam workload-identity-pools create WIP_ID \
      --location=global \
      --display-name="WIP_DISPLAY_NAME" \
      --description="WIP_DESCRIPTION"
   

   如需了解详情，请参阅管理工作负载身份池和提供方。

2. 创建工作负载身份池提供方。--attribute-condition 实参用于验证调用方是否为保密匹配服务账号。

   gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID \
      --location=global \
      --workload-identity-pool=WIP_ID \
      --display-name="PROVIDER_DISPLAY_NAME" \
      --description="PROVIDER_DESCRIPTION" \
      --attribute-mapping="google.subject=assertion.sub,google.groups=[\"PROVIDER_ID\"]" \
      --attribute-condition="assertion.swname == 'CONFIDENTIAL_SPACE' &&
        'STABLE' in assertion.submods.confidential_space.support_attributes &&
        ['cfm-services@admcloud-cfm-services.iam.gserviceaccount.com'].exists(
            a, a in assertion.google_service_accounts) &&
        'ECDSA_P256_SHA256:6b1f357b59e9407fb017ca0e3e783b2bd5acbfea6c83dd82971a4150df5b25f9'
        in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)" \
      --issuer-uri="https://confidentialcomputing.googleapis.com" \
      --allowed-audiences="https://sts.googleapis.com"
   

3. 向 WIP 提供方授予密钥解密者角色。

   # Grants the role to the WIP provider.
   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --keyring KEY_RING_NAME \
       --location KEY_RING_LOCATION \
       --member "principalSet://iam.googleapis.com/projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/group/PROVIDER_ID" \
       --role "roles/cloudkms.cryptoKeyDecrypter"
   

4. 如果您想为线下转化和增强型潜在客户转化加密事件数据，请向 Google 服务账号 datamanager-api@datamanager-ga.iam.gserviceaccount.com 授予密钥解密者角色。

   # Grants the role to the Google service account.
   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --keyring KEY_RING_NAME \
       --location KEY_RING_LOCATION \
       --member "serviceAccount:datamanager-api@datamanager-ga.iam.gserviceaccount.com" \
       --role "roles/cloudkms.cryptoKeyDecrypter"
   

继续前往加密数据部分。

设置 AWS KMS

以下是设置用于加密的 AWS KMS 资源的步骤。

设置 AWS 命令行界面

1. 安装 AWS 命令行界面。

2. 运行以下命令来验证安装：

   aws --version
   

   以下是成功安装的输出内容示例：

   aws-cli/2.31.12 Python/3.13.7 ...
   

设置 AWS 用户并登录

1. 完成使用 AWS 命令行界面的前提条件。
2. 登录 IAM Identity Center 会话。

创建密钥

1. 创建对称 KMS 密钥 (KEK)。

   aws kms create-key \
     --key-usage ENCRYPT_DECRYPT \
     --key-spec SYMMETRIC_DEFAULT \
     --description "KEK for Confidential Matching Data Encryption"
   

   请注意输出中 KeyMetadata 下的 Arn。您将在其他步骤中需要此 Amazon 资源名称 (ARN)。

   AWS_KEY_ARN
   

2. 可选：使用您选择的别名名称创建密钥别名。

   aws kms create-alias \
     --alias-name "alias/AWS_KEY_ALIAS" \
     --target-key-id AWS_KEY_ARN
   

   别名不是必需的，但对于构建 AWS 命令行界面命令很有用。例如，您可以使用别名检索密钥 ARN：

   aws kms describe-key --key-id "alias/AWS_KEY_ALIAS" \
     --query 'KeyMetadata.Arn' \
     --output text
   

创建 OpenID Connect 身份提供方

创建 OpenID Connect (OIDC) 身份提供商。您只需为每个 AWS 账号执行一次此步骤。

aws iam create-open-id-connect-provider \
  --url https://confidentialcomputing.googleapis.com \
  --client-id-list AUDIENCE \
  --thumbprint-list "08745487e891c19e3078c1f2a07e452950ef36f6"

