„Vom Kunden verwaltete Verschlüsselungsschlüssel“ aktivieren

In diesem Dokument wird beschrieben, wie Sie Dataplex Universal Catalog-Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln.

Übersicht

Standardmäßig verschlüsselt Dataplex Universal Catalog ruhende Kundendaten. Die Verschlüsselung wird von Dataplex Universal Catalog übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Dataplex Universal Catalog verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutz level, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Dataplex Universal Catalog-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Dataplex Universal Catalog verwendet einen CMEK pro Standort für alle Dataplex Universal Catalog-Ressourcen.

Sie können einen CMEK-Schlüssel auf Organisationsebene in Dataplex Universal Catalog konfigurieren.

Weitere Informationen zu CMEK im Allgemeinen, einschließlich wann und warum sie aktiviert werden sollten, finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Vorteile von CMEK

Mit CMEK haben Sie folgende Möglichkeiten:

• Lebenszyklusvorgänge für Schlüssel und Zugriffsberechtigungen verwalten.
• Schlüsselnutzung mit der Key Inventory API und den Key Usage-Dashboards in Cloud KMS verfolgen. So können Sie beispielsweise sehen, welche Schlüssel welche Ressourcen schützen. In Cloud Logging sehen Sie, wann und von wem auf die Schlüssel zugegriffen wurde.
• Bestimmte gesetzliche Anforderungen erfüllen, indem Sie Ihre Verschlüsselungsschlüssel verwalten.

Funktionsweise von CMEK mit Dataplex Universal Catalog

Dataplex Universal Catalog-Verschlüsselungsadministratoren in Ihrem Google Cloud Projekt können CMEK für Dataplex Universal Catalog konfigurieren, indem sie den Cloud KMS-Schlüssel angeben. Dataplex Universal Catalog verwendet dann den angegebenen Cloud KMS-Schlüssel, um alle Daten zu verschlüsseln, einschließlich vorhandener Daten und aller neuen Ressourcen, die in Dataplex Universal Catalog erstellt wurden.

Unterstützte Features

• Dataplex Universal Catalog unterstützt die CMEK-Verschlüsselung für die folgenden Features:

  • Automatische Datenqualität
  • Datenprofilerstellung
  • Datenerkennung
  • Data Insights
  • Dataplex Universal Catalog
  • Geschäftsglossar
  • Dataplex Universal Catalog-Suche

• In Data Lineage werden keine wichtigen Kundendaten oder sensiblen Daten gespeichert. Daher ist keine CMEK-Verschlüsselung erforderlich.

• Assured Workloads-Kunden können keine anderen Dataplex Universal Catalog-Features verwenden, da die CMEK-Verschlüsselung für sie nicht unterstützt wird.

• Kunden, die Assured Workloads nicht verwenden, können andere Features nutzen. Die Daten werden jedoch mit der Google-Standardverschlüsselung verschlüsselt.

Hinweise

• Standardmäßig wird jede Organisation mit der Google-Standardverschlüsselung bereitgestellt.
• Der Organisationsadministrator kann für jeden Standort zu CMEK in Dataplex Universal Catalog wechseln.
• Dataplex Universal Catalog unterstützt Cloud KMS-Schlüssel, Cloud HSM-Schlüssel und Cloud External Key Manager-Schlüssel.
• Die Schlüsselrotation wird unterstützt. Sobald sie verfügbar ist, wird die neue Schlüsselversion automatisch für die Datenverschlüsselung verwendet. Vorhandene Daten werden ebenfalls mit dieser neuen Version verschlüsselt.
• Dataplex Universal Catalog behält Datensicherungen maximal 15 Tage lang bei. Alle Sicherungen, die nach der Aktivierung von CMEK erstellt werden, werden mit dem angegebenen KMS-Schlüssel verschlüsselt. Daten, die vor der Aktivierung von CMEK gesichert wurden, bleiben maximal 15 Tage lang mit der Google-Standardverschlüsselung verschlüsselt.

