הפעלת מפתחות הצפנה בניהול הלקוח

במאמר הזה מוסבר איך להצפין נתונים ב-Knowledge Catalog (לשעבר Dataplex Universal Catalog) באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

סקירה כללית

כברירת מחדל, Knowledge Catalog מצפין תוכן של לקוחות במצב מנוחה. Knowledge Catalog מטפל בהצפנה בשבילכם, בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Knowledge Catalog. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של המפתחות הסימטריים להצפנת מפתחות (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Knowledge Catalog דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

ב-Knowledge Catalog נעשה שימוש במפתח CMEK אחד לכל מיקום עבור כל המשאבים של Knowledge Catalog.

אפשר להגדיר מפתח CMEK ברמת הארגון ב-Knowledge Catalog.

מידע נוסף על CMEK באופן כללי, כולל מתי ולמה כדאי להפעיל אותו, זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

היתרונות של CMEK

באמצעות CMEK, אפשר:

  • ניהול פעולות מרכזיות במחזור החיים והרשאות גישה.
  • אפשר לעקוב אחרי השימוש במפתחות באמצעות Key Inventory API ולוחות הבקרה Key Usage ב-Cloud KMS, שמאפשרים לראות פרטים כמו אילו מפתחות מגנים על אילו משאבים. בעזרת Cloud Logging אפשר לדעת מתי הייתה גישה למפתחות ומי ניגש אליהם.
  • עמידה בדרישות רגולטוריות ספציפיות באמצעות ניהול מפתחות ההצפנה.

איך CMEK עובד עם Knowledge Catalog

אדמינים של הצפנה ב-Knowledge Catalog בפרויקט שלכם יכולים להגדיר CMEK ל-Knowledge Catalog על ידי ציון מפתח Cloud KMS. Google Cloud לאחר מכן, Knowledge Catalog משתמש במפתח Cloud KMS שצוין כדי להצפין את כל הנתונים, כולל נתונים קיימים ומשאבים חדשים שנוצרו ב-Knowledge Catalog.

תכונות נתמכות

לתשומת ליבכם

  • כברירת מחדל, כל ארגון מקבל הקצאה באמצעות הצפנת ברירת המחדל של Google.
  • האדמין הארגוני יכול לעבור ל-CMEK ב-Knowledge Catalog בכל מיקום.
  • ‫Knowledge Catalog תומך במפתחות Cloud KMS, במפתחות Cloud HSM ובמפתחות Cloud External Key Manager.
  • המערכת תומכת ברוטציית מפתחות, ואחרי שהיא זמינה, גרסת המפתח החדשה משמשת אוטומטית להצפנת נתונים. גם הנתונים הקיימים מוצפנים באמצעות הגרסה החדשה.
  • גיבויי הנתונים ב-Knowledge Catalog נשמרים למשך 15 ימים לכל היותר. כל הגיבויים שנוצרו אחרי שמפעילים את CMEK מוצפנים באמצעות מפתח KMS שצוין. נתונים שגובו לפני הפעלת CMEK נשארים מוצפנים באמצעות ההצפנה שמוגדרת כברירת מחדל ב-Google למשך 15 ימים לכל היותר.

מגבלות

  • המעבר ל-CMEK הוא תהליך בלתי הפיך. אחרי שבוחרים ב-CMEK, אי אפשר לחזור להצפנה שמוגדרת כברירת מחדל ב-Google.
  • אחרי שמגדירים מפתח Cloud KMS עבור Knowledge Catalog, אי אפשר לעדכן או לשנות אותו.
  • Knowledge Catalog תומך בהצפנה ברמת הארגון בלבד. כתוצאה מכך, הגדרת ההצפנה נקבעת ברמת הארגון עבור מיקום נתון, ומשמשת להצפנת נתונים ב-Knowledge Catalog עבור כל הפרויקטים בארגון ובמיקום הזה. הצפנה באמצעות CMEK לא נתמכת בפרויקטים ספציפיים בארגון או בתיקייה. צריך לשקול היטב את ההגדרה של מדיניות הארגון שקשורה ל-CMEK.
  • Knowledge Catalog לא תומך ב-CMEK באזור הגלובלי.