记下输出中的 OIDC 提供商 ARN。您将在其他步骤中用到此名称。

AWS_OIDC_PROVIDER_ARN

创建 IAM 政策

1. 创建名为 kms-decrypt-policy.json 且包含以下内容的 JSON 文件：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "kms:Decrypt",
         "Resource": "AWS_KEY_ARN"
       }
     ]
   }
   

2. 使用 JSON 文件和您选择的政策名称创建 IAM 政策。

   aws iam create-policy \
     --policy-name "AWS_POLICY_NAME" \
     --policy-document file://kms-decrypt-policy.json
   

   记下输出中的 IAM 政策 ARN。您将在其他步骤中用到此名称。

   AWS_IAM_POLICY_ARN
   

创建并附加 IAM 角色

1. 创建名为 role-trust-policy.json 且包含以下内容和上一步中的 OIDC 提供程序 ARN 的 JSON 文件：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "AWS_OIDC_PROVIDER_ARN"
               },
               "Action": [
                   "sts:AssumeRoleWithWebIdentity",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "confidentialcomputing.googleapis.com:aud": "cfm-awsresource",
                       "aws:RequestTag/swname": "CONFIDENTIAL_SPACE",
                       "aws:RequestTag/container.signatures.key_ids": "6b1f357b59e9407fb017ca0e3e783b2bd5acbfea6c83dd82971a4150df5b25f9"
                   },
                   "StringLike": {
                       "aws:RequestTag/confidential_space.support_attributes": "*STABLE*"
                   }
               }
           }
       ]
   }
   

2. 创建 IAM 角色，并指定您选择的角色名称。

   aws iam create-role \
     --role-name "AWS_IAM_ROLE_NAME" \
     --assume-role-policy-document file://role-trust-policy.json
   

3. 将角色政策附加到 IAM 政策。

   aws iam attach-role-policy \
     --role-name "AWS_IAM_ROLE_NAME" \
     --policy-arn "AWS_IAM_POLICY_ARN"
   

加密数据

在 Data Manager API 中进行加密需要数据加密密钥 (DEK)。DEK 是一种对称密钥，可用于加密数据。您的 DEK 会使用 Google Cloud 或 AWS KMS 密钥进行加密。您会在请求中发送加密的 DEK。

如需准备请求中的数据以进行加密，请遵循与未加密数据相同的格式设置和哈希处理准则。

请勿加密未哈希处理的值。例如，AddressInfo 的 region_code 或 postal_code。

对每个字段的数据进行格式设置和哈希处理后，请按照以下步骤对哈希处理后的值进行加密：

1. 使用 Base64 编码对哈希字节进行编码。
2. 使用您的 DEK 对经过 Base64 编码的哈希进行加密。
3. 使用十六进制或 Base64 编码对加密过程的输出进行编码。
4. 使用相应字段的编码值。
5. 在请求中设置 encryption_info 和 encoding。

若要完成最后一步，请修改 IngestAudienceMembersRequest 或 IngestEventsRequest，以表明您已加密数据：

• 设置 encryption_info 字段。
• 将 encoding 字段设置为用于对加密字段值进行编码的编码。

以下是使用 Google Cloud KMS 密钥且设置了加密和编码字段的请求的简短示例：

{
  ...
  "encryptionInfo": {
    "gcpWrappedKeyInfo": {
      "kekUri": "gcp-kms://projects/PROJECT_ID/locations/KEY_RING_LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME",
      "wipProvider": "projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/providers/PROVIDER_ID",
      "keyType": "XCHACHA20_POLY1305",
      "encryptedDek": "ENCRYPTED_DEK"
    }
  },
  "encoding": "ENCODING"
}

如需使用 Data Manager API 库和实用程序来构建和发送请求，请参阅 IngestAudienceMembersWithEncryption Java 代码示例或 ingest_audience_members_with_encryption Python 代码示例。