מפתחות הצפנה בניהול הלקוח

כברירת מחדל, תוכן של לקוחות מוצפן ב-NotebookLM Enterprise במצב מנוחה. ‫NotebookLM Enterprise מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל NotebookLM Enterprise. שימוש במפתחות של Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר לכם גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות להצפנת מפתחות (KEK) סימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבים של NotebookLM Enterprise דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

מגבלות של Cloud KMS ב-NotebookLM Enterprise

המגבלות הבאות חלות על מפתחות CMEK ‏ (Cloud KMS) ב-NotebookLM Enterprise:

• אי אפשר לשנות או להחליף את המפתחות.

• אי אפשר להחיל אילוצים על מדיניות הארגון על NotebookLM Enterprise.

• הגנה באמצעות CMEK ב-NotebookLM Enterprise לא משולבת עם חיפוש במאגר משאבי הענן.

• אי אפשר לשנות את הגדרות ההצפנה של מחברות. לא ניתן להגן על מחברת לא מוגנת בשלב מאוחר יותר.

• אחרי שמבצעים רישום של מפתח, אי אפשר לבטל את הרישום שלו או להסיר אותו ממאגר נתונים.

• חובה להשתמש במאגרי נתונים ובאפליקציות רב-אזוריים בארה"ב או באיחוד האירופי (ולא גלובליים). מידע נוסף על אזורים מרובים ועל מיקום נתונים, כולל מגבלות שקשורות לשימוש במיקומים לא גלובליים, זמין במאמר בנושא מיקומים.

• אם אתם צריכים לרשום יותר ממפתח אחד לפרויקט, פנו לצוות של חשבון Google שלכם כדי לבקש להגדיל את המכסה של הגדרות CMEK, וציינו למה אתם צריכים יותר ממפתח אחד.

• השימוש במנהל מפתחות חיצוני (EKM) עם CMEK זמין לכולם עם רשימת היתרים. כדי להשתמש ב-EKM עם CMEK, צריך לפנות לצוות של חשבון Google.

  המגבלות הבאות חלות על EKM או HSM עם CMEK:

  • לפחות 1,000 QPM של מרווח ביטחון צריכים להיות זמינים במכסת ה-EKM וה-HSM שלכם עבור קריאות הצפנה ופענוח. הוראות לבדיקת המכסות מופיעות במאמר בדיקת המכסות של Cloud KMS.

  • אם משתמשים ב-EKM, צריך לוודא שאפשר לגשת למפתח ביותר מ-90% מחלון זמן כלשהו שאורכו יותר מ-30 שניות. אם לא ניתן להגיע למפתח למשך הזמן הזה, הדבר עלול להשפיע לרעה על ההוספה לאינדקס ועל עדכניות החיפוש.

  • אם יש בעיות בחיוב, בעיות חוזרות שקשורות לחריגה מהמכסה או בעיות חוזרות שקשורות לחוסר זמינות למשך יותר מ-12 שעות, השירות משבית באופן אוטומטי את CmekConfig שמשויך למפתח EKM או למפתח HSM.

• אי אפשר להשתמש ב-Terraform כדי להגדיר CMEK ל-NotebookLM Enterprise.

לפני שמתחילים

צריך לוודא שמתקיימות הדרישות המוקדמות הבאות:

• יוצרים מפתח סימטרי של Cloud KMS שכולל מספר אזורים. מידע נוסף זמין במאמרים בנושא יצירת אוסף מפתחות ויצירת מפתח במסמכי התיעוד של Cloud KMS.

  • מגדירים את תקופת הרוטציה לNever (Manual rotation) (לעולם לא (רוטציה ידנית)).

  • בשדה Location, בוחרים באפשרות Multi-region ובתפריט הנפתח בוחרים באפשרות europe או us.

• תפקיד ה-IAM‏ CryptoKey Encrypter/Decrypter‏ (roles/cloudkms.cryptoKeyEncrypterDecrypter) במפתח הוענק לסוכן השירות של Discovery Engine. לחשבון של סוכן השירות יש כתובת אימייל בפורמט הבא: service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com. הוראות כלליות להוספת תפקיד לסוכן שירות מופיעות במאמר הענקת תפקיד יחיד או ביטול ההרשאה שלו.

• תפקיד ה-IAM‏ CryptoKey Encrypter/Decrypter‏ (roles/cloudkms.cryptoKeyEncrypterDecrypter) במפתח הוענק לסוכן השירות של Cloud Storage. אם התפקיד הזה לא מוקצה, ייבוא נתונים למאגרי נתונים שמוגנים באמצעות CMEK ייכשל כי Discovery Engine לא יכול ליצור את הדלי הזמני ואת הספרייה שמוגנים באמצעות CMEK, שנדרשים לייבוא.

