מפתחות הצפנה בניהול הלקוח

כברירת מחדל, Application Integration מצפין את התוכן של הלקוחות במנוחה. Application Integration מטפל בהצפנה בשבילכם, בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Application Integration. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Application Integration דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

לפני שמתחילים

לפני שמשתמשים ב-CMEK עבור Application Integration, צריך לוודא שהמשימות הבאות הושלמו:

1. להפעיל את Cloud KMS API בפרויקט שבו יאוחסנו מפתחות ההצפנה.

   הפעלת Cloud KMS API

   • אם אתם משתמשים ב-CMEK בפרויקט אחר (פרויקט משותף או פרויקט לאירוח מפתחות) ולא בפרויקט שבו הגדרתם את Application Integration:
   1. מפעילים את ה-API הבא בפרויקט המשותף או בפרויקט שבו מתארח המפתח:
      • ‫Cloud Key Management Service API
   2. מעניקים את תפקיד ה-IAM הבא במפתח ה-CMEK לחשבון השירות שמוגדר כברירת מחדל של Application Integration בפרויקט המשותף או בפרויקט שבו מתארח המפתח:
      • Cloud KMS CryptoKey Encrypter/Decrypter
2. מקצים את תפקיד ה-IAM‏ Cloud KMS Admin לאנשים שמנהלים את מפתחות ה-CMEK. בנוסף, צריך להעניק את הרשאות ה-IAM הבאות לפרויקט שבו מאוחסנים מפתחות ההצפנה:
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create
   • cloudkms.cryptoKeyVersions.useToEncrypt

   במאמר הענקה, שינוי וביטול גישה מוסבר איך נותנים תפקידים או הרשאות נוספים.

3. יוצרים אוסף מפתחות ומפתח.

הוספת חשבון שירות למפתח CMEK

כדי להשתמש במפתח CMEK ב-Application Integration, צריך לוודא שחשבון השירות שמוגדר כברירת מחדל נוסף ומוקצה לו תפקיד CryptoKey Encrypter/Decrypter ב-IAM עבור מפתח ה-CMEK הזה.

1. נכנסים לדף Key Inventory במסוף Google Cloud .

   כניסה לדף Key Inventory

2. מסמנים את התיבה של מפתח ה-CMEK הרצוי.

   הכרטיסייה Permissions מופיעה בחלונית הימנית.

3. לוחצים על Add principal (הוספת חשבון משתמש) ומזינים את כתובת האימייל של חשבון השירות שמוגדר כברירת מחדל.
4. לוחצים על Select a role (בחירת תפקיד) ובוחרים בתפקיד Cloud KMS CryptoKey Encrypter/Decrypter (הצפנה/פענוח של מפתח קריפטוגרפי ב-Cloud KMS) מהרשימה הנפתחת הזמינה.
5. לוחצים על Save.

הפעלת הצפנת CMEK באזור של Application Integration

אפשר להשתמש ב-CMEK כדי להצפין ולפענח נתונים שמאוחסנים בדיסקים קשיחים במסגרת האזור שהוקצה.

כדי להפעיל הצפנת CMEK באזור של שילוב אפליקציות בפרויקט Google Cloud, מבצעים את השלבים הבאים:

1. נכנסים לדף Application Integration במסוף Google Cloud .

   מעבר אל Application Integration

2. בתפריט הניווט, לוחצים על Regions (אזורים).

   מופיע הדף Regions (אזורים), שבו מפורטים האזורים שהוקצו ל-Application Integration.

