הפעלת מפתחות הצפנה בניהול הלקוח

במאמר הזה מוסבר איך להצפין נתונים ב-Dataplex Universal Catalog באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

סקירה כללית

כברירת מחדל, תוכן של לקוחות מוצפן ב-Dataplex Universal Catalog במצב מנוחה. ‫Dataplex Universal Catalog מטפל בהצפנה בשבילכם, בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Dataplex Universal Catalog. שימוש במפתחות של Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר לכם גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות להצפנת מפתחות (KEK) סימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Dataplex Universal Catalog דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

ב-Dataplex Universal Catalog נעשה שימוש במפתח CMEK אחד לכל מיקום עבור כל המשאבים של Dataplex Universal Catalog.

אפשר להגדיר מפתח CMEK ברמת הארגון ב-Dataplex Universal Catalog.

מידע נוסף על CMEK, כולל מתי ולמה כדאי להפעיל אותו, זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

היתרונות של CMEK

באמצעות CMEK, אפשר:

• ניהול פעולות מרכזיות במחזור החיים והרשאות גישה.
• אפשר לעקוב אחרי השימוש במפתחות באמצעות Key Inventory API ולוחות הבקרה Key Usage ב-Cloud KMS. כך אפשר לראות למשל אילו מפתחות מגנים על אילו משאבים. בעזרת Cloud Logging אפשר לדעת מתי הייתה גישה למפתחות ומי ניגש אליהם.
• עמידה בדרישות רגולטוריות ספציפיות באמצעות ניהול מפתחות ההצפנה.

איך CMEK עובד עם Dataplex Universal Catalog

אדמינים של הצפנה ב-Dataplex Universal Catalog בפרויקט יכולים להגדיר CMEK ל-Dataplex Universal Catalog על ידי אספקת מפתח Cloud KMS. Google Cloud לאחר מכן, Dataplex Universal Catalog משתמש במפתח Cloud KMS שצוין כדי להצפין את כל הנתונים, כולל נתונים קיימים ומשאבים חדשים שנוצרו ב-Dataplex Universal Catalog.

תכונות נתמכות

• הקטלוג האוניברסלי של Dataplex תומך בהצפנת CMEK לתכונות הבאות:

  • איכות נתונים אוטומטית
  • יצירת פרופיל נתונים
  • גילוי נתונים
  • תובנות לגבי נתונים
  • Dataplex Universal Catalog
  • מילון מונחים עסקי
  • חיפוש ב-Dataplex Universal Catalog

• Data Lineage לא מאחסן תוכן ליבה של לקוחות או מידע אישי רגיש, ולכן לא נדרשת הצפנה באמצעות CMEK.

• לקוחות Assured Workloads לא יכולים להשתמש בתכונות אחרות של Dataplex Universal Catalog כי הצפנת CMEK לא אפשרית עבורם.

• לקוחות שלא משתמשים ב-Assured Workloads יכולים להשתמש בתכונות אחרות, אבל הנתונים מוצפנים באמצעות הצפנת ברירת המחדל של Google.

לתשומת ליבכם

• כברירת מחדל, כל ארגון מקבל הקצאה באמצעות הצפנת ברירת המחדל של Google.
• האדמין הארגוני יכול לעבור ל-CMEK ב-Dataplex Universal Catalog בכל מיקום.
• הקטלוג האוניברסלי של Dataplex תומך במפתחות Cloud KMS, במפתחות Cloud HSM ובמפתחות Cloud External Key Manager.
• המערכת תומכת ברוטציית מפתחות, ואחרי שהיא זמינה, גרסת המפתח החדשה משמשת אוטומטית להצפנת נתונים. גם הנתונים הקיימים מוצפנים באמצעות הגרסה החדשה.
• ב-Dataplex Universal Catalog נשמרים גיבויי נתונים למשך 15 ימים לכל היותר. כל הגיבויים שנוצרו אחרי שמפעילים את CMEK מוצפנים באמצעות מפתח KMS שצוין. נתונים שגובו לפני הפעלת CMEK נשארים מוצפנים באמצעות ההצפנה שמוגדרת כברירת מחדל ב-Google למשך 15 ימים לכל היותר.

