Looker Studio 現已更名為數據分析，進一步瞭解這項異動。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

客戶自行管理的加密金鑰 (CMEK)

根據預設，數據分析會對靜態客戶內容進行加密。數據分析會為您處理加密作業，您不必進行任何其他操作。這項選項稱為「Google 預設加密」。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，搭配整合 CMEK 的服務 (包括數據分析)。使用 Cloud KMS 金鑰可讓您控管防護等級、位置、輪替時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 也能查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理這些金鑰，而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。

使用 CMEK 設定資源後，存取數據分析資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項，請參閱「客戶自行管理的加密金鑰 (CMEK)」。

您可以使用 CMEK，以自有的加密編譯金鑰加密數據分析 Pro 靜態資料。使用 CMEK 可進一步控管資料，並符合內部或外部法規。

CMEK 和客戶管理的儲存空間

啟用 CMEK 後，您也必須啟用 Data Studio Pro 的客戶自行管理儲存空間選項，才能使用 Cloud Storage 和 BigQuery，在 Data Studio Pro Google Cloud專案中儲存資料。數據分析 Pro 會使用 Cloud Key Management Service 金鑰，保護報表和資料來源設定、已排定傳送時間的電子郵件等資源。如要保護儲存在 Google Cloud 專案中的資料擷取內容和上傳檔案，可以對 Google Cloud 儲存空間資源套用 CMEK。

事前準備

如要啟用及使用 CMEK，必須符合下列先決條件：

您只能在建立新的數據分析 Pro 訂閱方案時啟用 CMEK。
如要啟用 CMEK，您也必須啟用及設定客戶自行管理的儲存空間。如果是客戶管理的儲存空間，您必須在 Google Cloud 專案中提供 Cloud Storage 值區和 BigQuery 資料集，供 Data Studio Pro 儲存資料擷取內容和上傳的檔案。如要保護這些資源中儲存的資料，您可以對其套用 CMEK 設定。
如要啟用 CMEK，您也必須啟用及設定資料位置。
如要使用 CMEK，您必須在 Cloud KMS 中擁有對稱式加密金鑰。這個金鑰必須與您選取的資料位置位於同一個區域。
您必須具備必要的 IAM 角色，才能在 Cloud KMS 中建立金鑰。詳情請參閱「必要的角色」。

為訂閱項目啟用 CMEK

您只能在建立新的數據分析 Pro 訂閱項目時啟用 CMEK。您無法為現有的 Pro 訂閱方案啟用 CMEK。

如要啟用 CMEK，請在建立新的數據分析 Pro 訂閱項目時，按照下列步驟操作：

系統提示時，選取「使用客戶自行管理的加密金鑰」。
在「金鑰資源名稱」欄位中輸入或貼上金鑰資源名稱。
在 Cloud KMS 中，將 Cloud KMS CryptoKey Encrypter/Decrypter 角色授予使用者介面中顯示的 Data Studio Pro 服務帳戶。
點選「下一步」，繼續設定訂閱方案。

CMEK 會加密哪些內容

為數據分析 Pro 訂閱方案啟用 CMEK 後，系統會透過兩種方式處理客戶內容的加密作業：

數據分析 Pro 使用您的 Cloud KMS 金鑰加密的資料：數據分析 Pro 會使用您指定的金鑰加密資料，例如報表和資料來源設定，以及排定的電子郵件。
儲存在專案中的資料：啟用 CMEK 時，您必須使用客戶自行管理的儲存空間。 Google Cloud 下列資料類型會儲存在您提供的 Cloud Storage 和 BigQuery 資源中：
- 資料擷取
- 上傳 CSV 和 Excel 檔案：這些資源會使用您在 Cloud Storage 和 BigQuery 中套用的任何 CMEK 設定進行加密。為訂閱方案啟用 CMEK 時，數據分析 Pro 不會自動將 CMEK 套用至這些資源。

金鑰管理

安全或法規遵循系統管理員可以使用 Cloud KMS 執行金鑰管理工作。數據分析 Pro 會呼叫 Cloud KMS，執行所有加密和解密作業。

您可以執行下列金鑰管理工作：

撤銷金鑰：您可以撤銷數據分析 Pro 的金鑰存取權，立即禁止存取資料。
稽核：您可以在 Cloud KMS 中檢查金鑰存取記錄，稽核金鑰用於加密或解密資料的每項作業。

金鑰輪替

輪替金鑰時，Cloud KMS 會建立新版金鑰，用於加密新資產。現有資產不會重新加密，仍會受到加密時使用的金鑰版本保護。數據分析 Pro 不支援使用新版金鑰重新加密現有資產。

因為存取先前以舊版金鑰加密的現有資產時，仍需使用舊版金鑰，因此除非您打算永久移除這些資產的存取權，否則不應刪除或停用舊版金鑰。如果刪除或停用用來保護資料的金鑰版本，將無法存取該資料。

如果 CMEK 金鑰無法使用 (例如停用或刪除金鑰)，數據分析 Pro 會傳回錯誤訊息，而不會顯示使用已加密資料的報表或資料來源。如果系統偵測到停用的金鑰，會在 15 分鐘內刪除記憶體中的所有資料。數據分析首頁不含客戶內容，因此仍可存取。

Cloud KMS 配額和 Google 數據分析

在數據分析中使用 CMEK 時，專案可能會消耗 Cloud KMS 密碼編譯要求配額。每當數據分析 Pro 使用您的其中一個金鑰加密或解密資料時，該作業就會計入專案配額。

使用 CMEK 金鑰的加密和解密作業會以下列方式影響 Cloud KMS 配額：

如果是透過 Cloud KMS 產生的軟體 CMEK 金鑰，則不會消耗任何 Cloud KMS 配額。
如果是硬體 CMEK 金鑰 (有時稱為 Cloud HSM 金鑰)，加密和解密作業會計入包含金鑰的專案 Cloud HSM 配額。
如果是外部 CMEK 金鑰 (有時稱為 Cloud EKM 金鑰)，加密和解密作業會計入包含金鑰的專案中 Cloud EKM 配額。

詳情請參閱「Cloud KMS 配額」。

CMEK 的限制

CMEK 有下列限制：

您只能在建立新的數據分析 Pro 訂閱方案時啟用 CMEK。您無法為現有訂閱項目啟用或停用 CMEK。
您只能將啟用 CMEK 的專案內容移至其他專案，且該專案必須有效訂閱數據分析 Pro。
如果您從數據分析 Pro 降級為數據分析的免付費版本，或取消訂閱，CMEK 功能在 30 天的寬限期內仍可正常運作。寬限期過後，系統會刪除使用 CMEK 建立的資料來源。
如果您從數據分析 Pro 降級至免付費版本，或是取消訂閱，必須等待 30 天，才能使用相同的 Google Cloud 專案建立新的數據分析 Pro 訂閱方案。

後續步驟

進一步瞭解 CMEK。
進一步瞭解 Cloud KMS。