Looker Studio heißt jetzt Data Studio. Weitere Informationen.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)

Data Studio verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Data Studio übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie kundenverwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Data Studio verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Data Studio-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Mit CMEK können Sie Ihre eigenen kryptografischen Schlüssel zum Verschlüsseln ruhender Data Studio Pro-Daten verwenden. Mit CMEK haben Sie zusätzliche Kontrolle über Ihre Daten und können interne oder externe Compliance-Vorschriften einhalten.

CMEK und kundenseitig verwalteter Speicher

Wenn Sie CMEK aktivieren, müssen Sie auch die Option für vom Kunden verwalteten Speicher von Data Studio Pro aktivieren. Damit können Sie Cloud Storage und BigQuery verwenden, um Daten im Google Cloud-Projekt von Data Studio Pro zu speichern. Data Studio Pro verwendet Ihre Cloud Key Management Service-Schlüssel, um Ressourcen wie Berichts- und Datenquellenkonfigurationen sowie geplante E-Mails zu schützen. Für Datenextrakte und Datei-Uploads, die in Ihrem Google Cloud -Projekt gespeichert sind, können Sie Ihre Daten schützen, indem Sie CMEK auf Ihre Google Cloud Speicherressourcen anwenden.

Hinweis

Damit Sie CMEK aktivieren und verwenden können, müssen die folgenden Voraussetzungen erfüllt sein:

Sie können CMEK nur aktivieren, wenn Sie ein neues Data Studio Pro-Abo erstellen.
Wenn Sie CMEK aktivieren möchten, müssen Sie auch kundenverwalteten Speicher aktivieren und konfigurieren. Für kundenverwalteten Speicher müssen Sie einen Cloud Storage-Bucket und ein BigQuery-Dataset in Ihrem Google Cloud -Projekt angeben, die Data Studio Pro zum Speichern von Datenextrakten und Datei-Uploads verwenden kann. Um die in diesen Ressourcen gespeicherten Daten zu schützen, können Sie CMEK-Konfigurationen auf sie anwenden.
Wenn Sie CMEK aktivieren möchten, müssen Sie auch einen Datenspeicherort aktivieren und konfigurieren.
Sie benötigen einen symmetrischen Verschlüsselungsschlüssel in Cloud KMS, den Sie für CMEK verwenden können. Dieser Schlüssel muss sich in derselben Region befinden, die Sie für den Datenspeicherort auswählen.
Sie benötigen die erforderlichen IAM-Rollen, um Schlüssel in Cloud KMS zu erstellen. Weitere Informationen finden Sie unter Erforderliche Rollen.

CMEK für ein Abo aktivieren

Sie können CMEK nur beim Erstellen eines neuen Data Studio Pro-Abos aktivieren. Sie können CMEK nicht für ein vorhandenes Pro-Abo aktivieren.

So aktivieren Sie CMEK, wenn Sie ein neues Data Studio Pro-Abo erstellen:

Wählen Sie bei Aufforderung Kundenverwalteten Verschlüsselungsschlüssel verwenden aus.
Geben Sie den Namen der Schlüsselressource in das Feld Name der Schlüsselressource ein oder fügen Sie ihn dort ein.
Weisen Sie dem in der Benutzeroberfläche angezeigten Data Studio Pro-Dienstkonto die Rolle Cloud KMS CryptoKey Encrypter/Decrypter in Cloud KMS zu.
Klicken Sie auf Weiter, um mit der Einrichtung des Abos fortzufahren.

Was wird mit CMEK verschlüsselt?

Wenn Sie CMEK für Ihr Data Studio Pro-Abo aktivieren, wird die Verschlüsselung von Kundeninhalten auf zwei Arten gehandhabt:

Daten, die von Data Studio Pro mit Ihrem Cloud KMS-Schlüssel verschlüsselt werden:Data Studio Pro verwendet den von Ihnen angegebenen Schlüssel zum Verschlüsseln von Daten wie Berichts- und Datenquellenkonfigurationen sowie geplanten E-Mails.
Daten, die in Ihrem Google Cloud Projekt gespeichert sind:Wenn Sie CMEK aktivieren, müssen Sie kundenseitig verwalteten Speicher verwenden. Die folgenden Datentypen werden in Cloud Storage- und BigQuery-Ressourcen gespeichert, die Sie bereitstellen:
- Datenextraktionen
- CSV- und Excel-Dateiuploads: Diese Ressourcen werden mit allen CMEK-Konfigurationen verschlüsselt, die Sie in Cloud Storage und BigQuery darauf anwenden. Data Studio Pro wendet CMEK nicht automatisch auf diese Ressourcen an, wenn Sie CMEK für Ihr Abo aktivieren.

