Standardmäßig werden Daten im Ruhezustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln verschlüsselt. Google Cloud Wenn Sie bestimmte Compliance- oder regulatorische Vorgaben in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden.
Mit CMEK können Sie Ihre Backup- und DR-Daten mit einem kryptografischen Schlüssel schützen, den Sie über Cloud Key Management Service (Cloud KMS) verwalten. Wenn Sie CMEK verwenden, verwalten Sie den Schlüssel in Cloud Key Management Service und können steuern, wer darauf zugreifen kann, indem Sie die Berechtigungen für Identity and Access Management für den Schlüssel verwalten. Wenn Sie den CMEK-Schlüssel vorübergehend deaktivieren oder dauerhaft löschen, sind die mit diesem Schlüssel geschützten Daten nicht mehr zugänglich. Weitere Informationen zu CMEK im Allgemeinen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).
Verwendung von CMEK in Backup and DR
Backup and DR kann Sicherungen mit CMEK auf zwei Arten schützen, je nach Ressourcentyp: mit einem CMEK-Schlüssel, der für den Backup Vault konfiguriert ist, oder mit dem CMEK-Schlüssel der Quellressource.
Backup Vault-Container
Ein Backup Vault ist ein Container für Sicherungen, der einen sicheren, isolierten Speicher für unveränderliche Sicherungen mit erzwungener Aufbewahrung bietet. Backup and DR kann Sicherungen mit CMEK schützen, indem ein CMEK-Schlüssel verwendet wird, der für den Backup Vault konfiguriert ist.
Verschlüsselung mit dem CMEK-Schlüssel des Backup Vault
Bei einigen Ressourcentypen verschlüsselt ein CMEK-fähiger Backup Vault Sicherungsdaten mit dem Cloud Key Management Service-Schlüssel des Vault.
Dies gilt beispielsweise für Sicherungen von Compute Engine-Instanzen. Wenn auf einem oder mehreren Laufwerken, die an eine Compute Engine-Instanz angehängt sind, CMEK verwendet wird, betrachtet Backup and DR die Instanz als CMEK-geschützt. Sie müssen solche Instanzen in einem CMEK-fähigen Backup Vault sichern. Wenn auf allen an die Instanz angehängten Laufwerken die von Google verwaltete Verschlüsselung verwendet wird, müssen Sie in der Console Sicherungen in einem nicht CMEK-fähigen Backup Vault speichern. Google Cloud Wenn Sie jedoch die Google Cloud CLI, die API oder Terraform verwenden, können Sie Sicherungen für eine Instanz mit von Google verwalteter Verschlüsselung so konfigurieren, dass ein CMEK-fähiger Backup Vault verwendet wird. Wenn Sie eine Sicherung in einem CMEK-fähigen Backup Vault speichern, werden die Sicherungsdaten mit dem Cloud Key Management Service-Schlüssel des Vault verschlüsselt, unabhängig vom Verschlüsselungsstatus des Laufwerks der Instanz.
Backups im Ruhezustand
Eine Sicherung ist eine Momentaufnahme von Daten aus einer geschützten Ressource, die in einem Backup Vault gespeichert ist. Je nach Ressourcentyp erbt eine Sicherung entweder den Schlüssel der Quellarbeitslast oder verwendet den CMEK-Schlüssel des Backup Vault, um Sicherungen mit CMEK zu schützen.
Verschlüsselung mit dem CMEK-Schlüssel der Quellressource
Bei Arbeitslasttypen, bei denen für Sicherungen kein anderer Schlüssel als für die Quellarbeitslast verwendet werden kann, verwendet Backup and DR den Verschlüsselungsschlüssel der Quellarbeitslast, um Sicherungen zu schützen und die Verschlüsselung der Quellressource beizubehalten.
Dies gilt beispielsweise für Sicherungen von nichtflüchtigen Speichern. Wenn der nichtflüchtige Quellspeicher CMEK verwendet, verwenden auch die Sicherungen desselben den CMEK-Schlüssel. Wenn der nichtflüchtige Quellspeicher die von Google verwaltete Verschlüsselung verwendet, verwenden auch die Sicherungen desselben die von Google verwaltete Verschlüsselung. Sie müssen diese Sicherungen in einem Backup Vault speichern, der nicht mit CMEK konfiguriert ist.