מגבלות

• המעבר ל-CMEK הוא תהליך בלתי הפיך. אחרי שבוחרים ב-CMEK, אי אפשר לחזור להצפנה שמוגדרת כברירת מחדל ב-Google.
• אחרי שמגדירים מפתח Cloud KMS עבור Dataplex Universal Catalog, אי אפשר לעדכן או לשנות אותו.
• ‫Dataplex Universal Catalog תומך בהצפנה ברמת הארגון בלבד. כתוצאה מכך, הגדרת ההצפנה נקבעת ברמת הארגון עבור מיקום נתון, ומשמשת להצפנת נתונים ב-Dataplex Universal Catalog עבור כל הפרויקטים בארגון ובמיקום הזה. הצפנת CMEK לא נתמכת בפרויקטים ספציפיים בארגון או בתיקייה. הגדרת מדיניות ארגונית שקשורה ל-CMEK מחייבת שיקול דעת מדוקדק.
• Dataplex Universal Catalog לא תומך ב-CMEK באזור הגלובלי.

• כש-CMEK מופעל ב-Dataplex Universal Catalog, התכונות הבאות לא פועלות:

  • חיפוש מטא-נתונים בכל הארגון

• לפני שמגדירים CMEK ב-Dataplex Universal Catalog, צריך להשבית את Data Catalog (הוצא משימוש) API בכל הפרויקטים.

שדרוג של הגדרות CMEK קיימות

אם הפעלתם CMEK ב-Dataplex Universal Catalog לפני 7 בנובמבר 2025, צריך להריץ את הפקודה הבאה כדי להרחיב את הכיסוי של CMEK ל-Dataplex Universal Catalog ולחיפוש ב-Dataplex Universal Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• מחליפים את ORG_ID במזהה הארגון שמכיל את המפתח.
• מחליפים את LOCATION במיקום של הארגון שמכיל את המפתח.

כשמצפינים את הנתונים, יכול להיות שתיתקלו בבעיה בזמינות של Dataplex Universal Catalog.

אם תפעילו את CMEK בפעם הראשונה אחרי 7 בנובמבר 2025, מאגר המטא-נתונים והחיפוש של Dataplex Universal Catalog ייכללו בכיסוי של CMEK כברירת מחדל.

הגנה על מפתחות ההצפנה

כדי להבטיח גישה רציפה לנתונים שמוצפנים באמצעות CMEK, מומלץ לפעול לפי השיטות המומלצות הבאות:

• חשוב לוודא שמפתחות ה-CMEK שלכם נשארים מופעלים ונגישים. אם משביתים או הורסים מפתח, לא תהיה גישה לנתונים של Dataplex Universal Catalog. אם המפתח לא זמין במשך יותר מ-30 יום, הנתונים שהוצפנו באמצעות המפתח הזה נמחקים אוטומטית ואי אפשר לשחזר אותם.
• אם מפתח Cloud KMS נהרס ואי אפשר לשחזר אותו, כל הנתונים המשויכים ב-Dataplex Universal Catalog יאבדו באופן סופי.
• במקרים שבהם Cloud KMS לא זמין באופן זמני, Dataplex Universal Catalog ממשיך לתמוך בפעולות מלאות על בסיס מיטב המאמצים למשך שעה אחת לכל היותר. אחרי התקופה הזו, הגישה לנתונים תהיה זמנית בלבד כאמצעי הגנה.
• כשמשתמשים ב-Cloud EKM, חשוב לזכור ש-Google לא שולטת בזמינות של המפתחות שמנוהלים חיצונית. חוסר זמינות של מפתח לטווח קצר גורם לחוסר גישה זמני לנתונים. אם מפתח לא זמין במשך 30 ימים, הנתונים יאבדו באופן סופי.
• אחרי שמפעילים את CMEK, לא מומלץ להעביר פרויקטים מארגון אחד לארגון אחר, כי הפעולה הזו גורמת לאובדן נתונים.

זמינות של Dataplex Universal Catalog

בקטעים הבאים מתואר התהליך וההשפעה התפעולית הצפויה כשמפעילים CMEK בארגון Dataplex Universal Catalog.

הקצאת תשתיות ראשונית

אחרי ששומרים את הגדרות ההצפנה, Dataplex Universal Catalog מגדיר את התשתית הנדרשת. בדרך כלל התהליך הזה נמשך 6 עד 8 שעות. במהלך שלב ההקצאה הזה, נשמרת לכם גישה מלאה לכל התכונות והפונקציות של Dataplex Universal Catalog, והנתונים נשארים מוצפנים באמצעות הצפנה שמנוהלת על ידי Google. אם מדיניות הארגון constraints/gcp.restrictNonCmekServices מוגדרת, בקשות ליצירת משאבים ייכשלו עד להשלמת שלב ההקצאה.

