Standardmäßig verschlüsselt Google Cloud Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.
Mit CMEK können Sie Ihre Backup and DR-Daten mit einem kryptografischen Schlüssel schützen, den Sie über Cloud Key Management Service (Cloud KMS) verwalten. Wenn Sie CMEK verwenden, verwalten Sie den Schlüssel in Cloud Key Management Service und können steuern, wer darauf zugreifen kann, indem Sie Identity and Access Management-Berechtigungen für den Schlüssel verwalten. Wenn Sie den CMEK-Schlüssel vorübergehend deaktivieren oder dauerhaft löschen, sind die mit diesem Schlüssel geschützten Daten nicht mehr zugänglich. Weitere Informationen zu CMEK im Allgemeinen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Backup and DR verwendet CMEK, um Sicherungsdaten zu schützen, die in Backup Vaults gespeichert sind.
CMEK in Backup and DR
Je nach der zu sichernden Ressource verwendet Backup and DR CMEK-Schlüssel, um Sicherungen auf folgende Weise zu schützen:
Für Compute Engine-Instanzsicherungen, die in einem Sicherungstresor gespeichert sind: Wenn ein oder mehrere Laufwerke, die an eine Compute Engine-Instanz angehängt sind, mit CMEK verschlüsselt sind, muss diese Instanz in einem CMEK-fähigen Sicherungstresor gesichert werden. Wenn alle an die Instanz angehängten Laufwerke die von Google verwaltete Verschlüsselung verwenden, müssen Sie Back-ups in der Google Cloud Console in einem Backup-Vault ohne CMEK speichern. Wenn Sie jedoch die Google Cloud CLI, die API oder Terraform verwenden, können Sie Back-ups für eine solche Instanz so konfigurieren, dass sie in einem CMEK-aktivierten Backup-Vault gespeichert werden.
Wenn ein Compute Engine-Instanz-Backup in einem CMEK-aktivierten Backup-Vault gespeichert wird, werden die zugehörigen Daten mit dem Cloud Key Management Service-Schlüssel des Vaults verschlüsselt, unabhängig vom Verschlüsselungsstatus der Instanzlaufwerke.
Für Sicherungen nichtflüchtiger Speicher: Backup and DR behält die Verschlüsselung des Quelllaufwerks bei, indem es sich auf die Verschlüsselung der Quellarbeitslast stützt. Wenn der Quellendatenträger durch CMEK geschützt ist, sind seine Sicherungen durch denselben CMEK-Schlüssel geschützt. Wenn für den Quell-Persistent Disk die von Google verwaltete Verschlüsselung verwendet wird, wird für die Sicherungen auch die von Google verwaltete Verschlüsselung verwendet. Die Sicherungen müssen in einem Sicherungs-Vault gespeichert werden, der nicht mit CMEK konfiguriert ist.
In der folgenden Tabelle wird zusammengefasst, welcher Verschlüsselungsschlüssel für Sicherungen der verschiedenen Arbeitslasttypen verwendet wird:
| Arbeitslast | Für das Backup verwendeter Verschlüsselungsschlüssel | CMEK-Unterstützungsstatus |
|---|---|---|
| Compute Engine-Instanz | CMEK-Schlüssel für Backup Vault | Unterstützt |
| Compute Engine-Laufwerk | Verschlüsselungsschlüssel des Quelllaufwerks | Unterstützt |
| Cloud SQL | - | Nicht unterstützt |
| AlloyDB-Cluster | - | Nicht unterstützt |
| Filestore-Instanz | - | Nicht unterstützt |
| Google Cloud VMware Engine, Oracle-Datenbank und SQL Server-Datenbank | - | Nicht unterstützt |
Beschränkungen
Für die Unterstützung von CMEK in Backup and DR gelten die folgenden Einschränkungen:
- CMEK-Schutz wird nur für Compute Engine-Instanz- und Persistent Disk-Backups unterstützt, die in Backup Vaults gespeichert sind.