In der folgenden Tabelle ist zusammengefasst, welcher Verschlüsselungsschlüssel für Sicherungen verschiedener Arbeitslasttypen verwendet wird:
| Arbeitslast | Für die Sicherung verwendeter Verschlüsselungsschlüssel | CMEK-Unterstützungsstatus |
|---|---|---|
| Compute Engine-Instanz | CMEK-Schlüssel des Backup Vault | Unterstützt |
| Compute Engine-Laufwerk | Verschlüsselungsschlüssel des Quelllaufwerks | Unterstützt |
| Cloud SQL | - | Nicht unterstützt |
| AlloyDB-Cluster | - | Nicht unterstützt |
| Filestore-Instanz | - | Nicht unterstützt |
| Google Cloud VMware Engine, Oracle-Datenbank und SQL Server-Datenbank | - | Nicht unterstützt |
Beschränkungen
Die CMEK-Unterstützung von Backup and DR unterliegt den folgenden Beschränkungen:
- Der CMEK-Schutz wird nur für Sicherungen von Compute Engine-Instanzen und Persistent Disk unterstützt, die in Backup Vaults gespeichert sind.
- Sie können CMEK für einen Backup Vault nur bei der Erstellung konfigurieren. Sie können CMEK für einen vorhandenen Backup Vault nicht aktivieren, deaktivieren oder ändern.
- Der Cloud KMS-Schlüssel muss sich am selben Standort wie der Backup Vault befinden. Ein Backup Vault in einer Region muss einen Schlüssel aus derselben Region verwenden. Ein multiregionaler Backup Vault muss einen Schlüssel aus derselben Multiregion verwenden.
Für regionenübergreifende Sicherungen muss ein Schlüssel aus derselben Region wie der Backup Vault verwendet werden.
Backup and DR unterstützt keine vom Kunden bereitgestellten Verschlüsselungsschlüssel (Customer-Supplied Encryption Keys, CSEK).
Für den Standard-Backup Vault und den Standard-Sicherungsplan wird die von Google verwaltete Verschlüsselung verwendet. Wenn Sie CMEK verwenden möchten, müssen Sie einen neuen Backup Vault erstellen und CMEK explizit aktivieren.
Hinweis
Bevor Sie CMEK verwenden, führen Sie die folgenden Schritte aus:
Aktivieren Sie die Cloud Key Management Service API in dem Projekt, in dem Ihre CMEK-Schlüssel gespeichert werden.
Erstellen Sie einen Cloud Key Management Service-Schlüsselbund und einen Schlüssel. Achten Sie beim Erstellen des Schlüssels darauf, dass Sie einen Standort auswählen, der mit dem Standort Ihres Backup Vault übereinstimmt. Ein Backup Vault in einer Region muss einen Schlüssel aus derselben Region verwenden. Ein multiregionaler Backup Vault muss einen Schlüssel aus derselben Multiregion verwenden.
Erstellen Sie den Dienst-Agent für Sicherung und Notfallwiederherstellung, falls er noch nicht vorhanden ist. Der Dienst-Agent wird automatisch erstellt,nachdem die erste Backup and DR-Ressource (Backup Vault, Google Cloud Console usw.) in einem Projekt erstellt wurde. Wenn Sie dem Dienst-Agent Berechtigungen erteilen müssen, bevor Sie einen Backup Vault erstellen, können Sie die Erstellung mit dem folgenden Befehl auslösen:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDdurch die ID Ihres Projekts.
Berechtigungen für CMEK erteilen
Damit Backup und DR Sicherungen mit CMEK schützen oder CMEK-geschützte Ressourcen sichern kann, müssen Sie bestimmten Dienst-Agents IAM-Rollen zuweisen.
Berechtigung zur Verwendung des CMEK-Schlüssels des Vault erteilen
Wenn Sie CMEK für einen Backup Vault konfigurieren, benötigt Backup and DR die Berechtigung, Ihren CMEK-Schlüssel zum Verschlüsseln und Entschlüsseln von Daten zu verwenden. Diese Berechtigung muss dem Dienst-Agent für Sicherung und Notfallwiederherstellung erteilt werden.