• אל תיצרו מאגרי נתונים או אפליקציות שאתם רוצים שהמפתח ינהל עד שתסיימו את ההוראות לרישום המפתח בדף הזה.

רישום מפתח Cloud KMS

כדי להצפין נתונים באמצעות CMEK, צריך לרשום את המפתח הרב-אזורי. אם הנתונים שלכם צריכים מפתחות של אזור יחיד, למשל כשמשתמשים במחברים של צד שלישי, צריך לרשום את המפתחות של האזור היחיד.

לפני שמתחילים

חשוב לוודא את הדברים הבאים:

• האזור לא מוגן כבר על ידי מפתח. התהליך שמתואר בהמשך ייכשל אם מפתח כבר רשום לאזור באמצעות פקודת REST. כדי לבדוק אם יש מפתח פעיל ב-NotebookLM Enterprise למיקום מסוים, אפשר לעיין במאמר בנושא הצגת מפתחות Cloud KMS.

• יש לכם את התפקיד אדמין של Discovery Engine (roles/discoveryengine.admin).

התהליך

יכול להיות שיחלפו כמה שעות עד שהנתונים שהוטמעו יופיעו בתוצאות החיפוש.

ביטול הרישום של מפתח Cloud KMS

כדי לבטל את הרישום של המפתח ב-NotebookLM Enterprise, פועלים לפי השלבים הבאים:

1. קוראים לשיטה DeleteCmekConfig עם שם המשאב CmekConfig שרוצים לבטל את הרישום שלו.

   curl -X DELETE \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫LOCATION: האזור המרובה של מאגר הנתונים: us או eu.
   • ‫PROJECT_ID: מזהה הפרויקט שמכיל את מאגר הנתונים.
   • ‫CMEK_CONFIG_ID: המזהה של משאב CmekConfig. אם רשמתם את המפתח באמצעות המסוף, המזהה הוא default_cmek_config.

   דוגמה לקריאת curl ותגובה:

   $ curl -X DELETE
   -H "Authorization: Bearer $(gcloud auth print-access-token)"
   "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
    
   {
    "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789",
    "metadata": {
     "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata"
    }
   }
   

2. אופציונלי: מתעדים את הערך name שמוחזר על ידי השיטה ופועלים לפי ההוראות במאמר קבלת פרטים על פעולה ממושכת כדי לראות מתי הפעולה הושלמה.

   בדרך כלל המחיקה של מפתח נמשכת כמה דקות.

אימות ההגנה על NotebookLM Enterprise באמצעות מפתח

כדי לוודא שהמפתח שלכם מגן על NotebookLM Enterprise, פועלים לפי השלבים הבאים:

1. מבצעים קריאה ל-ListCmekConfigs:

     curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫LOCATION: האזור המרובה של מאגר הנתונים: us או eu.
   • ‫PROJECT_ID: מזהה הפרויקט ב- Google Cloud שמכיל את הנתונים.

   דוגמה לפקודה ולתוצאה

   curl -X GET \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://us-discoveryengine.googleapis.com/v1alpha/projects/my-project-123/locations/us/cmekConfigs"
   
   {
     "cmekConfigs": [
       {
       "name": "projects/123456/locations/us/cmekConfigs/cmek-config-1",
       "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key",
       "state": "ACTIVE",
       "isDefault": true,
       "kmsKeyVersion": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key/cryptoKeyVersions/1",
       "notebooklmState": "NOTEBOOK_LM_READY"
       }
     ]
   }
   
   

2. בודקים את הפלט של הפקודה. ההגדרה CmekConfig מוכנה לשימוש אם כל הרכיבים הבאים מופיעים בפלט:

   • "state": "ACTIVE"
   • "isDefault": true
   • "notebooklmState": NOTEBOOK_LM_READY

אם מפתח Cloud KMS מושבת או מבוטל

אם מפתח מושבת או שההרשאות של המפתח מבוטלות, מאגר הנתונים מפסיק להטמיע נתונים ולהציג נתונים תוך 15 דקות. עם זאת, הפעלה מחדש של מפתח או שחזור הרשאות אורכים זמן רב. יכול להיות שיחלפו עד 24 שעות לפני שמאגר הנתונים יוכל לחזור להציג נתונים.

לכן, אל תשביתו מקש אלא אם יש צורך בכך. השבתה והפעלה של מפתח במאגר נתונים הן פעולות שלוקחות זמן. לדוגמה, אם מעבירים מפתח שוב ושוב בין מצב מושבת למצב מופעל, ייקח הרבה זמן עד שמאגר הנתונים יגיע למצב מוגן. השבתה של מפתח והפעלה מחדש שלו מיד לאחר מכן עלולה לגרום להשבתה של המפתח למשך ימים, כי המפתח מושבת קודם ממאגר הנתונים ואז מופעל מחדש.