שימוש במפתחות הצפנה בניהול הלקוח (CMEK)

כברירת מחדל, תוכן של לקוחות ב-Colab Enterprise מוצפן במנוחה. ‫Colab Enterprise מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Colab Enterprise. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים באמצעות CMEK, חוויית הגישה למשאבים של Colab Enterprise דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

במדריך הזה מוסבר איך להשתמש ב-CMEK ב-Colab Enterprise.

למידע נוסף על השימוש ב-CMEK ב-Gemini Enterprise Agent Platform, אפשר לעיין בדף בנושא CMEK ב-Agent Platform.

CMEK ל-Colab Enterprise

אפשר להשתמש ב-CMEK כדי להצפין את זמני הריצה של Colab Enterprise ואת קובצי ה-notebook (מחברות).

זמני ריצה

כשמריצים קוד ב-notebook של Colab Enterprise, סביבת זמן ריצה מריצה את הקוד במכונה וירטואלית אחת או יותר שמנוהלות על ידי Colab Enterprise. כשמפעילים CMEK בסביבות זמן הריצה של Colab Enterprise, המפתח שאתם מציינים, ולא מפתח שמנוהל על ידי Google, משמש להצפנת הנתונים במכונות הווירטואליות האלה. מפתח ה-CMEK מצפין את סוגי הנתונים הבאים:

  • עותק של הקוד במכונות הווירטואליות.
  • כל הנתונים שנטענים על ידי הקוד.
  • כל הנתונים הזמניים שנשמרים בדיסק המקומי על ידי הקוד.

אתם יכולים להתחיל, להפסיק ולשדרג את זמן הריצה בלי להשפיע על ההצפנה שלו באמצעות CMEK.

באופן כללי, מפתח ה-CMEK לא מצפין מטא-נתונים שמשויכים לפעולה שלכם, כמו שם זמן הריצה או השם והאזור של המחברת. המטא-נתונים האלה תמיד מוצפנים באמצעות מנגנון ההצפנה שמוגדר כברירת מחדל ב-Google.

קובצי Notebook

קובצי notebook של Colab Enterprise מאוחסנים במאגרי Dataform. כשיוצרים notebook, ‏ Colab Enterprise יוצר באופן אוטומטי מאגר Dataform מוסתר שבו ה-notebook נשמר. מאחר שהמאגר מוסתר, אי אפשר לשנות את הגדרות ההצפנה שלו כמו במאגרי Dataform אחרים.

כדי להשתמש ב-CMEK במחברות, צריך להגדיר מפתח CMEK של Dataform כברירת מחדל עבור Google Cloud הפרויקט שיכיל את המחברות. אחרי שמגדירים מפתח CMEK כברירת מחדל ב-Dataform, המערכת מחילה את המפתח על כל המאגרים החדשים שנוצרים בפרויקט, כולל מאגרים מוסתרים שנוצרו לאחסון מחברות. Google Cloud

מפתח ה-CMEK שמוגדר כברירת מחדל ב-Dataform לא חל על מאגרי נתונים קיימים. לכן, אם כבר יש לכם מחברות באותו פרויקט, הן לא יוצפנו באמצעות מפתח ה-CMEK שמוגדר כברירת מחדל ב-Dataform. כדי להשתמש ב-CMEK עם notebook שנוצר לפני שהגדרתם את מפתח ה-CMEK שמוגדר כברירת מחדל בפרויקט Dataform, אתם יכולים לשמור את קובץ ה-notebook כ-notebook חדש של Colab Enterprise.

מידע נוסף על מפתחות CMEK שמוגדרים כברירת מחדל ב-Dataform זמין במאמר שימוש במפתחות CMEK שמוגדרים כברירת מחדל ב-Dataform.

כדי להשתמש ב-CMEK במחברות, אפשר לעיין במאמר הגדרת מפתח CMEK של Dataform כברירת מחדל.

מפתחות נתמכים

‫Colab Enterprise תומך בסוגים הבאים של מפתחות CMEK:

הזמינות של המפתחות משתנה לפי סוג המפתח והאזור. מידע נוסף על הזמינות הגיאוגרפית של מפתחות CMEK מופיע במאמר מיקומים ב-Cloud KMS.

