Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.

Mit CMEK können Sie Ihre Backup and DR-Daten mit einem kryptografischen Schlüssel schützen, den Sie über Cloud Key Management Service (Cloud KMS) verwalten. Wenn Sie CMEK verwenden, verwalten Sie den Schlüssel in Cloud Key Management Service und können steuern, wer darauf zugreifen kann, indem Sie Identity and Access Management-Berechtigungen für den Schlüssel verwalten. Wenn Sie den CMEK-Schlüssel vorübergehend deaktivieren oder dauerhaft löschen, sind die mit diesem Schlüssel geschützten Daten nicht mehr zugänglich. Weitere Informationen zu CMEK im Allgemeinen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Backup and DR verwendet CMEK, um Sicherungsdaten zu schützen, die in Backup Vaults gespeichert sind.

CMEK in Backup and DR

Je nach gesicherter Ressource verwendet Backup and DR CMEK-Schlüssel, um Sicherungen auf folgende Weise zu schützen:

Für Compute Engine-Instanzsicherungen, die in einem Sicherungstresor gespeichert sind: Wenn ein oder mehrere Laufwerke, die an eine Compute Engine-Instanz angehängt sind, CMEK-verschlüsselt sind, muss diese Instanz in einem CMEK-fähigen Sicherungstresor gesichert werden. Wenn alle an die Instanz angehängten Laufwerke die von Google verwaltete Verschlüsselung verwenden, müssen Sie Back-ups in der Google Cloud Console in einem Backup-Vault ohne CMEK speichern. Wenn Sie jedoch die Google Cloud CLI, die API oder Terraform verwenden, können Sie Back-ups für eine solche Instanz so konfigurieren, dass sie in einem CMEK-aktivierten Sicherungsspeicher gespeichert werden.

Wenn ein Compute Engine-Instanz-Backup in einem CMEK-aktivierten Backup-Vault gespeichert wird, werden die zugehörigen Daten mit dem Cloud Key Management Service-Schlüssel des Vaults verschlüsselt, unabhängig vom Verschlüsselungsstatus der Festplatten der Instanz.
Für Sicherungen nichtflüchtiger Speicher: Backup and DR behält die Verschlüsselung des Quelllaufwerks bei, indem es sich auf die Verschlüsselung der Quellarbeitslast stützt. Wenn der Quellendatenträger durch CMEK geschützt ist, sind seine Sicherungen durch denselben CMEK-Schlüssel geschützt. Wenn für den Quell-Persistent Disk die von Google verwaltete Verschlüsselung verwendet wird, wird auch für die Sicherungen die von Google verwaltete Verschlüsselung verwendet. Die Sicherungen müssen in einem Backup-Vault gespeichert werden, der nicht mit CMEK konfiguriert ist.

In der folgenden Tabelle wird zusammengefasst, welcher Verschlüsselungsschlüssel für Sicherungen der verschiedenen Arbeitslasttypen verwendet wird:

Arbeitslast	Für das Backup verwendeter Verschlüsselungsschlüssel	CMEK-Unterstützungsstatus
Compute Engine-Instanz	CMEK-Schlüssel für Backup Vault	Unterstützt
Compute Engine-Laufwerk	Verschlüsselungsschlüssel des Quelllaufwerks	Unterstützt
Cloud SQL	-	Nicht unterstützt
AlloyDB-Cluster	-	Nicht unterstützt
Filestore-Instanz	-	Nicht unterstützt
Google Cloud VMware Engine, Oracle-Datenbank und SQL Server-Datenbank	-	Nicht unterstützt

Beschränkungen

Für die Unterstützung von CMEK durch Backup and DR gelten die folgenden Einschränkungen:

CMEK-Schutz wird nur für Compute Engine-Instanz- und Persistent Disk-Backups unterstützt, die in Backup Vaults gespeichert sind.
Sie können CMEK für einen Backup Vault nur bei der Erstellung konfigurieren. Sie können CMEK für einen vorhandenen Sicherungstresor nicht aktivieren, deaktivieren oder ändern.
Der Cloud Key Management Service-Schlüssel muss sich am selben Ort wie der Sicherungstresor befinden. Für einen Backup Vault in einer Region muss ein Schlüssel aus derselben Region verwendet werden. Für einen multiregionalen Backup Vault muss ein Schlüssel aus derselben multiregionalen Region verwendet werden.
Backup and DR unterstützt keine vom Kunden bereitgestellten Verschlüsselungsschlüssel (CSEK).
Für den Standard-Backup Vault und den Standard-Sicherungsplan wird die von Google verwaltete Verschlüsselung verwendet. Wenn Sie CMEK verwenden möchten, müssen Sie einen neuen Sicherungstresor erstellen und CMEK explizit aktivieren.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie CMEK verwenden:

Aktivieren Sie die Cloud Key Management Service API für das Projekt, in dem Ihre CMEK-Schlüssel gespeichert werden.