Schlüsselverwaltung

Als Sicherheits- oder Compliance-Administrator können Sie mit Cloud KMS Schlüsselverwaltungsaufgaben ausführen. Data Studio Pro ruft Cloud KMS für alle Ver- und Entschlüsselungsvorgänge auf.

Sie können die folgenden Schlüsselverwaltungsaufgaben ausführen:

Schlüsselwiderruf:Sie können den Zugriff von Data Studio Pro auf einen Schlüssel widerrufen, um Ihre Daten sofort unzugänglich zu machen.
Auditierung:Sie können die Protokolle für den Schlüsselzugriff in Cloud KMS prüfen, um jeden Vorgang zu auditieren, bei dem Ihre Schlüssel zum Ver- oder Entschlüsseln von Daten verwendet wurden.

Schlüsselrotation

Wenn Sie Ihren Schlüssel rotieren, erstellt Cloud KMS eine neue Version des Schlüssels, mit der neue Assets verschlüsselt werden. Vorhandene Assets werden nicht neu verschlüsselt und sind weiterhin durch die Schlüsselversion geschützt, mit der sie verschlüsselt wurden. In Data Studio Pro wird das erneute Verschlüsseln vorhandener Assets mit der neuen Schlüsselversion nicht unterstützt.

Da frühere Schlüsselversionen weiterhin erforderlich sind, um auf vorhandene Assets zuzugreifen, die damit verschlüsselt wurden, sollten Sie frühere Schlüsselversionen nicht löschen oder deaktivieren, es sei denn, Sie möchten den Zugriff auf diese Assets dauerhaft entfernen. Wenn Sie eine Schlüsselversion löschen oder deaktivieren, mit der Daten geschützt werden, sind diese Daten nicht mehr zugänglich.

Wenn Ihr CMEK-Schlüssel nicht mehr verfügbar ist, z. B. wenn Sie den Schlüssel deaktivieren oder löschen, gibt Data Studio Pro Fehlermeldungen zurück, anstatt Berichte oder Datenquellen mit den verschlüsselten Daten anzuzeigen. Alle Daten, die im Arbeitsspeicher gespeichert sind, werden innerhalb von 15 Minuten nach dem Erkennen eines deaktivierten Schlüssels gelöscht. Die Data Studio-Startseite ist weiterhin zugänglich, da sie keine Kundeninhalte enthält.

Cloud KMS-Kontingente und Data Studio

Wenn Sie CMEK in Data Studio verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. Jedes Mal, wenn Data Studio Pro einen Ihrer Schlüssel zum Verschlüsseln oder Entschlüsseln von Daten verwendet, wird dieser Vorgang auf das Kontingent Ihres Projekts angerechnet.

Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich auf die Cloud KMS-Kontingente so aus:

Für in Cloud KMS generierte Software-CMEK-Schlüssel wird kein Cloud KMS-Kontingent verbraucht.
Bei Hardware-CMEK-Schlüsseln (manchmal auch Cloud HSM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud HSM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.
Bei externen CMEK-Schlüsseln (manchmal auch Cloud EKM-Schlüssel genannt) werden Verschlüsselungs- und Entschlüsselungsvorgänge auf Cloud EKM-Kontingente in dem Projekt angerechnet, das den Schlüssel enthält.

Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Einschränkungen von CMEK

Für CMEK gelten die folgenden Einschränkungen:

Sie können CMEK nur aktivieren, wenn Sie ein neues Data Studio Pro-Abo erstellen. Sie können CMEK für ein vorhandenes Abo nicht aktivieren oder deaktivieren.
Sie können Inhalte aus einem CMEK-aktivierten Projekt nur in ein anderes Projekt mit einem aktiven Data Studio Pro-Abo verschieben.
Wenn Sie von Data Studio Pro auf die kostenlose Version von Data Studio downgraden oder Ihr Abo gekündigt wird, funktionieren die CMEK-Funktionen noch 30 Tage lang. Danach werden Datenquellen, die mit CMEK erstellt wurden, gelöscht.
Wenn Sie von Data Studio Pro auf die kostenlose Version von Data Studio downgraden oder Ihr Abo gekündigt wird, müssen Sie 30 Tage warten, bevor Sie dasselbe Google Cloud Projekt wieder verwenden können, um ein neues Data Studio Pro-Abo abzuschließen.

Nächste Schritte

Weitere Informationen zu CMEK
Weitere Informationen zu Cloud KMS.