Looker Studio 现已更名为“数据洞察”。详细了解这项变动。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

客户管理的加密密钥 (CMEK)

默认情况下，数据洞察会对静态客户内容进行加密。数据洞察会为您处理加密，您无需执行任何其他操作。此选项称为“Google 默认加密”。

如果您想要控制加密密钥，则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务（包括数据洞察）搭配使用。使用 Cloud KMS 密钥时，您可以控制其保护级别、位置、轮替时间表、使用和访问权限以及加密边界。此外，您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称密钥加密密钥 (KEK)，而不是由 Google 拥有和管理这些密钥。

使用 CMEK 设置资源后，访问数据洞察资源的体验与使用 Google 默认加密功能类似。如需详细了解加密选项，请参阅客户管理的加密密钥 (CMEK)。

借助 CMEK，您可以使用自己的加密密钥来加密数据洞察 Pro 静态数据。使用 CMEK 可让您更好地控制数据，并有助于您满足内部或外部合规性法规。

CMEK 和客户管理的存储空间

如果您启用 CMEK，还必须启用 Data Studio Pro 的客户管理的存储选项，该选项可让您使用 Cloud Storage 和 BigQuery 将数据存储在 Data Studio Pro Google Cloud项目中。数据洞察 Pro 使用您的 Cloud Key Management Service 密钥来保护报告和数据源配置以及定时发送的邮件等资源。对于存储在 Google Cloud 项目中的数据提取和文件上传，您可以将 CMEK 应用于 Google Cloud 存储资源，从而保护数据。

准备工作

如需启用和使用 CMEK，您必须满足以下前提条件：

您只能在创建新的数据洞察 Pro 订阅时启用 CMEK。
如需启用 CMEK，您还必须启用并配置客户管理的存储空间。对于客户管理的存储空间，您必须在 Google Cloud 项目中提供一个 Cloud Storage 存储桶和一个 BigQuery 数据集，供数据洞察 Pro 用于存储数据提取和文件上传。为了保护存储在这些资源中的数据，您可以对其应用 CMEK 配置。
如需启用 CMEK，您还必须启用并配置数据位置。
您必须在 Cloud KMS 中拥有一个对称加密密钥，才能使用 CMEK。此密钥必须位于您为数据位置选择的同一区域中。
您必须拥有必要的 IAM 角色才能在 Cloud KMS 中创建密钥。如需了解详情，请参阅必需的角色。

为订阅启用 CMEK

您只能在创建新的数据洞察 Pro 订阅时启用 CMEK，而无法为现有 Pro 订阅启用 CMEK。

如需启用 CMEK，请在创建新的数据洞察 Pro 订阅时按以下步骤操作：

在系统提示时，选择使用客户管理的加密密钥。
在密钥资源名称字段中输入或粘贴密钥资源名称。
在 Cloud KMS 中，向界面中显示的 Data Studio Pro 服务账号授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色。
点击下一步，继续设置订阅。

使用 CMEK 加密的内容

为数据洞察 Pro 订阅启用 CMEK 后，系统会通过以下两种方式处理客户内容的加密：

由数据洞察 Pro 使用您的 Cloud KMS 密钥加密的数据：数据洞察 Pro 使用您指定的密钥来加密报告和数据源配置以及定时发送的邮件等数据。
存储在 Google Cloud 项目中的数据：启用 CMEK 需要您使用客户管理的存储空间。以下数据类型存储在您提供的 Cloud Storage 和 BigQuery 资源中：
- 数据提取
- CSV 和 Excel 文件上传：这些资源会使用您在 Cloud Storage 和 BigQuery 中应用于它们的任何 CMEK 配置进行加密。当您为订阅启用 CMEK 时，数据洞察 Pro 不会自动将 CMEK 应用于这些资源。

密钥管理

作为安全或合规性管理员，您可以使用 Cloud KMS 执行密钥管理任务。数据洞察 Pro 会针对所有加密和解密操作调用 Cloud KMS。

您可以执行以下密钥管理任务：

密钥撤消：您可以撤消数据洞察 Pro 对密钥的访问权限，使您的数据立即无法访问。
审核：您可以在 Cloud KMS 中检查密钥访问日志，以审核使用您的密钥加密或解密数据的每项操作。

密钥轮替

轮替密钥时，Cloud KMS 会创建用于加密新资产的新密钥版本。现有资产不会重新加密，而是继续受到加密时所用密钥版本的保护。数据洞察 Pro 不支持使用新密钥版本重新加密现有资产。

由于仍需要使用先前的密钥版本来访问使用这些版本加密的现有资产，因此您不应删除或停用先前的密钥版本，除非您的目标是永久移除对这些资产的访问权限。删除或停用用于保护数据的密钥版本会导致相应数据无法访问。

如果您的 CMEK 密钥变得不可用（例如，您停用或删除该密钥），数据洞察 Pro 将返回出错提示，而不是显示使用已加密数据的报告或数据源。检测到密钥被停用后，系统会在 15 分钟内删除内存中保留的所有数据。由于数据洞察首页不包含客户内容，因此仍可访问。

Cloud KMS 配额和数据洞察

在数据洞察中使用 CMEK 时，您的项目可以使用 Cloud KMS 加密请求配额。每次数据洞察 Pro 使用您的某个密钥来加密或解密数据时，相应操作都会计入您项目的配额。

使用 CMEK 密钥执行的加密和解密操作通过以下方式影响 Cloud KMS 配额：

对于在 Cloud KMS 中生成的软件 CMEK 密钥，不会消耗 Cloud KMS 配额。
对于硬件 CMEK 密钥（有时称为 Cloud HSM 密钥），加密和解密操作会计入包含该密钥的项目中的 Cloud HSM 配额。
对于外部 CMEK 密钥（有时称为 Cloud EKM 密钥），加密和解密操作会计入包含该密钥的项目中的 Cloud EKM 配额。

如需了解详情，请参阅 Cloud KMS 配额。

CMEK 的限制

CMEK 具有以下限制：

您只能在创建新的数据洞察 Pro 订阅时启用 CMEK。您无法为现有订阅启用或停用 CMEK。
您只能将内容从启用了 CMEK 的项目移至另一个有效订阅了数据洞察 Pro 的项目。
如果您从数据洞察 Pro 降级为数据洞察免费版本，或者您的订阅被取消，CMEK 功能将在 30 天的宽限期内继续有效。之后，使用 CMEK 创建的数据源将被删除。
如果您从数据洞察 Pro 降级到数据洞察免费版本，或者您的订阅被取消，则必须等待 30 天才能重新使用同一 Google Cloud 项目创建新的数据洞察 Pro 订阅。

后续步骤

详细了解 CMEK。
详细了解 Cloud KMS。