הצפנת נתונים וזמינות API

אחרי הקצאת התשתית, Dataplex Universal Catalog מתחיל להצפין נתונים קיימים שמאוחסנים בארגון. כדי להבטיח את שלמות הנתונים ולמנוע חוסר עקביות פוטנציאלי במהלך תהליך ההצפנה הזה, השיטות של Dataplex API לא זמינות באופן זמני. ההגבלה הזו מונעת פעולות של עדכון נתונים. כשמפעילים לראשונה את CMEK ב-Dataplex Universal Catalog, כל הנתונים הקיימים מוצפנים. הפעולה החד-פעמית הזו צפויה להימשך עד שעתיים.

פעולות אחרי ההצפנה

אחרי השלמת ההצפנה של הנתונים הקיימים, כל השיטות של Dataplex API יהיו זמינות. יצירה או שינוי של נתונים ב-Dataplex Universal Catalog מוצפנים באופן אוטומטי באמצעות CMEK שהוגדר, ללא הפרעות תפעוליות או הגבלות API.

יצירת מפתח והפעלת CMEK

בהוראות הבאות מוסבר איך ליצור מפתח ולהפעיל CMEK עבור Dataplex Universal Catalog. אתם יכולים להשתמש במפתח שנוצר ישירות ב-Cloud KMS או במפתח שמנוהל באופן חיצוני וזמין באמצעות Cloud EKM.

1. בפרויקט Google Cloud שבו רוצים לנהל את המפתחות, מבצעים את הפעולות הבאות:

   1. הפעלת Cloud Key Management Service API.

   2. יוצרים אוסף מפתחות של Cloud KMS במיקום שבו רוצים להשתמש בו.

   3. יוצרים מפתח באחת מהדרכים הבאות:

      • יצירת מפתח Cloud KMS
      • יצירת מפתח חיצוני

2. יוצרים ומציגים את חשבון השירות שמנוהל על ידי Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   מחליפים את ORG_ID במזהה הארגון שמכיל את המפתח.

   אם מוצגת לכם בקשה להתקין את רכיב פקודות הבטא של Google Cloud CLI, מזינים Y.

   הפקודה services identity ב-CLI של gcloud יוצרת או מקבלת את חשבון השירות הספציפי שמנוהל על ידי Google, שבו Dataplex Universal Catalog יכול להשתמש כדי לגשת למפתח Cloud KMS.

   מזהה חשבון השירות מעוצב כ-service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. נוצר גם חשבון שירות ספציפי ל-CMEK, בפורמט service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. חשבון השירות הספציפי ל-CMEK משמש להצפנה ולפענוח של נתונים שמאוחסנים ב-Dataplex Universal Catalog. אם אתם משתמשים ב-VPC Service Controls למפתח Cloud KMS, אתם צריכים להעניק גישה לחשבון השירות הספציפי ל-CMEK באמצעות כלל לתעבורת נתונים נכנסת.

3. מקצים לחשבון השירות של Dataplex Universal Catalog את תפקיד ה-IAM 'מצפין/מפענח של מפתח הצפנה' (roles/cloudkms.cryptoKeyEncrypterDecrypter). צריך לתת את ההרשאה הזו למפתח שיצרתם.

   המסוף

   1. עוברים לדף ניהול מפתחות.

      מעבר אל 'ניהול מפתחות'

   2. לוחצים על אוסף המפתחות.

   3. ברשימת המפתחות הזמינים, לוחצים על המפתח שיצרתם.

   4. לוחצים על הכרטיסייה Permissions.

   5. לוחצים על הענקת גישה.

   6. בחלונית Grant access (הענקת גישה) שנפתחת, פועלים לפי השלבים הבאים כדי להעניק גישה לחשבון השירות של Dataplex Universal Catalog:

      1. בשדה Add principals (הוספת חשבונות משתמשים), מזינים את חשבון השירות service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. בקטע Assign roles, בוחרים את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter.
      3. לוחצים על Save.

   gcloud

   מקצים לחשבון השירות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫KEY_NAME: שם המפתח
   • ‫LOCATION: המיקום
   • ‫KEY_RING: אוסף המפתחות
   • ‫KEY_PROJECT_ID: מזהה הפרויקט של המפתח

4. מקצים לעצמכם את תפקיד האדמין של הצפנה ב-Dataplex.