Beschränkungen

• Der Wechsel zu CMEK ist ein irreversibler Vorgang. Nachdem Sie sich für CMEK entschieden haben, können Sie nicht mehr zur Google-Standardverschlüsselung zurückkehren.
• Nachdem ein Cloud KMS-Schlüssel für Dataplex Universal Catalog konfiguriert wurde, kann er nicht mehr aktualisiert oder geändert werden.
• Dataplex Universal Catalog unterstützt nur die Verschlüsselung auf Organisationsebene. Daher wird die Verschlüsselungskonfiguration auf Organisationsebene für einen bestimmten Standort festgelegt und verwendet, um Dataplex Universal Catalog-Daten für alle Projekte innerhalb dieser Organisation und dieses Standorts zu verschlüsseln. Die CMEK-Verschlüsselung wird für bestimmte Projekte unter einer Organisation oder einem Ordner nicht unterstützt. Die Festlegung von CMEK-bezogenen Organisationsrichtlinien erfordert sorgfältige Überlegungen.
• Dataplex Universal Catalog unterstützt CMEK nicht in der globalen Region.

• Wenn CMEK für Dataplex Universal Catalog aktiviert ist, funktionieren die folgenden Features nicht:

  • Organisationsübergreifende Metadatensuche

• Bevor Sie CMEK in Dataplex Universal Catalog konfigurieren, deaktivieren Sie die Data Catalog API (eingestellt) in allen Projekten.

• Wenn Sie CMEK in Dataplex Universal Catalog aktivieren, migrieren Sie keine Projekte in die oder aus der CMEK-Organisation. Wenn Sie die organisatorische Platzierung eines Projekts ändern, gehen die in Dataplex Universal Catalog gespeicherten Metadaten für dieses Projekt dauerhaft verloren.

Vorhandene CMEK-Konfigurationen aktualisieren

Wenn Sie CMEK in Dataplex Universal Catalog vor dem 7. November 2025 aktiviert haben, führen Sie den folgenden Befehl aus, um die CMEK-Abdeckung auf Dataplex Universal Catalog und die Dataplex Universal Catalog-Suche auszudehnen:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• Ersetzen Sie ORG_ID durch die ID der Organisation, die den Schlüssel enthält.
• Ersetzen Sie LOCATION durch den Standort der Organisation, die den Schlüssel enthält.

Wenn die Daten verschlüsselt sind, kann es zu einem Problem mit der Verfügbarkeit von Dataplex Universal Catalog kommen.

Wenn Sie CMEK nach dem 7. November 2025 zum ersten Mal aktivieren, sind Dataplex Universal Catalog Metastore und die Suche standardmäßig in der CMEK-Abdeckung enthalten.

Verschlüsselungsschlüssel schützen

So sorgen Sie für einen fortlaufenden Zugriff auf die mit CMEK verschlüsselten Daten:

• Achten Sie darauf, dass Ihre CMEK-Schlüssel aktiviert und zugänglich bleiben. Wenn ein Schlüssel deaktiviert oder gelöscht wird, sind Dataplex Universal Catalog-Daten nicht mehr zugänglich. Wenn der Schlüssel länger als 30 Tage nicht verfügbar ist, werden die mit diesem Schlüssel verschlüsselten Daten automatisch gelöscht und können nicht wiederhergestellt werden.
• Wenn der Cloud KMS-Schlüssel gelöscht wird und nicht wiederhergestellt werden kann, gehen alle zugehörigen Dataplex Universal Catalog-Daten dauerhaft verloren.
• Wenn Cloud KMS vorübergehend nicht verfügbar ist, unterstützt Dataplex Universal Catalog weiterhin vollständige Vorgänge auf Best-Effort-Basis für bis zu eine Stunde. Nach diesem Zeitraum sind die Daten als Schutzmaßnahme vorübergehend nicht zugänglich.
• Wenn Sie Cloud EKM verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihrer extern verwalteten Schlüssel. Eine kurzfristige Nichtverfügbarkeit des Schlüssels führt zu einem vorübergehenden Datenverlust. Wenn der Schlüssel 30 Tage lang nicht verfügbar ist, gehen die Daten dauerhaft verloren.

Verfügbarkeit von Dataplex Universal Catalog

In den folgenden Abschnitten werden der Prozess und die erwarteten betrieblichen Auswirkungen beschrieben, wenn Sie CMEK für Ihre Dataplex Universal Catalog-Organisation aktivieren.

Erste Infrastrukturbereitstellung

Nachdem Sie die Verschlüsselungskonfiguration gespeichert haben, richtet Dataplex Universal Catalog die erforderliche Infrastruktur ein. Dieser Vorgang dauert in der Regel 6 bis 8 Stunden. Während dieser Bereitstellungsphase haben Sie weiterhin vollen Zugriff auf alle Dataplex Universal Catalog-Features und -Funktionen. Die Daten bleiben durch die von Google verwaltete Verschlüsselung verschlüsselt. Wenn die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices festgelegt ist, schlagen Anfragen zur Ressourcenerstellung fehl, bis die Bereitstellungsphase abgeschlossen ist.