- Sie können CMEK für einen Backup-Tresor nur beim Erstellen konfigurieren. Sie können CMEK für einen vorhandenen Sicherungstresor nicht aktivieren, deaktivieren oder ändern.
- Der Cloud Key Management Service-Schlüssel muss sich am selben Ort wie der Sicherungstresor befinden. Für einen Backup Vault in einer Region muss ein Schlüssel aus derselben Region verwendet werden. Für einen multiregionalen Backup Vault muss ein Schlüssel aus derselben multiregionalen Region verwendet werden.
- Backup and DR unterstützt keine vom Kunden bereitgestellten Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEK).
- Für den Standard-Backup Vault und den Standard-Sicherungsplan wird die von Google verwaltete Verschlüsselung verwendet. Wenn Sie CMEK verwenden möchten, müssen Sie einen neuen Sicherungstresor erstellen und CMEK explizit aktivieren.
Hinweise
Führen Sie die folgenden Schritte aus, bevor Sie CMEK verwenden:
Aktivieren Sie die Cloud Key Management Service API für das Projekt, in dem Ihre CMEK-Schlüssel gespeichert werden.
Cloud Key Management Service-Schlüsselbund und Service-Schlüssel erstellen Achten Sie beim Erstellen des Schlüssels darauf, dass Sie einen Standort auswählen, der dem Standort Ihres Backup Vaults entspricht. Für einen Backup Vault in einer Region muss ein Schlüssel aus derselben Region verwendet werden. Für eine multiregionale Backup Vault muss ein Schlüssel aus derselben Multiregion verwendet werden.
Erstellen Sie den Backup and DR-Dienst-Agent, falls er noch nicht vorhanden ist. Der Dienst-Agent wird automatisch erstellt,nachdem die erste Backup and DR-Ressource (Sicherungs-Vault, Google Cloud -Konsole usw.) in einem Projekt erstellt wurde. Wenn Sie dem Dienst-Agent Berechtigungen gewähren müssen, bevor Sie einen Backup Vault erstellen, können Sie die Erstellung mit dem folgenden Befehl auslösen:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDdurch die ID Ihres Projekts.
Berechtigungen für CMEK erteilen
Damit Backup & DR Sicherungen mit CMEK schützen oder CMEK-geschützte Ressourcen sichern kann, müssen Sie bestimmten Dienstkonten IAM-Rollen zuweisen.
Berechtigung zur Verwendung des CMEK-Schlüssels für Tresore erteilen
Wenn Sie CMEK für einen Sicherungstresor konfigurieren, benötigt Backup & DR die Berechtigung, Ihren CMEK-Schlüssel zum Verschlüsseln und Entschlüsseln von Daten zu verwenden. Diese Berechtigung muss dem Backup and DR-Dienst-Agent erteilt werden.
Es ist wichtig, zwischen zwei verschiedenen Dienstkonten zu unterscheiden, die von Backup and DR verwendet werden:
- Backup- und DR-Dienstagent: Dies ist ein Dienstkonto auf Projektebene, das zum Verwalten von Backup- und DR-Ressourcen und zum Zugreifen auf Cloud Key Management Service-Schlüssel verwendet wird, wenn ein Backup Vault mit CMEK konfiguriert ist. Dies ist der Dienst-Agent, der die Rolle
roles/cloudkms.cryptoKeyEncrypterDecrypterfür den CMEK-Schlüssel benötigt. - Dienstkonto für Backup-Vault: Dies ist ein eindeutiges Dienstkonto pro Vault, dem Sie Berechtigungen für den Zugriff auf und die Sicherung von Quellarbeitslasten (z. B. Compute Engine-Instanzen) gewähren. Dieses Dienstkonto wird nicht für die CMEK-Verschlüsselung von Daten im Sicherungstresor verwendet.
