Mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) können Sie Ihre Backup and DR Service-Daten mit einem kryptografischen Schlüssel schützen, den Sie über Cloud Key Management Service (Cloud KMS) verwalten. Wenn Sie CMEK verwenden, verwalten Sie den Schlüssel im Cloud Key Management Service und können steuern, wer darauf zugreifen kann, indem Sie die Berechtigungen für Identity and Access Management für den Schlüssel verwalten. Wenn Sie den CMEK-Schlüssel vorübergehend deaktivieren oder dauerhaft löschen, sind die mit diesem Schlüssel geschützten Daten nicht mehr zugänglich.
Der Backup and DR Service verwendet CMEK, um Sicherungsdaten zu schützen, die in Backup Vaults gespeichert sind.
Sie können CMEK für einen Sicherungstresor nur beim Erstellen konfigurieren. Sie können CMEK für einen vorhandenen Backup-Tresor nicht aktivieren oder deaktivieren.
Weitere Informationen zu CMEK im Allgemeinen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Berechtigungen, die für die Verwendung von CMEK erforderlich sind
Bevor Sie CMEK verwenden können, müssen Sie Folgendes tun:
Aktivieren Sie die Cloud Key Management Service API für das Projekt, in dem Ihre CMEK-Schlüssel gespeichert werden.
Cloud Key Management Service-Schlüsselbund und Service-Schlüssel erstellen Achten Sie beim Erstellen des Schlüssels darauf, dass Sie einen Standort auswählen, der dem Standort Ihres Backup Vaults entspricht. Für einen Backup Vault in einer Region muss ein Schlüssel aus derselben Region verwendet werden. Für eine multiregionale Backup Vault muss ein Schlüssel aus derselben Multiregion verwendet werden.
Erstellen Sie die Dienst-Agent-Identität für den Backup- und DR-Dienst, falls sie noch nicht vorhanden ist. Der Dienst-Agent wird automatisch erstellt, nachdem der erste Sicherungstresor in einem Projekt erstellt wurde. Wenn Sie dem Dienst-Agent Berechtigungen gewähren müssen, bevor Sie einen Backup Vault erstellen, können Sie die Erstellung mit dem folgenden Befehl auslösen:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDdurch die ID Ihres Projekts.
Wenn Sie CMEK für einen Sicherungstresor aktivieren, benötigt Backup and DR Service die Berechtigung, Ihren CMEK-Schlüssel zum Verschlüsseln und Entschlüsseln von Daten zu verwenden. Diese Berechtigung muss dem Dienst-Agent des Dienstes für Sicherung und Notfallwiederherstellung erteilt werden.
Es ist wichtig, zwischen zwei verschiedenen Dienstkonten zu unterscheiden, die vom Backup and DR Service verwendet werden:
- Dienstagent für den Backup- und DR-Dienst: Dies ist ein Dienstkonto auf Projektebene, das zum Verwalten von Backup- und DR-Dienstressourcen und zum Zugreifen auf Cloud Key Management Service-Schlüssel verwendet wird, wenn CMEK für einen Backup Vault aktiviert ist. Dies ist der Dienst-Agent, der die Rolle
roles/cloudkms.cryptoKeyEncrypterDecrypterfür den CMEK-Schlüssel benötigt. - Dienstkonto für Backup-Vault: Dies ist ein eindeutiges Dienstkonto pro Vault, dem Sie Berechtigungen für den Zugriff auf und die Sicherung von Quellarbeitslasten (z. B. Compute Engine-Instanzen) gewähren. Dieses Dienstkonto wird nicht für die CMEK-Verschlüsselung von Daten im Sicherungstresor verwendet.
Wenn Sie CMEK mit dem Backup and DR Service verwenden möchten, müssen Sie dem Dienst-Agent des Backup and DR Service die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles/cloudkms.cryptoKeyEncrypterDecrypter) zuweisen. Dieser Dienst-Agent ist ein Dienstkonto, das vom Backup and DR Service verwendet wird, um in Ihrem Namen auf Ressourcen zuzugreifen, einschließlich Ihres Cloud Key Management Service-Schlüssels bei Verschlüsselungs- und Entschlüsselungsvorgängen.
Der Dienst-Agent für den Backup- und DR-Dienst hat das folgende Format:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Ersetzen Sie VAULT_PROJECT_NUMBER durch die Projektnummer des Projekts, das Ihren Backup-Tresor enthält.
Sie können diese Rolle beim Erstellen des Sicherungstresors über die Google Cloud -Konsole zuweisen, wenn Sie die Berechtigungen zum Zuweisen von IAM-Rollen haben. Alternativ können Sie sie vorab mit dem Befehl gcloud kms keys add-iam-policy-binding zuweisen:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Berechtigungen zum Sichern von CMEK-geschützten Ressourcen
Wenn Sie eine Ressource sichern, die selbst mit einem anderen CMEK-Schlüssel verschlüsselt ist, z. B. eine Compute Engine-Instanz mit CMEK-verschlüsselten Festplatten, sind zusätzliche Berechtigungen erforderlich. Der Dienst-Agent des Dienstes der Quellressource benötigt die Berechtigung zur Verwendung der Schlüssel, mit denen die Quellressource geschützt wird. Wenn Sie beispielsweise eine CMEK-verschlüsselte Compute Engine-Instanz sichern möchten, muss der Compute Engine-Dienst-Agent des Projekts der Quellinstanz die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter für die Cloud Key Management Service-Schlüssel haben, die zum Verschlüsseln der Instanzlaufwerke verwendet werden. In den meisten Fällen ist diese Berechtigung bereits vorhanden, damit die Quellarbeitslast funktioniert.
Cloud Key Management Service-Schlüsselrotation und Wiederherstellbarkeit von Sicherungen
Sicherungen des Backup- und DR-Dienstes sind von der Verfügbarkeit des Cloud Key Management Service-Schlüssels abhängig. Der Backup- und DR-Dienst kann möglicherweise nicht auf Ressourcen zugreifen, die durch diesen Schlüssel geschützt sind.
Wenn der Backup- und DR-Dienst nicht auf Ihren CMEK-Schlüssel zugreifen kann:
- Neue Sicherungen im CMEK-fähigen Backup Vault schlagen fehl.
- Die Wiederherstellung aus dem CMEK-fähigen Backup Vault schlägt fehl.
- Sie können keine neuen Backup Vaults erstellen, die den nicht verfügbaren Schlüssel verwenden.
Wenn Sie einen Schlüssel deaktiviert haben, der für Sicherungen verwendet wurde, wird durch die Reaktivierung der Zugriff auf die Sicherungsdaten wiederhergestellt. Wenn Sie eine Schlüsselversion gelöscht haben, gehen alle mit dieser Schlüsselversion verschlüsselten Sicherungen dauerhaft verloren.
Preise
Für die Verwendung von CMEK fallen im Backup- und DR-Dienst keine zusätzlichen Gebühren an. Die Verwendung Ihrer Schlüssel im Cloud Key Management Service ist jedoch kostenpflichtig. Weitere Informationen finden Sie unter Cloud Key Management Service – Preise.