3. באינטגרציה הקיימת שרוצים להשתמש בהצפנה עם מפתח בניהול הלקוח (CMEK), לוחצים על more_vert פעולות ובוחרים באפשרות עריכת ההצפנה.
4. בחלונית Edit encryption, מרחיבים את הקטע Advanced settings.
5. בוחרים באפשרות Use a Customer-managed encryption key (CMEK) (שימוש במפתח הצפנה בניהול הלקוח) ומבצעים את הפעולות הבאות:
   1. בוחרים מפתח CMEK מהרשימה הנפתחת. מפתחות ה-CMEK שמופיעים בתפריט הנפתח מבוססים על האזור שהוקצה. כדי ליצור מפתח חדש, אפשר לעיין במאמר בנושא יצירת מפתח חדש של CMEK.
   2. לוחצים על Verify כדי לבדוק אם לחשבון השירות שמוגדר כברירת מחדל יש גישה למפתח ה-CMEK שנבחר.
   3. אם האימות של מפתח ה-CMEK שנבחר נכשל, לוחצים על Grant כדי להקצות לחשבון השירות שמוגדר כברירת מחדל את תפקיד ה-IAM‏ CryptoKey Encrypter/Decrypter.
6. לוחצים על סיום.

יצירת מפתח CMEK חדש

אתם יכולים ליצור מפתח CMEK חדש אם אתם לא רוצים להשתמש במפתח הקיים, או אם אין לכם מפתח באזור שצוין.

כדי ליצור מפתח חדש להצפנה סימטרית, מבצעים את השלבים הבאים בתיבת הדו-שיח יצירת מפתח חדש:

1. בוחרים באפשרות 'אוסף מפתחות':
   1. לוחצים על Key ring (אוסף מפתחות) ובוחרים אוסף מפתחות קיים באזור שצוין.
   2. אם רוצים ליצור אוסף מפתחות חדש למפתח, לוחצים על המתג Create key ring ומבצעים את השלבים הבאים:
      1. לוחצים על שם אוסף המפתחות ומזינים שם לאוסף המפתחות.
      2. לוחצים על מיקום מחזיק המפתחות ובוחרים את המיקום האזורי של מחזיק המפתחות.
   3. לוחצים על Continue.
2. יצירת מפתח:
   1. לוחצים על שם המפתח ומזינים שם למפתח החדש.
   2. לוחצים על רמת הגנה ובוחרים באפשרות תוכנה או HSM.

      מידע על רמות ההגנה מופיע במאמר רמות ההגנה של Cloud KMS.

3. בודקים את הפרטים של המפתח ושל מחזיק המפתחות ולוחצים על המשך.
4. לוחצים על יצירה.

נתונים מוצפנים

בטבלה הבאה מפורטים הנתונים שמוצפנים ב-Application Integration:

משאב	נתונים מוצפנים
פרטי השילוב	פרמטרים להגדרת משימות תיאורים של הגדרות המשימות
פרטי ההפעלה של השילוב	פרמטרים של בקשה פרמטרים של תגובה פרטי ההרצה של המשימה
פרטי כניסה לפרופיל אימות	שם משתמש וסיסמאות מפתחות API קוד הרשאה של OAuth 2.0 פרטי כניסה של לקוח OAuth 2.0 פרטי כניסה של סיסמה לבעלי משאבים ב-OAuth 2.0 אסימוני אימות אסימוני JWT חשבונות שירות אישורי לקוח לשרת בחיבור SSL/TLS אסימונים מזהים של Google OIDC
פרטי המשימה בנושא אישור או השעיה	הגדרות אישור או השעיה

מכסות של Cloud KMS ו-Application Integration

כשמשתמשים ב-CMEK ב-Application Integration, הפרויקטים יכולים לנצל את מכסות הבקשות הקריפטוגרפיות של Cloud KMS. לדוגמה, מפתחות CMEK יכולים לנצל את המכסות האלה לכל קריאה להצפנה ולפענוח.

פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על המכסות של Cloud KMS באופן הבא:

• כשמשתמשים במפתחות CMEK של תוכנה שנוצרו ב-Cloud KMS, לא נצרכת מכסת Cloud KMS.
• מפתחות CMEK בחומרה – לפעמים נקראים מפתחות Cloud HSM – פעולות ההצפנה והפענוח נספרות במסגרת המכסות של Cloud HSM בפרויקט שמכיל את המפתח.
• במקרה של מפתחות CMEK חיצוניים – שלפעמים נקראים מפתחות Cloud EKM – פעולות ההצפנה והפענוח נספרות במכסות של Cloud EKM בפרויקט שמכיל את המפתח.

מידע נוסף מופיע במאמר מכסות ב-Cloud KMS.