設定 CMEK

支援語言:

本文說明如何為 Google Security Operations 設定客戶自行管理的加密金鑰 (CMEK)。根據預設,Google SecOps 會使用 Google 預設加密功能,為客戶的靜態資料加密,您無需採取任何額外行動。不過,如要進一步控管加密金鑰,或機構有相關規定,Google SecOps 執行個體可使用 CMEK。

CMEK 是您擁有、管理及儲存在 Cloud Key Management Service 的加密金鑰。使用 CMEK 可全權掌控加密金鑰,包括管理金鑰的生命週期、輪替和存取政策。設定 CMEK 後,服務會自動使用指定的金鑰加密所有資料。進一步瞭解 CMEK

CMEK 適用於所有支援 Google SecOps 的區域。如要查看 Google SecOps 支援的完整區域清單,請參閱 SecOps 服務位置頁面

在 Cloud KMS 中使用 CMEK

如要控管加密金鑰,您可以在 Cloud KMS 中使用 CMEK,搭配整合 CMEK 的服務 (包括 Google SecOps),方法如下:

  • 您可以在 Cloud KMS 中管理及儲存這些金鑰。
  • Google SecOps Data Lake 中的靜態資料會經過加密。
  • 使用 CMEK 設定 Google SecOps 執行個體時,系統會使用選取的 Cloud KMS 金鑰,加密資料湖中的靜態資料。
  • 視使用模式而定,搭配 Cloud KMS 使用 CMEK 可能會產生額外費用。

進一步瞭解 Cloud KMS 定價

Cloud KMS 的功能適用情形

下表摘要列出 Google SecOps 客戶使用 Cloud KMS 時可用的主要功能:

功能 Cloud KMS 狀態 路線圖 / 預計到達時間 附註/詳細資料
資料表 符合 Cloud KMS 規定 可用
Gemini / AI 功能 在 Cloud KMS 環境中啟用 AI 功能;不符合 Cloud KMS 規範 2025 年 6 月 30 日 允許 Cloud KMS 客戶在 Google SecOps 功能中使用 Gemini,但 Cloud KMS 不支援這項功能。包括:自然語言查詢、規則、劇本、PlaybooksChat / 調查助理、分流代理程式 (2025 年第 3 季推出私人測試版,2025 年第 4 季推出公開測試版)。不含 SecOps Lab。如要瞭解新 AI 功能的 Cloud KMS 時間表,請視情況提出要求。
Gemini / AI 功能 完整支援 Cloud KMS 1 月 26 日 (確切時間表待定,視依附元件而定) 包括:自然語言查詢、規則、劇本、PlaybooksChat / 調查助理、分流代理程式 (公開測試版,正式版待定)。不含 SecOps Lab。如要瞭解新 AI 功能的 Cloud KMS 時間表,請視情況提出要求。
BigQuery 匯出 標準版/企業版:BYOBQ → 符合 Cloud KMS 規範 不公開預先發布版 對於 Enterprise Plus,我們將改用新的 BigQuery 進階版服務,目前為不公開預先發布版,且符合 Cloud KMS 規範。對於 Cloud KMS 和 VPC Service Controls 使用者,直接存取 TLA 專案進行匯出作業可能會遭到封鎖 (導致匯出功能無法運作),或是這個直接存取路徑會維持不符規範的狀態。
Looker 資訊主頁 不符合 Cloud KMS 規定 已淘汰,改用內建資訊主頁 內建資訊主頁將成為未來的主要資訊主頁功能,且已符合 Cloud KMS 規範。
內建資訊主頁 有附件的電子郵件 - 不符合 Cloud KMS 端對端加密規定 第 1 階段預計時間:2025 年 12 月初 這個選項的安全性較低,因為電子郵件伺服器和用戶端收到附件後,Google SecOps 就無法控管。
內建資訊主頁 電子郵件 (內含報表的 Cloud Storage 值區連結) - 符合 Cloud KMS 規定 第 2 階段預計時間:待定 這項選項符合 Cloud KMS 規定,因為報表會儲存在 Cloud Storage 中,並以 Cloud KMS 加密。
資料輕觸 不適用於服務 (不會再納入正式發布考量) 不會進入全面開放使用階段 為所有 Google SecOps 服務啟用 Cloud KMS 和 VPC Service Controls 支援時,系統會排除 DataTap。

啟用 CMEK

以下步驟概略說明如何透過 Google SecOps 導入 CMEK:

  1. 設定 Google SecOps 專案:接受佈建邀請即可開始。 Google Cloud Google SecOps 專家團隊會負責處理專門的設定和整合作業。
  2. 在您打算代管執行個體的區域中建立 Cloud KMS 金鑰
  3. 建立新的 Google SecOps 執行個體,然後選取您在步驟 2 中建立的 CMEK 金鑰。建立執行個體時,系統會提示您授予 Google SecOps 這項金鑰的存取權。
  4. 選用:為每個金鑰設定金鑰輪替時間表。Google 建議採用這項安全做法,盡量降低金鑰遭盜用的影響。

完成新手上路程序後,您就不再需要透過 API 或 UI 為該執行個體提供金鑰。

金鑰管理

Google 建議您使用 Cloud KMS 管理金鑰。在 Cloud KMS 傳播金鑰變更之前,Google SecOps 無法偵測或採取任何行動。

Google SecOps 支援下列兩種金鑰管理方式:

管理金鑰輪替

您必須先銷毀金鑰,才能刪除金鑰,步驟如下:

  1. 停用金鑰或金鑰版本。這個步驟通常是選用步驟,但部分機構政策規定必須先停用金鑰,才能銷毀金鑰。
  2. 刪除金鑰版本。
  3. 刪除金鑰。

資料存取權和永久資料遺失

Google 建議您監控記錄,在仍有時間防止資料遺失時,偵測無法使用的金鑰。

Google SecOps 無法再存取資料後,資料會在 30 天後刪除。

使用者有意採取行動 (例如撤銷金鑰) 或無意採取行動 (例如 EKM 連線中斷),都可能導致 Google SecOps 無法存取資料。也就是說,Google SecOps 無法讀取、寫入或更新現有資料,也無法擷取、儲存或處理任何新資料。

如果 Google SecOps 重新取得資料存取權 (例如重新啟用金鑰時),Google SecOps 會自動開始擷取及處理新資料。不過,系統最多可能需要兩週的時間,才能完全恢復這些作業。

CMEK 機構政策限制

如要強制 Google SecOps 使用 CMEK,您可以在機構、資料夾或專案層級套用下列機構政策限制:

  • constraints/gcp.restrictNonCmekServices:要求服務使用 CMEK。如果您在機構上強制執行 constraints/gcp.restrictNonCmekServices,並將 Google SecOps 列為受限制的服務,則建立 Google SecOps 執行個體時,必須選取 CMEK 金鑰。

  • constraints/gcp.restrictCmekCryptoKeyProjects:規定 Google SecOps 的 CMEK 金鑰必須來自特定專案或一組專案。

如果您在包含 Google SecOps 執行個體的組織中,同時強制執行這兩項限制,則必須使用您套用組織政策時指定的專案金鑰啟用 CMEK。

如要瞭解機構政策在Google Cloud 資源階層 (機構、資料夾和專案) 中的評估方式,請參閱「瞭解階層評估」。

如要瞭解如何使用 CMEK 組織政策,請參閱「CMEK 組織政策」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求解答。