Datenverschlüsselung und API-Verfügbarkeit

Nach der Infrastrukturbereitstellung beginnt Dataplex Universal Catalog mit der Verschlüsselung vorhandener Daten, die in der Organisation gespeichert sind. Um die Datenintegrität zu gewährleisten und potenzielle Inkonsistenzen während dieses Verschlüsselungsvorgangs zu vermeiden, sind die Dataplex API-Methoden vorübergehend nicht verfügbar. Diese Einschränkung verhindert Datenaktualisierungsvorgänge. Wenn Sie CMEK zum ersten Mal für Dataplex Universal Catalog aktivieren, werden alle vorhandenen Daten verschlüsselt. Dieser einmalige Vorgang dauert schätzungsweise bis zu zwei Stunden.

Vorgänge nach der Verschlüsselung

Nachdem die Verschlüsselung der vorhandenen Daten abgeschlossen ist, sind die Dataplex API-Methoden vollständig verfügbar. Das Erstellen oder Ändern von Daten in Dataplex Universal Catalog wird automatisch mit dem konfigurierten CMEK verschlüsselt, ohne dass es zu betrieblichen Unterbrechungen oder API-Einschränkungen kommt.

Schlüssel erstellen und CMEK aktivieren

In der folgenden Anleitung wird beschrieben, wie Sie einen Schlüssel erstellen und CMEK für Dataplex Universal Catalog aktivieren. Sie können einen Schlüssel verwenden, der direkt in Cloud KMS erstellt wurde, oder einen extern verwalteten Schlüssel, den Sie mit Cloud EKMzur Verfügung stellen.

1. Führen Sie in dem Google Cloud Projekt, in dem Sie Ihre Schlüssel verwalten möchten, folgende Schritte aus:

   1. Aktivieren Sie die Cloud Key Management Service API.

   2. Erstellen Sie einen Cloud KMS-Schlüsselbund an dem Standort, an dem Sie ihn verwenden möchten.

   3. Erstellen Sie einen Schlüssel mit einer der folgenden Optionen:

      • Cloud KMS-Schlüssel erstellen.
      • Externen Schlüssel erstellen.

2. Erstellen und zeigen Sie das von Google verwaltete Dienstkonto an:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Ersetzen Sie ORG_ID durch die ID der Organisation, die den Schlüssel enthält.

   Wenn Sie aufgefordert werden, die Google Cloud CLI-Betabefehlskomponente zu installieren, geben Sie Y ein.

   Mit dem gcloud CLI-Befehl services identity wird das spezifische von Google verwaltete Dienstkonto erstellt oder abgerufen, das Dataplex Universal Catalog für den Zugriff auf den Cloud KMS-Schlüssel verwenden kann.

   Die Dienstkonto-ID hat das Format service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Außerdem wird ein CMEK-spezifisches Dienstkonto erstellt, das das Format service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com hat. Das CMEK-spezifische Dienstkonto wird zum Verschlüsseln und Entschlüsseln von Daten verwendet, die in Dataplex Universal Catalog gespeichert sind. Wenn Sie VPC Service Controls für den Cloud KMS-Schlüssel verwenden, müssen Sie dem CMEK-spezifischen Dienstkonto Zugriff gewähren, indem Sie eine Eingangsregel verwenden.

3. Weisen Sie dem Dataplex Universal Catalog Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.

   Console

   1. Rufen Sie die Seite Schlüsselverwaltung auf.

      Schlüsselverwaltung aufrufen

   2. Klicken Sie auf den Schlüsselbund.

   3. Klicken Sie in der Liste der verfügbaren Schlüssel auf den von Ihnen erstellten Schlüssel.

   4. Klicken Sie auf den Tab Berechtigungen.

   5. Klicken Sie auf Zugriff erlauben.

   6. Führen Sie im daraufhin geöffneten Bereich Zugriff erlauben die folgenden Schritte aus, um dem Dataplex Universal Catalog-Dienstkonto Zugriff zu gewähren:

      1. Geben Sie unter Hauptkonten hinzufügen das Dienstkonto service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com ein.
      2. Wählen Sie unter Rollen zuweisen die Rolle „Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler“ aus.
      3. Klicken Sie auf Speichern.

   gcloud

   Weisen Sie dem Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Ersetzen Sie Folgendes:

   • KEY_NAME: der Schlüsselname
   • LOCATION: der Standort
   • KEY_RING: der Schlüsselbund
   • KEY_PROJECT_ID: die Schlüsselprojekt-ID

4. Weisen Sie sich selbst die Rolle „Dataplex-Verschlüsselungsadministrator“ zu.

   Console

   Folgen Sie der Anleitung, um eine IAM-Rolle zuzuweisen.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Ersetzen Sie Folgendes:

   • ORG_ID: die ID der Organisation, die den Schlüssel enthält.
   • USER_EMAIL: die E-Mail-Adresse des Nutzers.