Es ist wichtig, zwischen zwei verschiedenen Dienstkonten zu unterscheiden, die von Backup and DR verwendet werden:
- Dienst-Agent für Sicherung und Notfallwiederherstellung: Dies ist ein Dienstkonto auf Projektebene, das zum Verwalten von Backup and DR-Ressourcen und für den Zugriff auf Cloud Key Management Service-Schlüssel verwendet wird, wenn ein Backup Vault mit CMEK konfiguriert ist. Dieser Dienst-Agent benötigt die Rolle
roles/cloudkms.cryptoKeyEncrypterDecrypterfür den CMEK-Schlüssel. - Dienstkonto des Backup Vault: Dies ist ein eindeutiges Dienstkonto pro Vault, dem Sie Berechtigungen für den Zugriff auf und die Sicherung von Quellarbeitslasten (z. B. Compute Engine-Instanzen) erteilen. Dieses Dienstkonto wird nicht für die CMEK-Verschlüsselung von Daten im Backup Vault verwendet.
Wenn Sie CMEK mit Backup und DR verwenden möchten, müssen Sie dem Dienst-Agent für Backup und DR die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen. Dieser Dienst-Agent ist ein Dienstkonto, das Backup und DR verwendet, um in Ihrem Namen auf Ressourcen zuzugreifen, einschließlich des Zugriffs auf Ihren Cloud Key Management Service-Schlüssel bei Verschlüsselungs- und Entschlüsselungsvorgängen.
Der Dienst-Agent für Sicherung und Notfallwiederherstellung hat das folgende Format:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Ersetzen Sie VAULT_PROJECT_NUMBER durch die Projektnummer des Projekts, das Ihren Backup Vault enthält.
Sie können diese Rolle beim Erstellen des Backup Vault über
die Google Cloud Console zuweisen, wenn Sie die Berechtigung zum Zuweisen von IAM-Rollen haben. Alternativ können Sie sie vorab mit dem gcloud kms keys add-iam-policy-binding
Befehl zuweisen:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sie können diese Rolle für einen bestimmten Schlüssel zuweisen, wie im Beispiel gezeigt, oder auf Schlüsselbund- oder Projektebene. Das Zuweisen von Berechtigungen auf Schlüsselebene bietet die detaillierteste Kontrolle und wird für das Prinzip der geringsten Berechtigung empfohlen. Das Zuweisen von Berechtigungen auf Projekt- oder Schlüsselbundebene ist praktischer, wenn Backup and DR mehrere Schlüssel in diesem Bereich verwenden soll, gewährt aber umfassendere Berechtigungen.
Berechtigung zum Sichern von CMEK-geschützten Ressourcen erteilen
Wenn Sie eine Ressource sichern, die selbst mit einem anderen CMEK-Schlüssel verschlüsselt ist, z. B. eine Compute Engine-Instanz mit CMEK-verschlüsselten Laufwerken, sind zusätzliche Berechtigungen erforderlich. Der Dienst-Agent des Dienstes der Quellressource benötigt die Berechtigung, die Schlüssel zu verwenden, die die Quellressource schützen. Wenn Sie beispielsweise eine CMEK-verschlüsselte Compute Engine-Instanz sichern möchten, muss der Compute Engine-Dienst-Agent des Projekts der Quellinstanz die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter für die Cloud Key Management Service-Schlüssel haben, die zum Verschlüsseln der Laufwerke der Instanz verwendet werden. In den meisten Fällen ist diese Berechtigung bereits vorhanden, damit die Quellarbeitslast ausgeführt werden kann.
CMEK mit Backup and DR verwenden
In diesem Abschnitt wird der Workflow zum Schützen von Sicherungen mit CMEK beschrieben.
1. CMEK-fähigen Backup Vault erstellen
Wählen Sie beim Erstellen eines Backup Vaults im Abschnitt Verschlüsselung die Option Kundenverwalteter Verschlüsselungsschlüssel (CMEK) aus und wählen Sie den von Ihnen erstellten Cloud Key Management Service-Schlüssel aus. Sie können CMEK nur beim Erstellen des Vault aktivieren. Es kann für einen vorhandenen Vault nicht aktiviert, deaktiviert oder geändert werden.