הגבלות ומגבלות

‫Colab Enterprise תומך ב-CMEK עם ההגבלות והמגבלות הבאות:

  • המכסה שמוגדר כברירת מחדל ב-Agent Platform הוא מפתח הצפנה אחד לכל פרויקט ואזור. אם אתם צריכים לרשום יותר ממפתח אחד לאזור בפרויקט, אתם יכולים לפנות לצוות של חשבון Google שלכם ולבקש להגדיל את המכסה של הגדרות CMEK. בבקשה, עליכם להסביר למה אתם צריכים יותר ממפתח אחד.

מכסות Cloud KMS ו-Colab Enterprise

כשמשתמשים ב-CMEK ב-Colab Enterprise, הפרויקטים יכולים לנצל את מכסות הבקשות הקריפטוגרפיות של Cloud KMS. פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על מכסות Cloud KMS רק אם משתמשים במפתחות חומרה (Cloud HSM) או במפתחות חיצוניים (Cloud EKM). מידע נוסף זמין במאמר בנושא מכסות ב-Cloud KMS.

הגדרת CMEK לסביבות זמן הריצה

בקטעים הבאים מוסבר איך ליצור מחזיק מפתחות ומפתח ב-Cloud Key Management Service, איך להעניק הרשאות הצפנה ופענוח של Colab Enterprise למפתח ואיך ליצור תבנית של סביבת ריצה שמוגדרת לשימוש ב-CMEK. כל סביבת זמן ריצה ש-Colab Enterprise יוצרת מתבנית זמן הריצה הזו משתמשת בהצפנת CMEK.

לפני שמתחילים

במדריך הזה אנחנו יוצאים מנקודת הנחה שאתם משתמשים בשני פרויקטים נפרדים של Google Cloud Google כדי להגדיר CMEK לסביבות זמן ריצה של Colab Enterprise:

  • פרויקט לניהול מפתח ההצפנה (נקרא 'פרויקט Cloud KMS').
  • פרויקט לגישה למשאבים של Colab Enterprise ולשימוש בכל מוצר אחר של Google Cloud שאתם צריכים (נקרא 'פרויקט Notebook').

ההגדרה המומלצת הזו תומכת בהפרדה בין תפקידים.

אפשר גם להשתמש בפרויקט Google Cloud אחד לכל המדריך. כדי לעשות זאת, משתמשים באותו פרויקט לכל המשימות הבאות שמתייחסות לפרויקט Cloud KMS ולמשימות שמתייחסות לפרויקט Notebook.

הגדרת הפרויקט ב-Cloud KMS

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

הגדרת פרויקט Notebook

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Gemini Enterprise Agent Platform API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

הגדרת Google Cloud CLI

חלק מהשלבים במדריך הזה מחייבים שימוש ב-CLI של gcloud, ואחרים לא.

התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

gcloud init

אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

יצירה של אוסף מפתחות ומפתח

פועלים לפי המדריך ליצירת מפתחות סימטריים ב-Cloud KMS כדי ליצור אוסף מפתחות ומפתח. כשיוצרים את מחזיק המפתחות, צריך לציין אזור שתומך בפעולות של Colab Enterprise בתור המיקום של מחזיק המפתחות. ‫Colab Enterprise תומך ב-CMEK רק אם זמן הריצה והמפתח משתמשים באותו אזור. אסור לציין מיקום בשני אזורים, במספר אזורים או מיקום גלובלי עבור מחזיק המפתחות.

חשוב ליצור את אוסף המפתחות והמפתח בפרויקט Cloud KMS.

מתן הרשאות ל-Colab Enterprise

כדי להשתמש ב-CMEK עבור המשאבים שלכם, אתם צריכים להעניק ל-Colab Enterprise הרשאה להצפין ולפענח נתונים באמצעות המפתח שלכם. ‫Colab Enterprise משתמש בסוכן שירות שמנוהל על ידי Google כדי להפעיל פעולות באמצעות המשאבים שלכם. חשבון השירות הזה מזוהה באמצעות כתובת אימייל בפורמט הבא: service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com.