  • כשמפעילים את CMEK ב-Knowledge Catalog, התכונות הבאות לא פועלות:

    • חיפוש מטא-נתונים בין ארגונים

  • לפני שמגדירים CMEK ב-Knowledge Catalog, צריך להשבית את Data Catalog (הוצא משימוש) API בכל הפרויקטים.

  • כשמפעילים CMEK ב-Knowledge Catalog, לא מעבירים פרויקטים אל הארגון שמוגדר בו CMEK או ממנו. שינוי המיקום הארגוני של פרויקט יגרום לאובדן קבוע של המטא-נתונים של הפרויקט שמאוחסנים בקטלוג הידע.

שדרוג של הגדרות CMEK קיימות

אם הפעלתם CMEK ב-Knowledge Catalog לפני 7 בנובמבר 2025, צריך להריץ את הפקודה הבאה כדי להרחיב את הכיסוי של CMEK ל-Knowledge Catalog ולחיפוש ב-Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption
  • מחליפים את ORG_ID במזהה הארגון שמכיל את המפתח.
  • מחליפים את LOCATION במיקום של הארגון שמכיל את המפתח.

אם הנתונים מוצפנים, יכול להיות שתיתקלו בבעיה בזמינות של Knowledge Catalog.

אם תפעילו את CMEK בפעם הראשונה אחרי 7 בנובמבר 2025, מאגר המידע של Knowledge Catalog והחיפוש ייכללו בכיסוי של CMEK כברירת מחדל.

הגנה על מפתחות ההצפנה

כדי להבטיח גישה רציפה לנתונים שמוצפנים באמצעות CMEK, מומלץ לפעול לפי השיטות המומלצות הבאות:

  • חשוב לוודא שמפתחות ה-CMEK שלכם נשארים מופעלים ונגישים. אם משביתים או משמידים מפתח, לא תהיה יותר גישה לנתונים של Knowledge Catalog. אם המפתח לא זמין במשך יותר מ-30 יום, הנתונים שהוצפנו באמצעות המפתח הזה נמחקים באופן אוטומטי ואי אפשר לשחזר אותם.
  • אם מפתח Cloud KMS נהרס ואי אפשר לשחזר אותו, כל הנתונים המשויכים ב-Knowledge Catalog יימחקו באופן סופי.
  • במקרים שבהם Cloud KMS לא זמין באופן זמני, Knowledge Catalog ממשיך לתמוך בפעולות מלאות על בסיס מיטב המאמצים למשך שעה אחת לכל היותר. אחרי התקופה הזו, הגישה לנתונים תהיה זמנית בלבד כאמצעי הגנה.
  • כשמשתמשים ב-Cloud EKM, חשוב לזכור ש-Google לא שולטת בזמינות של המפתחות שמנוהלים חיצונית. חוסר זמינות של מפתח לטווח קצר גורם לחוסר נגישות זמני לנתונים. אם המפתח לא יהיה זמין במשך 30 ימים, הנתונים יימחקו באופן סופי.

זמינות של Knowledge Catalog

בקטעים הבאים מפורט התהליך וההשפעה התפעולית הצפויה כשמפעילים CMEK בארגון שלכם ב-Knowledge Catalog.

הקצאת תשתיות ראשונית

אחרי ששומרים את הגדרות ההצפנה, Knowledge Catalog מגדיר את התשתית הנדרשת. בדרך כלל התהליך הזה נמשך בין 6 ל-8 שעות. במהלך שלב הקצאת ההרשאות, תהיה לכם גישה מלאה לכל התכונות והפונקציות של Knowledge Catalog, והנתונים יישארו מוצפנים באמצעות הצפנה שמנוהלת על ידי Google. אם מדיניות הארגון constraints/gcp.restrictNonCmekServices מוגדרת, בקשות ליצירת משאבים ייכשלו עד להשלמת שלב ההקצאה.

