Looker Studio is now called Data Studio. Learn more about this change.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מפתחות הצפנה בניהול הלקוח (CMEK)

כברירת מחדל, Data Studio מצפין את התוכן של הלקוחות במצב מנוחה. ‫Data Studio מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים ב-CMEK, כולל Data Studio. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבים של Data Studio דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

עם CMEK, אתם יכולים להשתמש במפתחות הצפנה משלכם כדי להצפין נתונים במנוחה ב-Data Studio Pro. שימוש ב-CMEK מאפשר לכם לשלוט בנתונים בצורה טובה יותר ועוזר לכם לעמוד בתקנות פנימיות או חיצוניות.

מפתחות הצפנה בניהול הלקוח (CMEK) ואחסון בניהול הלקוח

אם מפעילים CMEK, צריך להפעיל גם את אפשרות האחסון בניהול הלקוח ב-Data Studio Pro, שמאפשרת להשתמש ב-Cloud Storage וב-BigQuery כדי לאחסן נתונים בפרויקט Data Studio Pro Google Cloud. ב-Data Studio Pro נעשה שימוש במפתחות של Cloud Key Management Service כדי להגן על משאבים כמו הגדרות של דוחות ומקורות נתונים ואימיילים מתוזמנים. כדי להגן על נתונים שחולצו ועל קבצים שהועלו ומאוחסנים בפרויקט Google Cloud , אפשר להחיל CMEK על משאבי האחסון Google Cloud .

לפני שמתחילים

כדי להפעיל את CMEK ולהשתמש בו, אתם צריכים לעמוד בדרישות המוקדמות הבאות:

אפשר להפעיל CMEK רק כשיוצרים מינוי חדש ל-Data Studio Pro.
כדי להפעיל את CMEK, צריך גם להפעיל ולהגדיר אחסון בניהול הלקוח. אם אתם משתמשים באחסון בניהול הלקוח, אתם צריכים לספק קטגוריה של Cloud Storage ומערך נתונים ב-BigQuery ב Google Cloud פרויקט שלכם, כדי ש-Data Studio Pro יוכל לאחסן בהם את חילוצי הנתונים והקבצים שאתם מעלים. כדי להגן על נתונים שמאוחסנים במשאבים האלה, אפשר להחיל עליהם הגדרות של CMEK.
כדי להפעיל את CMEK, צריך גם להפעיל ולהגדיר מיקום נתונים.
כדי להשתמש ב-CMEK, צריך שיהיה לכם מפתח הצפנה סימטרי ב-Cloud KMS. המפתח הזה צריך להיות באותו אזור שבחרתם למיקום הנתונים.
צריכות להיות לכם הרשאות IAM שמאפשרות ליצור מפתחות ב-Cloud KMS. מידע נוסף זמין במאמר בנושא התפקידים הנדרשים.

הפעלת CMEK למינוי

אפשר להפעיל CMEK רק כשיוצרים מינוי חדש ל-Data Studio Pro. אי אפשר להפעיל CMEK במינוי Pro קיים.

כדי להפעיל CMEK, פועלים לפי השלבים הבאים כשיוצרים מינוי חדש ל-Data Studio Pro:

כשמופיעה בקשה, בוחרים באפשרות שימוש במפתח הצפנה בניהול הלקוח.
מזינים או מדביקים את שם המשאב של המפתח בשדה שם המשאב של המפתח.
ב-Cloud KMS, מעניקים לחשבון השירות של Data Studio Pro שמוצג בממשק המשתמש את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter.
לוחצים על הבא כדי להמשיך בהגדרת המינוי.

מה מוצפן באמצעות CMEK

כשמפעילים CMEK במינוי ל-Data Studio Pro, ההצפנה של תוכן הלקוחות מתבצעת בשתי דרכים:

נתונים שמוצפנים על ידי Data Studio Pro באמצעות המפתח שלכם ב-Cloud KMS:‏ Data Studio Pro משתמש במפתח שציינתם כדי להצפין נתונים כמו הגדרות של דוחות ומקורות נתונים, ואימיילים מתוזמנים.
נתונים שמאוחסנים בפרויקט Google Cloud : כדי להפעיל CMEK, צריך להשתמש באחסון בניהול הלקוח. סוגי הנתונים הבאים מאוחסנים במשאבי Cloud Storage וב-BigQuery שאתם מספקים:
- חילוצי נתונים
- העלאות של קובצי CSV ו-Excel המשאבים האלה מוצפנים באמצעות כל הגדרות ה-CMEK שאתם מחילים עליהם ב-Cloud Storage וב-BigQuery. כשמפעילים את CMEK במינוי, מערכת Data Studio Pro לא מחילה אותו באופן אוטומטי על המשאבים האלה.

