„Vom Kunden verwaltete Verschlüsselungsschlüssel“ aktivieren

In diesem Dokument wird beschrieben, wie Sie Knowledge Catalog-Daten (früher Dataplex Universal Catalog) mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsseln.

Übersicht

Knowledge Catalog verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird vom Knowledge Catalog übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Knowledge Catalog verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Knowledge Catalog-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Im Knowledge Catalog wird ein CMEK pro Standort für alle Knowledge Catalog-Ressourcen verwendet.

Sie können einen CMEK-Schlüssel auf Organisationsebene im Knowledge Catalog konfigurieren.

Weitere allgemeine Informationen zu CMEK einschließlich ihrer Aktivierung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Vorteile von CMEK

Mit CMEK haben Sie folgende Möglichkeiten:

• Schlüssel-Lebenszyklusvorgänge und Zugriffsberechtigungen verwalten
• Mit der Key Inventory API und den Key Usage-Dashboards in Cloud KMS können Sie die Schlüsselnutzung nachverfolgen und beispielsweise sehen, welche Schlüssel welche Ressourcen schützen. Cloud Logging gibt Aufschluss darüber, wann und von wem auf die Schlüssel zugegriffen wurde.
• Sie können bestimmte regulatorische Anforderungen erfüllen, indem Sie Ihre Verschlüsselungsschlüssel verwalten.

Funktionsweise von CMEK mit Knowledge Catalog

Administratoren für die Knowledge Catalog-Verschlüsselung in Ihrem Google Cloud -Projekt können CMEK für Knowledge Catalog konfigurieren, indem sie den Cloud KMS-Schlüssel angeben. Anschließend verwendet Knowledge Catalog den angegebenen Cloud KMS-Schlüssel, um alle Daten zu verschlüsseln, einschließlich vorhandener Daten und aller neuen Ressourcen, die in Knowledge Catalog erstellt werden.

Unterstützte Features

• Knowledge Catalog unterstützt die CMEK-Verschlüsselung für die folgenden Funktionen:

  • Automatische Datenqualität
  • Datenprofilerstellung
  • Data Discovery
  • Datenanalyse
  • Knowledge Catalog
  • Geschäftsglossar
  • Knowledge Catalog-Suche

• In Data Lineage werden keine wichtigen Kundeninhalte oder sensiblen Daten gespeichert. Daher ist keine CMEK-Verschlüsselung erforderlich.

• Assured Workloads-Kunden können keine anderen Knowledge Catalog-Funktionen verwenden, da die CMEK-Verschlüsselung für sie nicht unterstützt wird.

• Kunden, die Assured Workloads nicht verwenden, können andere Funktionen nutzen. Die Daten werden jedoch mit der standardmäßigen Google-Verschlüsselung verschlüsselt.

Hinweise

• Standardmäßig wird jede Organisation mit der Standardverschlüsselung von Google bereitgestellt.
• Der Organisationsadministrator kann für jeden Standort in Knowledge Catalog zu CMEK wechseln.
• Knowledge Catalog unterstützt Cloud KMS-Schlüssel, Cloud HSM-Schlüssel und Cloud External Key Manager-Schlüssel.
• Die Schlüsselrotation wird unterstützt. Sobald sie verfügbar ist, wird die neue Schlüsselversion automatisch für die Datenverschlüsselung verwendet. Vorhandene Daten werden ebenfalls mit dieser neuen Version verschlüsselt.
• Im Knowledge Catalog werden Datensicherungen maximal 15 Tage lang aufbewahrt. Alle Back-ups, die nach der Aktivierung von CMEK erstellt werden, werden mit dem angegebenen KMS-Schlüssel verschlüsselt. Daten, die vor der Aktivierung von CMEK gesichert wurden, bleiben maximal 15 Tage lang mit der Standardverschlüsselung von Google verschlüsselt.

Beschränkungen

• Der Wechsel zu CMEK kann nicht rückgängig gemacht werden. Nachdem Sie sich für CMEK entschieden haben, können Sie nicht mehr zur Standardverschlüsselung von Google zurückkehren.
• Nachdem ein Cloud KMS-Schlüssel für den Knowledge Catalog konfiguriert wurde, kann er nicht mehr aktualisiert oder geändert werden.
• Knowledge Catalog unterstützt nur die Verschlüsselung auf Organisationsebene. Die Verschlüsselungskonfiguration wird daher auf Organisationsebene für einen bestimmten Standort festgelegt und zum Verschlüsseln von Knowledge Catalog-Daten für alle Projekte innerhalb dieser Organisation und dieses Standorts verwendet. Die CMEK-Verschlüsselung wird für bestimmte Projekte in einer Organisation oder einem Ordner nicht unterstützt. Das Festlegen von CMEK-bezogenen Organisationsrichtlinien erfordert sorgfältige Überlegungen.
• Knowledge Catalog unterstützt CMEK in der globalen Region nicht.