API aktivieren
Cloud Key Management Service-Schlüsselbund und ‑Schlüssel erstellen Achten Sie beim Erstellen des Schlüssels darauf, dass Sie einen Standort auswählen, der dem Standort Ihres Backup Vaults entspricht. Für einen Backup Vault in einer Region muss ein Schlüssel aus derselben Region verwendet werden. Für eine multiregionale Backup Vault muss ein Schlüssel aus derselben Multiregion verwendet werden.
Erstellen Sie den Backup and DR-Dienst-Agent, falls er noch nicht vorhanden ist. Der Dienst-Agent wird automatisch erstellt,nachdem die erste Backup and DR-Ressource (Sicherungs-Vault, Google Cloud -Konsole usw.) in einem Projekt erstellt wurde. Wenn Sie dem Dienst-Agent Berechtigungen gewähren müssen, bevor Sie einen Backup Vault erstellen, können Sie die Erstellung mit dem folgenden Befehl auslösen:
```
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

Berechtigungen für CMEK erteilen

Damit Backup and DR Sicherungen mit CMEK schützen oder CMEK-geschützte Ressourcen sichern kann, müssen Sie bestimmten Dienstkonten IAM-Rollen zuweisen.

Berechtigung zur Verwendung des CMEK-Schlüssels für Tresore erteilen

Wenn Sie CMEK für einen Sicherungstresor konfigurieren, benötigt Backup & DR die Berechtigung, Ihren CMEK-Schlüssel zum Verschlüsseln und Entschlüsseln von Daten zu verwenden. Diese Berechtigung muss dem Backup and DR-Dienst-Agent erteilt werden.

Es ist wichtig, zwischen zwei verschiedenen Dienstkonten zu unterscheiden, die von Backup and DR verwendet werden:

Backup- und DR-Dienstagent: Dies ist ein Dienstkonto auf Projektebene, das zum Verwalten von Backup- und DR-Ressourcen und zum Zugriff auf Cloud Key Management Service-Schlüssel verwendet wird, wenn ein Backup Vault mit CMEK konfiguriert ist. Dies ist der Dienst-Agent, der die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter für den CMEK-Schlüssel benötigt.
Dienstkonto für Backup-Vault: Dies ist ein eindeutiges Dienstkonto pro Vault, dem Sie Berechtigungen für den Zugriff auf und die Sicherung von Quellarbeitslasten (z. B. Compute Engine-Instanzen) gewähren. Dieses Dienstkonto wird nicht für die CMEK-Verschlüsselung von Daten im Sicherungstresor verwendet.

Wenn Sie CMEK mit Backup and DR verwenden möchten, müssen Sie dem Backup and DR-Dienst-Agenten die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen. Dieser Dienst-Agent ist ein Dienstkonto, das von Backup and DR verwendet wird, um in Ihrem Namen auf Ressourcen zuzugreifen, einschließlich Ihres Cloud Key Management Service-Schlüssels bei Verschlüsselungs- und Entschlüsselungsvorgängen.

Der Dienst-Agent für Sicherungen und Notfallwiederherstellungen hat das folgende Format:

service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com

Ersetzen Sie VAULT_PROJECT_NUMBER durch die Projektnummer des Projekts, das Ihren Sicherungstresor enthält.

Sie können diese Rolle beim Erstellen des Sicherungstresors über die Google Cloud -Konsole zuweisen, wenn Sie die Berechtigungen zum Zuweisen von IAM-Rollen haben. Alternativ können Sie sie vorab mit dem Befehl gcloud kms keys add-iam-policy-binding zuweisen:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=KMS_LOCATION \
    --keyring=KEY_RING \
    --member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Sie können diese Rolle für einen bestimmten Schlüssel zuweisen, wie im Beispiel gezeigt, oder auf Schlüsselbund- oder Projektebene. Das Erteilen von Berechtigungen auf Schlüsselebene bietet die detaillierteste Steuerung und wird für das Prinzip der geringsten Berechtigung empfohlen. Das Erteilen von Berechtigungen auf Projekt- oder Schlüsselbundebene ist praktischer, wenn Backup and DR mehrere Schlüssel in diesem Bereich verwenden soll. Es werden jedoch umfassendere Berechtigungen erteilt.

Berechtigung zum Sichern von CMEK-geschützten Ressourcen gewähren