הצפנת נתונים וזמינות API

אחרי הקצאת התשתית, Knowledge Catalog מתחיל להצפין נתונים קיימים שמאוחסנים בארגון. כדי להבטיח את שלמות הנתונים ולמנוע חוסר עקביות פוטנציאלי במהלך תהליך ההצפנה הזה, השיטות של Dataplex API לא זמינות באופן זמני. ההגבלה הזו מונעת פעולות של עדכון נתונים. כשמפעילים את CMEK בפעם הראשונה ב-Knowledge Catalog, כל הנתונים הקיימים מוצפנים. הפעולה החד-פעמית הזו צפויה להימשך עד שעתיים.

פעולות אחרי ההצפנה

אחרי שהצפנת הנתונים הקיימים תושלם בהצלחה, שיטות Dataplex API יהיו זמינות באופן מלא. יצירה או שינוי של נתונים ב-Knowledge Catalog מוצפנים באופן אוטומטי באמצעות CMEK שהוגדר, ללא הפרעות תפעוליות או הגבלות על API.

יצירת מפתח והפעלת CMEK

בהוראות הבאות מוסבר איך ליצור מפתח ולהפעיל CMEK עבור Knowledge Catalog. אתם יכולים להשתמש במפתח שנוצר ישירות ב-Cloud KMS או במפתח שמנוהל באופן חיצוני וזמין באמצעות Cloud EKM.

  1. בפרויקט Google Cloud שבו רוצים לנהל את המפתחות, מבצעים את הפעולות הבאות:

    1. הפעלת Cloud Key Management Service API.

    2. יוצרים אוסף מפתחות של Cloud KMS במיקום שבו רוצים להשתמש בו.

    3. יוצרים מפתח באחת מהדרכים הבאות:

  2. יוצרים ומציגים את חשבון השירות שמנוהל על ידי Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    מחליפים את ORG_ID במזהה הארגון שמכיל את המפתח.

    אם מוצגת לכם בקשה להתקין את רכיב פקודות הבטא של Google Cloud CLI, מזינים Y.

    הפקודה services identity ב-CLI של gcloud יוצרת או מקבלת את חשבון השירות הספציפי שמנוהל על ידי Google, ש-Knowledge Catalog יכול להשתמש בו כדי לגשת למפתח Cloud KMS.

    מזהה חשבון השירות מעוצב כ-service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. נוצר גם חשבון שירות ספציפי ל-CMEK, בפורמט service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. חשבון השירות הספציפי ל-CMEK משמש להצפנה ולפענוח של נתונים שמאוחסנים ב-Knowledge Catalog. אם אתם משתמשים ב-VPC Service Controls למפתח Cloud KMS, אתם צריכים להעניק גישה לחשבון השירות הספציפי ל-CMEK באמצעות כלל לתעבורת נתונים נכנסת (ingress).

  3. מקצים לחשבון השירות של Knowledge Catalog את התפקיד CryptoKey Encrypter/Decrypter ב-IAM (roles/cloudkms.cryptoKeyEncrypterDecrypter). צריך לתת את ההרשאה הזו למפתח שיצרתם.

    המסוף

    1. עוברים לדף ניהול מפתחות.

      מעבר אל 'ניהול מפתחות'

    2. לוחצים על אוסף המפתחות.

    3. ברשימת המפתחות הזמינים, לוחצים על המפתח שיצרתם.

    4. לוחצים על הכרטיסייה Permissions.

    5. לוחצים על הענקת גישה.

    6. בחלונית Grant access (הענקת גישה) שנפתחת, פועלים לפי השלבים הבאים כדי להעניק גישה לחשבון השירות של Knowledge Catalog:

      1. בשדה Add principals (הוספת חשבונות משתמשים), מזינים את חשבון השירות service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. בקטע Assign roles, בוחרים את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter.
      3. לוחצים על Save.

    gcloud

    מקצים לחשבון השירות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    מחליפים את מה שכתוב בשדות הבאים:

    • KEY_NAME: שם המפתח
    • LOCATION: המיקום
    • KEY_RING: אוסף המפתחות
    • KEY_PROJECT_ID: מזהה הפרויקט של המפתח

  4. מקצים לעצמכם את התפקיד Dataplex Encryption Admin (אדמין הצפנה ב-Dataplex).