ניהול מפתחות

אדמינים של אבטחה או תאימות יכולים לבצע משימות של ניהול מפתחות באמצעות Cloud KMS. ‫Data Studio Pro קורא ל-Cloud KMS לכל פעולות ההצפנה והפענוח.

אפשר לבצע את משימות ניהול המפתחות הבאות:

ביטול הרשאת גישה למפתח: אתם יכולים לבטל את הרשאת הגישה של Data Studio Pro למפתח כדי שהנתונים לא יהיו זמינים באופן מיידי.
ביקורת: אתם יכולים לבדוק את יומני הגישה למפתחות ב-Cloud KMS כדי לבצע ביקורת על כל פעולה שבה המפתחות שלכם שימשו להצפנה או לפענוח של נתונים.

רוטציית מפתחות

כשמבצעים רוטציה למפתח, Cloud KMS יוצר גרסה חדשה של המפתח שמשמשת להצפנת נכסים חדשים. נכסים קיימים לא מוצפנים מחדש וממשיכים להיות מוגנים על ידי גרסת המפתח שבאמצעותה הם הוצפנו. ב-Data Studio Pro אין תמיכה בהצפנה מחדש של נכסים קיימים באמצעות גרסת המפתח החדשה.

עדיין נדרשות גרסאות קודמות של המפתח כדי לגשת לנכסים קיימים שהוצפנו באמצעותן, ולכן לא מומלץ למחוק או להשבית גרסאות קודמות של המפתח, אלא אם המטרה היא להסיר לצמיתות את הגישה לנכסים האלה. מחיקה או השבתה של גרסת מפתח שמגנה על נתונים תגרום לכך שלא תהיה גישה לנתונים האלה.

אם מפתח ה-CMEK שלכם לא יהיה זמין – למשל, אם תשביתו או תמחקו את המפתח – Data Studio Pro יציג הודעות שגיאה במקום להציג דוחות או מקורות נתונים שמשתמשים בנתונים המוצפנים. כל הנתונים שנשמרים בזיכרון נמחקים תוך 15 דקות מרגע זיהוי מפתח מושבת. דף הבית של Data Studio נשאר נגיש כי הוא לא מכיל תוכן של לקוחות.

מכסות של Cloud KMS ו-Data Studio

כשמשתמשים ב-CMEK ב-Data Studio, הפרויקטים יכולים לנצל את מכסות הבקשות הקריפטוגרפיות של Cloud KMS. בכל פעם ש-Data Studio Pro משתמש באחד מהמפתחות שלכם כדי להצפין או לפענח נתונים, הפעולה הזו נספרת במסגרת המכסה של הפרויקט.

פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על המכסות של Cloud KMS באופן הבא:

כשמשתמשים במפתחות CMEK של תוכנה שנוצרו ב-Cloud KMS, לא נצרכת מכסת Cloud KMS.
מפתחות CMEK בחומרה – לפעמים נקראים מפתחות Cloud HSM – פעולות ההצפנה והפענוח נספרות במסגרת המכסות של Cloud HSM בפרויקט שמכיל את המפתח.
במקרה של מפתחות CMEK חיצוניים – שלפעמים נקראים מפתחות Cloud EKM – פעולות ההצפנה והפענוח נספרות במכסות של Cloud EKM בפרויקט שמכיל את המפתח.

מידע נוסף מופיע במאמר מכסות ב-Cloud KMS.

מגבלות של CMEK

יש למערכת CMEK את המגבלות הבאות:

אפשר להפעיל CMEK רק כשיוצרים מינוי חדש ל-Data Studio Pro. אי אפשר להפעיל או להשבית את CMEK במינוי קיים.
אפשר להעביר תוכן מפרויקט שמופעל בו CMEK רק לפרויקט אחר שיש בו מינוי פעיל ל-Data Studio Pro.
אם תעברו מ-Data Studio Pro לגרסה ללא עלות של Data Studio, או אם המינוי שלכם יבוטל, תכונות ה-CMEK ימשיכו לפעול למשך תקופת חסד של 30 יום. לאחר מכן, מקורות נתונים שנוצרו באמצעות CMEK יימחקו.
אם תעברו מ-Data Studio Pro לגרסה ללא עלות של Data Studio, או אם המינוי שלכם יבוטל, תצטרכו לחכות 30 ימים לפני שתוכלו להשתמש מחדש באותו פרויקט כדי ליצור מינוי חדש ל-Data Studio Pro. Google Cloud

המאמרים הבאים

CMEK
מידע נוסף על Cloud KMS