Wenn Sie CMEK mit Backup and DR verwenden möchten, müssen Sie dem Backup and DR-Dienst-Agenten die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen. Dieser Dienst-Agent ist ein Dienstkonto, das von Backup and DR verwendet wird, um in Ihrem Namen auf Ressourcen zuzugreifen, einschließlich Ihres Cloud Key Management Service-Schlüssels bei Verschlüsselungs- und Entschlüsselungsvorgängen.
Der Dienst-Agent für Sicherungen und Notfallwiederherstellungen hat das folgende Format:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Ersetzen Sie VAULT_PROJECT_NUMBER durch die Projektnummer des Projekts, das Ihren Backup-Tresor enthält.
Sie können diese Rolle beim Erstellen des Sicherungstresors über die Google Cloud -Konsole zuweisen, wenn Sie die Berechtigungen zum Zuweisen von IAM-Rollen haben. Alternativ können Sie sie vorab mit dem Befehl gcloud kms keys add-iam-policy-binding zuweisen:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sie können diese Rolle für einen bestimmten Schlüssel zuweisen, wie im Beispiel gezeigt, oder auf Schlüsselbund- oder Projektebene. Das Erteilen von Berechtigungen auf Schlüsselebene bietet die detaillierteste Steuerung und wird für das Prinzip der geringsten Berechtigung empfohlen. Das Erteilen von Berechtigungen auf Projekt- oder Schlüsselringebene ist praktischer, wenn Backup and DR mehrere Schlüssel in diesem Bereich verwenden soll. Es werden jedoch umfassendere Berechtigungen gewährt.
Berechtigung zum Sichern von CMEK-geschützten Ressourcen erteilen
Wenn Sie eine Ressource sichern, die selbst mit einem anderen CMEK-Schlüssel verschlüsselt ist, z. B. eine Compute Engine-Instanz mit CMEK-verschlüsselten Festplatten, sind zusätzliche Berechtigungen erforderlich. Der Dienst-Agent des Dienstes der Quellressource benötigt die Berechtigung zur Verwendung der Schlüssel, mit denen die Quellressource geschützt wird. Wenn Sie beispielsweise eine CMEK-verschlüsselte Compute Engine-Instanz sichern möchten, muss der Compute Engine-Dienst-Agent des Projekts der Quellinstanz die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter für die Cloud Key Management Service-Schlüssel haben, die zum Verschlüsseln der Instanzlaufwerke verwendet werden. In den meisten Fällen ist diese Berechtigung bereits vorhanden, damit die Quellarbeitslast ausgeführt werden kann.
CMEK mit Backup und DR verwenden
In diesem Abschnitt wird der Workflow zum Schutz von Sicherungen mit CMEK beschrieben.
1. CMEK-fähigen Backup Vault erstellen
Wenn Sie ein Sicherungstresor erstellen, wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) aus und wählen Sie den von Ihnen erstellten Cloud Key Management Service-Schlüssel aus. Sie können CMEK nur während der Tresorerstellung aktivieren. Es kann für einen vorhandenen Tresor nicht aktiviert, deaktiviert oder geändert werden.
2. Sicherungsplan erstellen
Wenn Sie einen Sicherungsplan erstellen, wählen Sie den CMEK-fähigen Sicherungstresor aus, den Sie im vorherigen Schritt erstellt haben, als Ziel-Sicherungstresor für die Sicherungen aus.
3. Sicherungsplan auf Ressourcen anwenden
Wenn Sie einen Sicherungsplan auf eine Ressource anwenden, muss der Sicherungsplan auf einen Backup Vault ausgerichtet sein, der mit der Verschlüsselungskonfiguration der Ressource kompatibel ist:
- Wenn Sie eine Compute Engine-Instanz sichern, an die ein oder mehrere CMEK-verschlüsselte Laufwerke angehängt sind, müssen Sie einen Sicherungsplan verwenden, der auf einen CMEK-aktivierten Sicherungsspeicher ausgerichtet ist.