    המסוף

    פועלים לפי ההוראות להקצאת תפקיד IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    מחליפים את מה שכתוב בשדות הבאים:

    • ORG_ID: המזהה של הארגון שמכיל את המפתח.
    • USER_EMAIL: כתובת האימייל של המשתמש.

  5. מגדירים את Knowledge Catalog כך שישתמש במפתח ה-CMEK.

    המסוף

    1. נכנסים לדף Knowledge Catalog במסוף Google Cloud .

      מעבר אל Knowledge Catalog

    2. לוחצים על הגדרות.

    3. בקטע Select region for CMEK (בחירת אזור להצפנה באמצעות מפתח בניהול הלקוח), בוחרים אזור. האזור שבוחרים צריך להיות זהה למיקום של מפתח Cloud KMS.

    4. בקטע Select encryption key (בחירת מפתח הצפנה), בוחרים את המפתח שיצרתם.

    5. לוחצים על Save.

      תהליך הצפנת הנתונים נמשך זמן מה. בסיום התהליך תופיע ההודעה הבאה: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. הגדרת תצורת ההצפנה ב-Knowledge Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      מחליפים את מה שכתוב בשדות הבאים:

      • ORG_ID: המזהה של הארגון שמכיל את המפתח.
      • KEY_RESOURCE_ID: מזהה משאב המפתח, לדוגמה projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. מחליפים את PROJECT_ID במזהה פרויקט המפתח.

    2. בודקים שתהליך ההצפנה הושלם:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    תהליך הצפנת הנתונים נמשך זמן מה. בסיום התהליך תופיע ההודעה הבאה: encryptionState: COMPLETED.

רישום ביומן ומעקב

כדי לבצע ביקורת על בקשות של Knowledge Catalog ל-Cloud KMS, צריך להפעיל רישום ביומן ביקורת עבור Cloud KMS API.

מדיניות הארגון ל-CMEK

‫Google Cloud מספק אילוצים של מדיניות הארגון כדי לאכוף את השימוש ב-CMEK ולשלוט במפתחות Cloud KMS המותרים בארגון. ההגבלות האלה עוזרות להבטיח שהנתונים ב-Knowledge Catalog יהיו מוגנים באופן עקבי על ידי CMEK.

  • constraints/gcp.restrictNonCmekServices אוכף שימוש חובה ב-CMEK במשאבים של Knowledge Catalog.

    • הוספה של dataplex.googleapis.com לרשימת שמות השירותים והגדרת האילוץ ל-Deny אוסרת על יצירת משאבים ב-Knowledge Catalog שלא מוגנים באמצעות CMEK. Google Cloud

    • אם לא מציינים מפתח Cloud KMS למיקום המבוקש בהגדרות ההצפנה של CMEK, הבקשות ליצירת משאבים ב-Knowledge Catalog ייכשלו.

    • המדיניות הזו מאומתת ברמת הפרויקט של המשאב הספציפי.

  • constraints/gcp.restrictCmekCryptoKeyProjects מגביל את הבחירה של מפתחות Cloud KMS ל-CMEK להיררכיות משאבים ייעודיות.

    • אם מגדירים רשימה של אינדיקטורים של היררכיית משאבים (פרויקטים, תיקיות או ארגונים) ומגדירים את המגבלה ל-Allow, Knowledge Catalog מוגבל לשימוש במפתחות CMEK רק מהמיקומים שצוינו.

    • אם מספקים מפתח Cloud KMS מפרויקט שלא מורשה, הבקשות ליצירת משאבים שמוגנים באמצעות CMEK ב-Knowledge Catalog ייכשלו.

    • המדיניות הזו מאומתת ברמת הפרויקט של המשאב במהלך יצירת המשאב.

    • המדיניות הזו מאומתת ברמת הארגון כשמגדירים את הגדרות ההצפנה של CMEK.

    • כדי למנוע חוסר עקביות, חשוב לוודא שההגדרות ברמת הפרויקט תואמות למדיניות של הארגון כולו.

מידע נוסף על הגדרת מדיניות הארגון זמין במאמר מדיניות הארגון לגבי CMEK.

המאמרים הבאים