   המסוף

   פועלים לפי ההוראות להענקת תפקיד IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ORG_ID: המזהה של הארגון שמכיל את המפתח.
   • ‫USER_EMAIL: כתובת האימייל של המשתמש.

5. מגדירים את Dataplex Universal Catalog לשימוש במפתח CMEK.

   המסוף

   1. נכנסים לדף Dataplex במסוף Google Cloud .

      מעבר אל Dataplex

   2. לוחצים על הגדרות.

   3. בקטע Select region for CMEK (בחירת אזור ל-CMEK), בוחרים אזור. האזור שבוחרים צריך להיות זהה למיקום של מפתח Cloud KMS.

   4. בקטע Select encryption key (בחירת מפתח הצפנה), בוחרים את המפתח שיצרתם.

   5. לוחצים על Save.

      תהליך הצפנת הנתונים נמשך זמן מה. בסיום התהליך, תופיע ההודעה הבאה: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. מגדירים את תצורת ההצפנה ב-Dataplex Universal Catalog:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫ORG_ID: המזהה של הארגון שמכיל את המפתח.
      • ‫KEY_RESOURCE_ID: מזהה משאב המפתח, לדוגמה projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. מחליפים את PROJECT_ID במזהה פרויקט המפתח.

   2. בודקים שתהליך ההצפנה הושלם:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   תהליך הצפנת הנתונים נמשך זמן מה. בסיום התהליך תופיע ההודעה הבאה: encryptionState: COMPLETED.

רישום ביומן ומעקב

כדי לבצע ביקורת על בקשות של Dataplex Universal Catalog ל-Cloud KMS, צריך להפעיל רישום ביומן הביקורת עבור Cloud KMS API.

מדיניות הארגון ל-CMEK

‫Google Cloud מספק אילוצים של מדיניות הארגון כדי לאכוף את השימוש ב-CMEK ולשלוט במפתחות Cloud KMS המותרים בארגון. ההגבלות האלה עוזרות להבטיח שהנתונים ב-Dataplex Universal Catalog יהיו מוגנים באופן עקבי על ידי CMEK.

• ‫constraints/gcp.restrictNonCmekServices אוכף שימוש חובה ב-CMEK במשאבי Dataplex Universal Catalog.

  • הוספה של dataplex.googleapis.com לרשימת שמות השירותים Google Cloud והגדרת האילוץ ל-Deny אוסרת על יצירת משאבי Dataplex Universal Catalog שלא מוגנים באמצעות CMEK.

  • אם לא מצוין מפתח Cloud KMS למיקום המבוקש בהגדרות ההצפנה של CMEK, בקשות ליצירת משאבים ב-Dataplex Universal Catalog ייכשלו.

  • המדיניות הזו מאומתת ברמת הפרויקט של המשאב הספציפי.

• ‫constraints/gcp.restrictCmekCryptoKeyProjects מגביל את הבחירה של מפתחות Cloud KMS ל-CMEK להיררכיות משאבים ייעודיות.

  • אם מגדירים רשימה של אינדיקטורים של היררכיית משאבים (פרויקטים, תיקיות או ארגונים) ומגדירים את האילוץ ל-Allow, השימוש ב-Dataplex Universal Catalog מוגבל למפתחות CMEK רק מהמיקומים שצוינו.

  • אם מספקים מפתח Cloud KMS מפרויקט שלא מורשה, הבקשות ליצירת משאבים שמוגנים באמצעות CMEK ב-Dataplex Universal Catalog ייכשלו.

  • המדיניות הזו מאומתת ברמת הפרויקט של המשאב במהלך יצירת המשאב.

  • המדיניות הזו מאומתת ברמת הארגון כשמגדירים את הגדרות ההצפנה של CMEK.

  • כדי למנוע חוסר עקביות, חשוב לוודא שההגדרות ברמת הפרויקט תואמות למדיניות של הארגון.

מידע נוסף על הגדרת מדיניות הארגון זמין במאמר מדיניות הארגון לגבי CMEK.

המאמרים הבאים

• CMEK