• Wenn CMEK für Knowledge Catalog aktiviert ist, funktionieren die folgenden Funktionen nicht:

  • Organisationsübergreifende Metadatensuche

• Bevor Sie CMEK in Knowledge Catalog konfigurieren, müssen Sie die Data Catalog API (eingestellt) in allen Projekten deaktivieren.

• Wenn Sie CMEK in Knowledge Catalog aktivieren, migrieren Sie keine Projekte in die oder aus der CMEK-Organisation. Wenn Sie die organisatorische Platzierung eines Projekts ändern, gehen die im Knowledge Catalog gespeicherten Metadaten für dieses Projekt dauerhaft verloren.

Vorhandene CMEK-Konfigurationen aktualisieren

Wenn Sie CMEK in Knowledge Catalog vor dem 7. November 2025 aktiviert haben, führen Sie den folgenden Befehl aus, um die CMEK-Abdeckung auf Knowledge Catalog und die Knowledge Catalog-Suche auszuweiten:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• Ersetzen Sie ORG_ID durch die ID der Organisation, die den Schlüssel enthält.
• Ersetzen Sie LOCATION durch den Speicherort der Organisation, die den Schlüssel enthält.

Wenn die Daten verschlüsselt sind, kann es zu einem Problem mit der Verfügbarkeit des Knowledge Catalog kommen.

Wenn Sie CMEK zum ersten Mal nach dem 7. November 2025 aktivieren, sind Knowledge Catalog Metastore und Search standardmäßig in der CMEK-Abdeckung enthalten.

Verschlüsselungsschlüssel schützen

Damit Sie weiterhin auf die Daten zugreifen können, die mit CMEK verschlüsselt sind, sollten Sie die folgenden Best Practices beachten:

• Achten Sie darauf, dass Ihre CMEK-Schlüssel aktiviert und zugänglich bleiben. Wenn ein Schlüssel deaktiviert oder gelöscht wird, sind Knowledge Catalog-Daten nicht mehr zugänglich. Wenn der Schlüssel länger als 30 Tage nicht verfügbar ist, werden die mit diesem Schlüssel verschlüsselten Daten automatisch gelöscht und können nicht wiederhergestellt werden.
• Wenn der Cloud KMS-Schlüssel gelöscht wird und nicht wiederhergestellt werden kann, gehen alle zugehörigen Knowledge Catalog-Daten dauerhaft verloren.
• Wenn Cloud KMS vorübergehend nicht verfügbar ist, unterstützt Knowledge Catalog bis zu einer Stunde weiterhin alle Vorgänge nach besten Kräften. Danach sind die Daten vorübergehend nicht mehr zugänglich.
• Wenn Sie Cloud EKM verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihrer extern verwalteten Schlüssel. Eine kurzfristige Nichtverfügbarkeit des Schlüssels führt zu einem vorübergehenden Datenverlust. Wenn ein Schlüssel 30 Tage lang nicht verfügbar ist, führt dies zu einem dauerhaften Datenverlust.

Verfügbarkeit von Knowledge Catalog

In den folgenden Abschnitten werden der Prozess und die erwarteten betrieblichen Auswirkungen beschrieben, wenn Sie CMEK für Ihre Knowledge Catalog-Organisation aktivieren.

Erste Infrastrukturbereitstellung

Nachdem Sie die Verschlüsselungskonfiguration gespeichert haben, richtet Knowledge Catalog die erforderliche Infrastruktur ein. Dieser Vorgang dauert in der Regel 6 bis 8 Stunden. Während dieser Bereitstellungsphase haben Sie weiterhin vollen Zugriff auf alle Knowledge Catalog-Funktionen und die Daten bleiben durch die von Google verwaltete Verschlüsselung verschlüsselt. Wenn die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices festgelegt ist, schlagen Anfragen zur Ressourcenerstellung fehl, bis die Bereitstellungsphase abgeschlossen ist.