Wenn Sie eine Ressource sichern, die selbst mit einem anderen CMEK-Schlüssel verschlüsselt ist, z. B. eine Compute Engine-Instanz mit CMEK-verschlüsselten Festplatten, sind zusätzliche Berechtigungen erforderlich. Der Dienst-Agent des Dienstes der Quellressource benötigt die Berechtigung zur Verwendung der Schlüssel, mit denen die Quellressource geschützt wird. Wenn Sie beispielsweise eine CMEK-verschlüsselte Compute Engine-Instanz sichern möchten, muss der Compute Engine-Dienst-Agent des Projekts der Quellinstanz die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter für die Cloud Key Management Service-Schlüssel haben, die zum Verschlüsseln der Instanzlaufwerke verwendet werden. In den meisten Fällen ist diese Berechtigung bereits vorhanden, damit die Quellarbeitslast funktioniert.

CMEK mit Backup und DR verwenden

In diesem Abschnitt wird der Workflow zum Schutz von Sicherungen mit CMEK beschrieben.

1. CMEK-fähigen Backup Vault erstellen

Wenn Sie einen Sicherungstresor erstellen, wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus und wählen Sie den von Ihnen erstellten Cloud Key Management Service-Schlüssel aus. Sie können CMEK nur während der Tresorerstellung aktivieren. CMEK kann für einen vorhandenen Tresor nicht aktiviert, deaktiviert oder geändert werden.

2. Sicherungsplan erstellen

Erstellen Sie einen Sicherungsplan und wählen Sie den CMEK-fähigen Backup Vault, den Sie im vorherigen Schritt erstellt haben, als Ziel-Backup Vault für die Sicherungen aus.

3. Sicherungsplan auf Ressourcen anwenden

Wenn Sie einen Sicherungsplan auf eine Ressource anwenden, müssen Sie darauf achten, dass der Sicherungsplan auf einen Backup Vault ausgerichtet ist, der mit der Verschlüsselungskonfiguration der Ressource kompatibel ist:

Wenn Sie eine Compute Engine-Instanz sichern, an die ein oder mehrere CMEK-verschlüsselte Laufwerke angehängt sind, müssen Sie einen Sicherungsplan verwenden, der auf einen CMEK-aktivierten Sicherungsspeicher ausgerichtet ist.
Wenn Sie eine Compute Engine-Instanz sichern, bei der alle angehängten Laufwerke von Google verwaltete Verschlüsselung verwenden:
- Wenn Sie den Sicherungsplan über die Google Cloud -Konsole zuweisen, müssen Sie einen Sicherungsplan verwenden, der auf einen Backup Vault ohne CMEK ausgerichtet ist.
- Wenn Sie den Sicherungsplan mit der gcloud CLI, der API oder Terraform zuweisen, können Sie einen Sicherungsplan auswählen, der auf einen CMEK-aktivierten Sicherungsspeicher abzielt. In diesem Fall werden die Sicherungen der Instanz mit dem CMEK-Schlüssel des Backup Vaults verschlüsselt.
Wenn Sie einen nichtflüchtigen Speicher sichern, der von Google verwaltete Verschlüsselung verwendet, müssen Sie einen Sicherungsplan verwenden, der auf einen nicht-CMEK-Sicherungstresor ausgerichtet ist.

Achten Sie darauf, dass Sie die erforderlichen KMS-Berechtigungen gewährt haben, wie unter Berechtigungen für CMEK erteilen beschrieben, damit Back-ups erfolgreich ausgeführt werden können.

Cloud Key Management Service-Schlüsselrotation und Wiederherstellbarkeit von Sicherungen

Backup and DR unterstützt die Schlüsselrotation von Cloud Key Management Service. Wenn Sie einen Schlüssel rotieren, erstellt Cloud Key Management Service eine neue Schlüsselversion, die zur primären Version wird. Backup and DR verwendet die primäre Schlüsselversion, um alle neuen Sicherungen für Sicherungstresore zu verschlüsseln, die mit diesem Schlüssel konfiguriert sind.

Vorhandene Sicherungen werden nicht neu verschlüsselt, sondern bleiben mit der Schlüsselversion verschlüsselt, mit der sie erstellt wurden. Zum Wiederherstellen einer Sicherung muss die Schlüsselversion, mit der sie verschlüsselt wurde, im Cloud Key Management Service verfügbar sein. Wenn Sie eine Schlüsselversion deaktivieren oder löschen, sind alle mit dieser Version verschlüsselten Back-ups nicht mehr zugänglich. Damit Ihre Sicherungen wiederhergestellt werden können, dürfen Sie keine Schlüsselversionen deaktivieren oder löschen, die noch von Sicherungen verwendet werden, die Sie möglicherweise wiederherstellen müssen.

Wenn Backup and DR aus irgendeinem Grund nicht auf Ihren CMEK-Schlüssel zugreifen kann (z. B. wenn die für die Verschlüsselung oder Entschlüsselung erforderliche Schlüsselversion deaktiviert oder gelöscht wurde oder wenn IAM-Berechtigungen für den Schlüssel vom Dienst-Agent für Backup and DR widerrufen wurden), kann Folgendes passieren:

Neue Sicherungen in CMEK-fähigen Backup Vaults schlagen fehl, wenn die primäre Schlüsselversion nicht zugänglich ist.
Die Wiederherstellung aus Sicherungstresoren schlägt fehl, wenn die spezifische Schlüsselversion, die zum Verschlüsseln der Sicherung verwendet wurde, nicht zugänglich ist.
Sie können keine neuen Sicherungstresore erstellen, für die ein nicht zugänglicher Schlüssel verwendet wird.

Wenn Sie eine Schlüsselversion deaktiviert haben, die für Sicherungen verwendet wurde, können Sie durch erneutes Aktivieren wieder auf Sicherungen zugreifen, die mit dieser Version verschlüsselt wurden. Wenn Sie eine Schlüsselversion zerstören, gehen alle mit dieser Schlüsselversion verschlüsselten Sicherungen dauerhaft verloren und können nicht wiederhergestellt werden.

CMEK-Organisationsrichtlinien

Mit Organisationsrichtlinien können Sie die Verwendung von CMEK für Backup and DR-Ressourcen auf Organisations-, Ordner- oder Projektebene erzwingen. Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien.

Sie können die folgenden Einschränkungen für Organisationsrichtlinien verwenden, um CMEK zu erzwingen:

constraints/gcp.restrictNonCmekServices: Wenn backupdr.googleapis.com der Liste der abgelehnten Dienste für diese Einschränkung hinzugefügt wird, ist für die Ressourcenerstellung in Backup and DR ein CMEK-Schutz erforderlich.
- Backup Vault erstellen: Sie müssen CMEK konfigurieren, wenn Sie einen neuen Backup Vault erstellen. Sie können keinen Backup Vault erstellen, für den die von Google verwaltete Verschlüsselung verwendet wird.
- Sicherungen: Wenn diese Richtlinie erzwungen wird, können keine neuen Sicherungen erstellt werden, wenn sie die von Google verwaltete Verschlüsselung anstelle von CMEK verwenden.
  - Compute Engine-Instanzsicherung: Die Sicherung schlägt fehl, wenn im Ziel-Backup-Vault die von Google verwaltete Verschlüsselung verwendet wird.
  - Sicherung von Persistent Disk: Die Sicherung schlägt fehl, wenn für die Quell-Persistent Disk die von Google verwaltete Verschlüsselung verwendet wird.
constraints/gcp.restrictCmekCryptoKeyProjects: Wenn diese Einschränkung konfiguriert ist, müssen für Ressourcen, die durch CMEK geschützt sind, Schlüssel aus einem zulässigen Projekt oder Ordner verwendet werden.
- Backup Vault erstellen: Wenn Sie einen CMEK-fähigen Backup Vault erstellen, müssen Sie einen Schlüssel aus einem zulässigen Projekt oder Ordner auswählen.
- Back-ups:
  - Compute Engine-Instanzsicherung: Wenn der Backup Vault CMEK-verschlüsselt ist, muss der zugehörige Schlüssel aus einem zulässigen Projekt oder Ordner stammen. Andernfalls schlagen Back-ups in diesem Tresor fehl.
  - Sicherung von nichtflüchtigem Speicher: Wenn das Quelllaufwerk CMEK-verschlüsselt ist, muss der zugehörige Schlüssel aus einem zulässigen Projekt oder Ordner stammen. Andernfalls schlagen Sicherungen dieser Festplatte fehl. Bei Persistent Disk-Sicherungen wird der Verschlüsselungsschlüssel des Quelllaufwerks verwendet, um die Sicherungen zu schützen, nicht der Schlüssel des Sicherungstresors.

Wenn ein Sicherungstresor erstellt oder eine Sicherung versucht wird, die gegen diese Richtlinien verstößt, schlägt der Vorgang fehl. Wenn Sie eine CMEK-Organisationsrichtlinie nach dem Erstellen von Sicherungsplänen erzwingen, schlagen alle vorhandenen Sicherungszeitpläne aus diesen Plänen fehl, wenn sie nicht der Richtlinie entsprechen. Sie können diese Richtlinien unabhängig voneinander oder in Kombination verwenden, um die CMEK-Anforderungen Ihrer Organisation zu erfüllen.

Preise

Für die Verwendung von CMEK fallen bei Backup and DR keine zusätzlichen Gebühren an. Die Verwendung Ihrer Schlüssel im Cloud Key Management Service ist jedoch kostenpflichtig. Weitere Informationen finden Sie unter Cloud Key Management Service – Preise.

Nächste Schritte

Informationen zum Erstellen und Verwalten von Backup-Tresoren

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK) Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.