2. Sicherungsplan erstellen
Wählen Sie beim Erstellen eines Sicherungsplans den im vorherigen Schritt erstellten CMEK-fähigen Backup Vault als Ziel-Backup Vault für die Sicherungen aus.
3. Sicherungsplan auf Ressourcen anwenden
Wenn Sie einen Sicherungsplan auf eine Ressource anwenden, muss der Sicherungsplan auf einen Backup Vault ausgerichtet sein, der mit der Verschlüsselungskonfiguration der Ressource kompatibel ist:
- Wenn Sie eine Compute Engine-Instanz sichern, an die ein oder mehrere CMEK-verschlüsselte Laufwerke angehängt sind, müssen Sie einen Sicherungsplan verwenden, der auf einen CMEK-fähigen Backup Vault ausgerichtet ist.
- Wenn Sie eine Compute Engine-Instanz sichern, bei der auf allen angehängten Laufwerken die von Google verwaltete Verschlüsselung verwendet wird, können Sie einen Sicherungsplan verwenden, der auf einen nicht CMEK-fähigen oder einen CMEK-fähigen Backup Vault ausgerichtet ist. Wenn Sie einen CMEK-fähigen Backup Vault verwenden, werden die Sicherungen der Instanz mit dem CMEK-Schlüssel des Backup Vault verschlüsselt.
- Wenn Sie einen nichtflüchtigen Speicher sichern, auf dem die von Google verwaltete Verschlüsselung verwendet wird, müssen Sie einen Sicherungsplan verwenden, der auf einen nicht CMEK-fähigen Backup Vault ausgerichtet ist.
Achten Sie darauf, dass Sie die erforderlichen KMS-Berechtigungen erteilt haben, wie unter Berechtigungen für CMEK erteilen beschrieben, damit Sicherungen erfolgreich ausgeführt werden können.
Cloud Key Management Service-Schlüsselrotation und Wiederherstellbarkeit von Sicherungen
Backup und DR unterstützt die Cloud Key Management Service-Schlüsselrotation. Wenn Sie einen Schlüssel rotieren, erstellt Cloud Key Management Service eine neue Schlüsselversion, die zur primären Version wird. Backup and DR verwendet die primäre Schlüsselversion, um alle neuen Sicherungen für Backup Vaults zu verschlüsseln, die mit diesem Schlüssel konfiguriert sind.
Vorhandene Sicherungen werden nicht neu verschlüsselt und bleiben mit der Schlüsselversion verschlüsselt, mit der sie erstellt wurden. Zum Wiederherstellen einer Sicherung muss die Schlüsselversion, mit der sie verschlüsselt wurde, in Cloud Key Management Service verfügbar sein. Wenn Sie eine Schlüsselversion deaktivieren oder löschen, können Sie nicht mehr auf alle mit dieser Version verschlüsselten Sicherungen zugreifen. Damit Ihre Sicherungen wiederhergestellt werden können, deaktivieren oder löschen Sie keine Schlüsselversionen, die noch von Sicherungen verwendet werden, die Sie möglicherweise wiederherstellen müssen.
Wenn Backup and DR aus irgendeinem Grund nicht auf Ihren CMEK-Schlüssel zugreifen kann (z. B. wenn die für die Verschlüsselung oder Entschlüsselung erforderliche Schlüsselversion deaktiviert oder gelöscht wurde oder wenn dem Dienst-Agent für Sicherung und Notfallwiederherstellung IAM-Berechtigungen für den Schlüssel entzogen wurden), kann Folgendes passieren:
- Neue Sicherungen in CMEK-fähigen Backup Vaults schlagen fehl, wenn die primäre Schlüsselversion nicht zugänglich ist.
- Die Wiederherstellung aus Backup Vaults schlägt fehl, wenn die spezifische Schlüsselversion, die zum Verschlüsseln der Sicherung verwendet wurde, nicht zugänglich ist.
- Sie können keine neuen Backup Vaults erstellen, die einen nicht zugänglichen Schlüssel verwenden.
Wenn Sie eine Schlüsselversion deaktiviert haben, die für Sicherungen verwendet wurde, wird der Zugriff auf die mit dieser Version verschlüsselten Sicherungen wiederhergestellt, wenn Sie sie wieder aktivieren. Wenn Sie eine Schlüsselversion löschen, gehen alle mit dieser Schlüsselversion verschlüsselten Sicherungen dauerhaft verloren und können nicht wiederhergestellt werden.