Datenverschlüsselung und API-Verfügbarkeit

Nach der Bereitstellung der Infrastruktur beginnt Knowledge Catalog mit der Verschlüsselung vorhandener Daten, die in der Organisation gespeichert sind. Um die Datenintegrität zu gewährleisten und potenzielle Inkonsistenzen während dieses Verschlüsselungsprozesses zu verhindern, sind Dataplex API-Methoden vorübergehend nicht verfügbar. Diese Einschränkung verhindert Datenaktualisierungsvorgänge. Wenn Sie CMEK für Knowledge Catalog aktivieren, werden alle vorhandenen Daten verschlüsselt. Dieser einmalige Vorgang dauert schätzungsweise bis zu zwei Stunden.

Vorgänge nach der Verschlüsselung

Nachdem die Verschlüsselung vorhandener Daten abgeschlossen ist, sind die Dataplex API-Methoden vollständig verfügbar. Das Erstellen oder Ändern von Daten im Knowledge Catalog wird automatisch mit dem konfigurierten CMEK verschlüsselt, ohne dass es zu betrieblichen Unterbrechungen oder API-Einschränkungen kommt.

Schlüssel erstellen und CMEK aktivieren

In der folgenden Anleitung wird beschrieben, wie Sie einen Schlüssel erstellen und CMEK für Knowledge Catalog aktivieren. Sie können einen Schlüssel verwenden, der direkt in Cloud KMS erstellt wurde, oder einen extern verwalteten Schlüssel, den Sie mit Cloud EKM zur Verfügung stellen.

1. Führen Sie im Google Cloud -Projekt, in dem Sie Ihre Schlüssel verwalten möchten, die folgenden Schritte aus:

   1. Cloud Key Management Service API aktivieren

   2. Erstellen Sie einen Cloud KMS-Schlüsselbund an dem Speicherort, an dem Sie ihn verwenden möchten.

   3. Erstellen Sie einen Schlüssel mit einer der folgenden Optionen:

      • Cloud KMS-Schlüssel erstellen
      • Externen Schlüssel erstellen

2. Von Google verwaltetes Dienstkonto erstellen und anzeigen:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Ersetzen Sie ORG_ID durch die ID der Organisation, die den Schlüssel enthält.

   Wenn Sie aufgefordert werden, die Komponente „Google Cloud CLI-Betabefehle“ zu installieren, geben Sie Y ein.

   Mit dem gcloud CLI-Befehl services identity wird das spezifische von Google verwaltete Dienstkonto erstellt oder abgerufen, das Knowledge Catalog für den Zugriff auf den Cloud KMS-Schlüssel verwenden kann.

   Die Dienstkonto-ID hat das Format service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Außerdem wird ein CMEK-spezifisches Dienstkonto im Format service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com erstellt. Das CMEK-spezifische Dienstkonto wird zum Ver- und Entschlüsseln von Daten verwendet, die im Knowledge Catalog gespeichert sind. Wenn Sie VPC Service Controls für den Cloud KMS-Schlüssel verwenden, müssen Sie dem CMEK-spezifischen Dienstkonto mit einer Eingangsregel Zugriff gewähren.

3. Weisen Sie dem Knowledge Catalog-Dienstkonto die IAM-Rolle „CryptoKey-Verschlüsseler/Entschlüsseler“ (roles/cloudkms.cryptoKeyEncrypterDecrypter) zu. Erteilen Sie diese Berechtigung für den von Ihnen erstellten Schlüssel.

   Console

   1. Rufen Sie die Seite Schlüsselverwaltung auf.

      Schlüsselverwaltung aufrufen

   2. Klicken Sie auf den Schlüsselbund.

   3. Klicken Sie in der Liste der verfügbaren Schlüssel auf den Schlüssel, den Sie erstellt haben.

   4. Klicken Sie auf den Tab Berechtigungen.

   5. Klicken Sie auf Zugriff erlauben.

   6. Führen Sie im Bereich Zugriff gewähren, der sich öffnet, die folgenden Schritte aus, um Zugriff auf das Knowledge Catalog-Dienstkonto zu gewähren:

      1. Geben Sie unter Hauptkonten hinzufügen das Dienstkonto service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com ein.
      2. Wählen Sie unter Rollen zuweisen die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ aus.
      3. Klicken Sie auf Speichern.

   gcloud

   Weisen Sie dem Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Ersetzen Sie Folgendes:

   • KEY_NAME: der Schlüsselname
   • LOCATION: der Standort
   • KEY_RING: der Schlüsselbund
   • KEY_PROJECT_ID: die Schlüsselprojekt-ID

4. Weisen Sie sich selbst die Rolle „Dataplex Encryption Admin“ zu.

   Console

   Folgen Sie der Anleitung zum Zuweisen einer IAM-Rolle.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Ersetzen Sie Folgendes:

   • ORG_ID: die ID der Organisation, die den Schlüssel enthält.
   • USER_EMAIL: die E-Mail-Adresse des Nutzers.