5. Konfigurieren Sie Dataplex Universal Catalog so, dass Ihr CMEK-Schlüssel verwendet wird.

   Console

   1. Wechseln Sie in der Google Cloud Console zur Seite Dataplex.

      Zu Dataplex

   2. Klicken Sie auf Einstellungen.

   3. Wählen Sie unter Region für CMEK auswählen eine Region aus. Die ausgewählte Region muss mit dem Standort des Cloud KMS-Schlüssels übereinstimmen.

   4. Wählen Sie unter Verschlüsselungsschlüssel auswählen den von Ihnen erstellten Schlüssel aus.

   5. Klicken Sie auf Speichern.

      Die Datenverschlüsselung dauert eine Weile. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Legen Sie die Verschlüsselungskonfiguration in Dataplex Universal Catalog fest:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Ersetzen Sie Folgendes:

      • ORG_ID: die ID der Organisation, die den Schlüssel enthält.
      • KEY_RESOURCE_ID: die Schlüsselressourcen-ID - z. B. projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ersetzen Sie PROJECT_ID durch die Schlüsselprojekt-ID.

   2. Prüfen Sie, ob die Verschlüsselung abgeschlossen ist:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   Die Datenverschlüsselung dauert eine Weile. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt: encryptionState: COMPLETED.

Logging und Monitoring

Prüfen Sie Dataplex Universal Catalog-Anfragen an Cloud KMS, indem Sie das Audit-Logging für die Cloud KMS API aktivieren.

CMEK-Organisationsrichtlinien

Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung zu erzwingen und die zulässigen Cloud KMS-Schlüssel in Ihrer Organisation zu steuern. Diese Einschränkungen tragen dazu bei, dass Daten in Dataplex Universal Catalog einheitlich durch CMEK geschützt werden.

• constraints/gcp.restrictNonCmekServices erzwingt die obligatorische CMEK-Nutzung für Dataplex Universal Catalog-Ressourcen.

  • Wenn Sie dataplex.googleapis.com der Liste der Google Cloud Dienst namen hinzufügen und die Einschränkung auf Deny festlegen, wird die Erstellung von Dataplex Universal Catalog-Ressourcen ohne CMEK-Schutz verhindert.

  • Wenn in den CMEK-Verschlüsselungseinstellungen kein Cloud KMS-Schlüssel für den angeforderten Standort angegeben ist, schlagen Anfragen zum Erstellen von Ressourcen in Dataplex Universal Catalog fehl.

  • Diese Richtlinie wird auf der Ebene des einzelnen Ressourcenprojekts validiert.

• constraints/gcp.restrictCmekCryptoKeyProjects beschränkt die Auswahl von Cloud KMS-Schlüsseln für CMEK auf bestimmte Ressourcenhierarchien.

  • Wenn Sie eine Liste mit Indikatoren für Ressourcenhierarchien (Projekte, Ordner oder Organisationen) konfigurieren und die Einschränkung auf Allow festlegen, kann Dataplex Universal Catalog nur CMEK-Schlüssel von den angegebenen Standorten verwenden.

  • Wenn ein Cloud KMS-Schlüssel aus einem nicht zulässigen Projekt angegeben wird, schlagen Anfragen zum Erstellen von CMEK-geschützten Ressourcen in Dataplex Universal Catalog fehl.

  • Diese Richtlinie wird während der Ressourcenerstellung auf der Ebene des Ressourcenprojekts validiert.

  • Diese Richtlinie wird auf Organisationsebene validiert, wenn Sie die CMEK-Verschlüsselungseinstellungen konfigurieren.

  • Um Inkonsistenzen zu vermeiden, müssen die Konfigurationen auf Projektebene mit den organisationsweiten Richtlinien übereinstimmen.

Weitere Informationen zum Konfigurieren von Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Nächste Schritte

• Weitere Informationen zu CMEK