CMEK-Organisationsrichtlinien
Mit Organisationsrichtlinien können Sie die CMEK-Verwendung für Backup and DR-Ressourcen auf Organisations-, Ordner- oder Projektebene erzwingen. Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien.
Wenn ein Backup Vault erstellt oder eine Sicherung in Verletzung dieser Richtlinien versucht wird, schlägt der Vorgang fehl. Wenn Sie eine CMEK-Organisationsrichtlinie erzwingen, nachdem Sie Sicherungspläne erstellt haben, schlagen alle vorhandenen Sicherungszeitpläne aus diesen Plänen fehl, wenn sie nicht mit der Richtlinie übereinstimmen. Sie können diese Richtlinien unabhängig voneinander oder in Kombination verwenden, um die CMEK-Anforderungen Ihrer Organisation zu erfüllen.
In den folgenden Abschnitten wird beschrieben, wie sich die Einschränkungen der CMEK-Organisationsrichtlinien auf verschiedene Backup and DR-Ressourcen auswirken.
Backup Vault-Container
Wenn Sie CMEK-Organisationsrichtlinien verwenden, können die folgenden Einschränkungen beim Erstellen von Backup Vaults erzwungen werden:
- Wenn
constraints/gcp.restrictNonCmekServicesfürbackupdr.googleapis.comerzwungen wird, müssen Sie CMEK konfigurieren, wenn Sie einen neuen Backup Vault erstellen. Sie können keinen Backup Vault erstellen, der die von Google verwaltete Verschlüsselung verwendet. - Wenn
constraints/gcp.restrictCmekCryptoKeyProjectserzwungen wird und Sie einen CMEK-fähigen Backup Vault erstellen, müssen Sie einen Schlüssel aus einem zulässigen Projekt oder Ordner auswählen.
Backups im Ruhezustand
Wenn Sie CMEK-Organisationsrichtlinien verwenden, können die folgenden Einschränkungen beim Erstellen von Sicherungen erzwungen werden:
- Wenn
constraints/gcp.restrictNonCmekServicesfürbackupdr.googleapis.comerzwungen wird, können keine neuen Sicherungen erstellt werden, wenn sie die von Google verwaltete Verschlüsselung anstelle von CMEK verwenden:- Sicherung einer Compute Engine-Instanz: Die Sicherung schlägt fehl, wenn der Ziel Backup Vault die von Google verwaltete Verschlüsselung verwendet.
- Sicherung eines nichtflüchtigen Speichers: Die Sicherung schlägt fehl, wenn der nichtflüchtige Quellspeicher die von Google verwaltete Verschlüsselung verwendet.
- Wenn
constraints/gcp.restrictCmekCryptoKeyProjectserzwungen wird, müssen Ressourcen, die durch CMEK geschützt sind, einen Schlüssel aus einem zulässigen Projekt oder Ordner verwenden:- Sicherung einer Compute Engine-Instanz: Wenn der Backup Vault CMEK-verschlüsselt ist, muss der Schlüssel aus einem zulässigen Projekt oder Ordner stammen. Andernfalls schlagen Sicherungen in diesem Vault fehl.
- Sicherung eines nichtflüchtigen Speichers: Wenn der nichtflüchtige Quellspeicher CMEK-verschlüsselt ist, muss der Schlüssel aus einem zulässigen Projekt oder Ordner stammen. Andernfalls schlagen Sicherungen dieses Laufwerks fehl. Für Sicherungen von nichtflüchtigen Speichern wird der Verschlüsselungsschlüssel des Quelllaufwerks verwendet, um die Sicherungen zu schützen, nicht der Schlüssel des Backup Vault.
Preise
Für die Verwendung von CMEK fallen bei Backup and DR keine zusätzlichen Gebühren an. Sie werden jedoch für die Verwendung Ihrer Schlüssel in Cloud Key Management Service in Rechnung gestellt. Weitere Informationen finden Sie unter Cloud Key Management Service – Preise.
Nächste Schritte
- Informationen zum Erstellen und Verwalten von Backup Vaults