5. Konfigurieren Sie den Knowledge Catalog so, dass Ihr CMEK-Schlüssel verwendet wird.

   Console

   1. Rufen Sie in der Google Cloud Console die Seite „Knowledge Catalog“ auf.

      Zum Wissenskatalog

   2. Klicken Sie auf Einstellungen.

   3. Wählen Sie unter Region für CMEK auswählen eine Region aus. Die ausgewählte Region muss mit dem Standort des Cloud KMS-Schlüssels übereinstimmen.

   4. Wählen Sie unter Verschlüsselungsschlüssel auswählen den von Ihnen erstellten Schlüssel aus.

   5. Klicken Sie auf Speichern.

      Die Datenverschlüsselung dauert eine Weile. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Legen Sie die Verschlüsselungskonfiguration im Knowledge Catalog fest:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Ersetzen Sie Folgendes:

      • ORG_ID: die ID der Organisation, die den Schlüssel enthält.
      • KEY_RESOURCE_ID: die Schlüsselressourcen-ID, z. B. projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ersetzen Sie PROJECT_ID durch die Schlüsselprojekt-ID.

   2. Prüfen Sie, ob die Verschlüsselung abgeschlossen ist:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   Die Datenverschlüsselung dauert eine Weile. Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung angezeigt: encryptionState: COMPLETED.

Logging und Monitoring

Sie können Knowledge Catalog-Anfragen an Cloud KMS prüfen, indem Sie Audit-Logging für die Cloud KMS API aktivieren.

CMEK-Organisationsrichtlinien

Google Cloud bietet Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung zu erzwingen und die zulässigen Cloud KMS-Schlüssel in Ihrer Organisation zu steuern. Diese Einschränkungen tragen dazu bei, dass Daten im Knowledge Catalog einheitlich durch CMEK geschützt werden.

• constraints/gcp.restrictNonCmekServices erzwingt die obligatorische CMEK-Nutzung für Knowledge Catalog-Ressourcen.

  • Wenn Sie dataplex.googleapis.com der Liste der Google Cloud Dienstnamen hinzufügen und die Einschränkung auf Deny festlegen, wird die Erstellung von Knowledge Catalog-Ressourcen ohne CMEK-Schutz verhindert.

  • Wenn in den CMEK-Verschlüsselungseinstellungen kein Cloud KMS-Schlüssel für den angeforderten Standort angegeben ist, schlagen Anfragen zum Erstellen von Ressourcen im Knowledge Catalog fehl.

  • Diese Richtlinie wird auf Projektebene für die einzelnen Ressourcen validiert.

• constraints/gcp.restrictCmekCryptoKeyProjects beschränkt die Auswahl von Cloud KMS-Schlüsseln für CMEK auf bestimmte Ressourcenhierarchien.

  • Wenn Sie eine Liste von Indikatoren für die Ressourcenhierarchie (Projekte, Ordner oder Organisationen) konfigurieren und die Einschränkung auf Allow festlegen, verwendet Knowledge Catalog CMEK-Schlüssel nur von den angegebenen Standorten.

  • Wenn ein Cloud KMS-Schlüssel aus einem nicht zulässigen Projekt angegeben wird, schlagen Anfragen zum Erstellen von CMEK-geschützten Ressourcen im Knowledge Catalog fehl.

  • Diese Richtlinie wird bei der Ressourcenerstellung auf Ebene des Ressourcenprojekts validiert.

  • Diese Richtlinie wird auf Organisationsebene validiert, wenn CMEK-Verschlüsselungseinstellungen konfiguriert werden.

  • Achten Sie darauf, dass Konfigurationen auf Projektebene mit organisationsweiten Richtlinien übereinstimmen, um Inkonsistenzen zu vermeiden.

Weitere Informationen zum Konfigurieren von Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Nächste Schritte

• Weitere Informationen zu CMEK