- Wenn Sie eine Compute Engine-Instanz sichern, bei der alle angehängten Laufwerke die von Google verwaltete Verschlüsselung verwenden:
- Wenn Sie den Sicherungsplan über die Google Cloud -Konsole zuweisen, müssen Sie einen Sicherungsplan verwenden, der auf einen Backup Vault ohne CMEK ausgerichtet ist.
- Wenn Sie den Sicherungsplan mit der gcloud CLI, der API oder Terraform zuweisen, können Sie einen Sicherungsplan auswählen, der auf einen CMEK-fähigen Sicherungsspeicher ausgerichtet ist. In diesem Fall werden die Sicherungen der Instanz mit dem CMEK-Schlüssel des Backup Vaults verschlüsselt.
- Wenn Sie einen nichtflüchtigen Speicher sichern, der von Google verwaltete Verschlüsselung verwendet, müssen Sie einen Sicherungsplan verwenden, der auf einen nicht-CMEK-Sicherungs-Vault ausgerichtet ist.
Achten Sie darauf, dass Sie die erforderlichen KMS-Berechtigungen gewährt haben, wie unter Berechtigungen für CMEK erteilen beschrieben, damit Back-ups erfolgreich ausgeführt werden können.
Cloud Key Management Service-Schlüsselrotation und Wiederherstellbarkeit von Sicherungen
Backup and DR unterstützt die Schlüsselrotation von Cloud Key Management Service. Wenn Sie einen Schlüssel rotieren, erstellt Cloud Key Management Service eine neue Schlüsselversion, die zur primären Version wird. Backup and DR verwendet die primäre Schlüsselversion, um alle neuen Sicherungen für Sicherungstresore zu verschlüsseln, die mit diesem Schlüssel konfiguriert sind.
Vorhandene Sicherungen werden nicht neu verschlüsselt und bleiben mit der Schlüsselversion verschlüsselt, mit der sie erstellt wurden. Zum Wiederherstellen einer Sicherung muss die Schlüsselversion, die zum Verschlüsseln der Sicherung verwendet wurde, im Cloud Key Management Service verfügbar sein. Wenn Sie eine Schlüsselversion deaktivieren oder löschen, sind alle mit dieser Version verschlüsselten Back-ups nicht mehr zugänglich. Damit Ihre Sicherungen wiederhergestellt werden können, dürfen Sie keine Schlüsselversionen deaktivieren oder löschen, die noch von Sicherungen verwendet werden, die Sie möglicherweise wiederherstellen müssen.
Wenn Backup and DR aus irgendeinem Grund nicht auf Ihren CMEK-Schlüssel zugreifen kann (z. B. wenn die für die Verschlüsselung oder Entschlüsselung erforderliche Schlüsselversion deaktiviert oder gelöscht wird oder wenn IAM-Berechtigungen für den Schlüssel vom Dienst-Agent für Backup and DR widerrufen werden), kann Folgendes passieren:
- Neue Sicherungen in CMEK-fähigen Backup Vaults schlagen fehl, wenn die primäre Schlüsselversion nicht zugänglich ist.
- Die Wiederherstellung aus Sicherungsspeichern schlägt fehl, wenn die spezifische Schlüsselversion, die zum Verschlüsseln der Sicherung verwendet wurde, nicht zugänglich ist.
- Sie können keine neuen Sicherungstresore erstellen, die einen nicht zugänglichen Schlüssel verwenden.
Wenn Sie eine Schlüsselversion deaktiviert haben, die für Sicherungen verwendet wurde, können Sie durch erneutes Aktivieren wieder auf Sicherungen zugreifen, die mit dieser Version verschlüsselt wurden. Wenn Sie eine Schlüsselversion zerstören, gehen alle mit dieser Schlüsselversion verschlüsselten Sicherungen dauerhaft verloren und können nicht wiederhergestellt werden.
Preise
Für die Verwendung von CMEK fallen bei Backup and DR keine zusätzlichen Gebühren an. Die Verwendung Ihrer Schlüssel im Cloud Key Management Service ist jedoch kostenpflichtig. Weitere Informationen finden Sie unter Cloud Key Management Service – Preise.