כדי למצוא את חשבון השירות המתאים לפרויקט Notebook, עוברים לדף IAM במסוףGoogle Cloud ומחפשים את החבר שתואם לפורמט של כתובת האימייל הזו, כשמספר הפרויקט של פרויקט Notebook מחליף את המשתנה NOTEBOOK_PROJECT_NUMBER. לחשבון השירות יש גם את השם Vertex AI Service Agent.

מעבר לדף IAM

רושמים את כתובת האימייל של חשבון השירות הזה ומשתמשים בה בשלבים הבאים כדי לתת לו הרשאה להצפין ולפענח נתונים באמצעות המפתח. אפשר להעניק הרשאה באמצעות מסוף Google Cloud או באמצעות Google Cloud CLI:

מסוף Google Cloud

  1. במסוף Google Cloud , לוחצים על Security ובוחרים באפשרות Key Management. תועברו לדף Cryptographic Keys ותצטרכו לבחור את פרויקט Cloud KMS.

    כניסה לדף Cryptographic Keys

  2. לוחצים על השם של אוסף המפתחות שיצרתם בקטע הקודם של המדריך הזה כדי לעבור לדף Key ring details (פרטי אוסף המפתחות).

  3. מסמנים את התיבה של המפתח שיצרתם בקטע הקודם של המדריך הזה. אם חלונית המידע עם השם של המפתח לא פתוחה, לוחצים על Show info panel.

  4. בחלונית המידע, לוחצים על הוספת חברים כדי לפתוח את תיבת הדו-שיח הוספת חברים לKEY_NAME. בתיבת הדו-שיח הזו: מבצעים את הפעולות הבאות:

    1. בתיבה New members, מזינים את כתובת האימייל בחשבון השירות שרשמתם לעצמכם בקטע הקודם: service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com

    2. בתפריט הנפתח Select a role, לוחצים על Cloud KMS ואז בוחרים בתפקיד Cloud KMS CryptoKey Encrypter/Decrypter.

    3. לוחצים על Save.

gcloud

מריצים את הפקודה הבאה:

gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

בפקודה הזו, מחליפים את ה-placeholder הבאים:

  • KEY_NAME: השם של המפתח שיצרתם בקטע הקודם של המדריך הזה.
  • KEY_RING_NAME: אוסף המפתחות שיצרתם בקטע הקודם במדריך הזה.
  • REGION: האזור שבו יצרתם את אוסף המפתחות.
  • KMS_PROJECT_ID: מזהה הפרויקט ב-Cloud KMS.
  • NOTEBOOK_PROJECT_NUMBER: מספר הפרויקט של פרויקט Notebook, שרשמתם בקטע הקודם כחלק מכתובת האימייל בחשבון השירות.

הגדרת תבנית של זמן ריצה עם מפתח KMS

כשיוצרים משאב שתומך ב-CMEK, אפשר לציין את המפתח כאחד מפרמטרי היצירה. כדי ליצור סביבת ריצה של Colab Enterprise, יוצרים תבנית של סביבת ריצה עם מפתח ה-CMEK שצוין כפרמטר. כל סביבת זמן ריצה ש-Colab Enterprise יוצרת מתבנית זמן הריצה הזו משתמשת בהצפנת CMEK.

כדי ליצור תבנית בזמן ריצה באמצעות Google Cloud מסוף, מציינים את המפתח בתיבת הדו-שיח יצירת תבנית חדשה בזמן ריצה. צריך לבצע את הפעולות הבאות:

  1. במסוף Google Cloud , נכנסים לדף Runtime templates של Colab Enterprise.

    מעבר אל Runtime templates

  2. לוחצים על  תבנית חדשה.

    מופיעה תיבת הדו-שיח יצירת תבנית חדשה של זמן ריצה.

  3. בקטע Configure compute, בהגדרה Encryption, בוחרים באפשרות Cloud KMS key.

  4. בקטע Key type (סוג המפתח), בוחרים באפשרות Cloud KMS, ואז בשדה הבא בוחרים את מפתח ההצפנה בניהול הלקוח.

  5. משלימים את שאר השדות בתיבת הדו-שיח ליצירת מכונה, ואז לוחצים על יצירה.

    תבנית זמן הריצה מופיעה ברשימה בכרטיסייה Runtime templates (תבניות זמן ריצה).

המאמרים הבאים