Agent Search verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Agent Search für Sie übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Agent Search verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Agent Search-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).
Wenn ein CMEK-Schlüssel registriert ist, ruft Agent Search Cloud KMS regelmäßig auf, um eine logisch isolierte Instanz Ihrer Daten zu verwalten. Das passiert auch dann, wenn die CMEK-Konfiguration nicht als Standard festgelegt ist und keine Apps oder Datenconnectors sie verwenden. Die Nutzung entsteht durch das Einrichten und Ausführen der Instanz, nicht durch das Datenvolumen oder die Anzahl der Nutzer, die darauf zugreifen. Weitere Informationen finden Sie unter Cloud Key Management Service – Preise.
Einschränkungen von Cloud KMS in Agent Search
Für CMEK-Schlüssel (Cloud KMS) in Agent Search gelten die folgenden Einschränkungen:
- Schlüssel, die bereits auf eine App oder einen Datenconnector angewendet wurden, können nicht geändert werden. Schlüsselversionen können jedoch rotiert werden.
- Sie müssen US- oder EU-multiregionale Apps und Datenspeicher verwenden (keine globalen). Weitere Informationen zu multiregionalen Standorten und zum Datenstandort, einschließlich der Einschränkungen, die mit der Verwendung nicht-globaler Standorte verbunden sind, finden Sie unter Standorte.
Wenn Sie mehr als einen Schlüssel für ein Projekt registrieren müssen, wenden Sie sich an Ihr Google Konten-Team, um eine Erhöhung des Kontingents für CMEK-Konfigurationen zu beantragen. Geben Sie dabei an, warum Sie mehr als einen Schlüssel benötigen.
Für EKM oder HSM mit CMEK gelten die folgenden Einschränkungen:
Ihr EKM- und HSM-Kontingent für Verschlüsselungs- und Entschlüsselungsaufrufe muss pro Minute mindestens 1.000 zusätzliche freie Anfragen verarbeiten können, um Lastspitzen abzufangen. Informationen zum Prüfen Ihrer Kontingente finden Sie unter Cloud KMS-Kontingente prüfen.
Wenn Sie EKM verwenden, muss der Schlüssel in jedem beliebigen Zeitfenster von mehr als 30 Sekunden für mindestens 90 % der Zeit erreichbar sein. Wenn der Schlüssel in diesem Zeitraum nicht erreichbar ist, kann sich das negativ auf die Indexierung und Aktualität der Suche auswirken.
Bei Abrechnungsproblemen, dauerhaften Problemen mit dem Kontingent oder dauerhaften Problemen mit der Erreichbarkeit, d. h., wenn die Probleme länger als 12 Stunden bestehen, wird die mit dem EKM- oder HSM-Schlüssel verknüpfte CmekConfig-Ressource automatisch deaktiviert.
- Apps oder Datenconnectors, die vor der Registrierung eines Schlüssels für das Projekt erstellt wurden, können nicht durch den Schlüssel geschützt werden.
- Sie können Suchmodelle nicht für Apps und Daten-Connectors abstimmen, die durch Schlüssel geschützt sind.
- Wenn eine Anwendung mehrere Datenconnectors hat und einer davon eine CMEK-Konfiguration verwendet, müssen alle anderen Datenconnectors dieselbe CMEK-Konfiguration verwenden.
Für die Agent-Suche ist die Enterprise-Version erforderlich. Informationen zur Enterprise-Version finden Sie unter Erweiterte Funktionen.
Erstanbieter-Connectors sind nicht CMEK-konform, mit Ausnahme der Apps und Daten-Connectors „import-once“ (einmaliger Import) und „periodic“ (regelmäßig) für BigQuery und Cloud Storage.
Anwendungen zur Suche nach Gesundheitsdaten, Daten-Connectors und Drittanbieter-Connectors sind CMEK-kompatibel. Allgemeine Informationen zu Gesundheits-Apps und Daten-Connectors finden Sie unter Gesundheits-App oder Daten-Connector erstellen. Informationen dazu, wie Sie Drittanbieter-Connectors CMEK-kompatibel machen, finden Sie unter Schlüssel für einzelne Regionen für Drittanbieter-Connectors.
Schlüssel gelten nicht für die folgenden RAG-APIs, da bei diesen APIs keine Inhalte im Ruhezustand gespeichert werden: Fundierungsprüfung, fundierte Generierung und Ranking.
- Sie können CMEK für Agent Search mit Terraform konfigurieren. Weitere Informationen finden Sie unter google_discovery_engine_cmek_config.
Schlüssel für eine einzelne Region für Drittanbieter-Connectors
Wenn Sie Drittanbieter-Connectors verwenden und die verbundenen Daten mit eigenen Schlüsseln schützen möchten, müssen Sie zusätzlich zum Schlüssel für mehrere Regionen drei zusätzliche Schlüssel für einzelne Regionen erstellen. Die Befehle zum Erstellen von Schlüsseln finden Sie im folgenden Verfahren Cloud KMS-Schlüssel registrieren.
Die einzelnen Schlüssel müssen für die folgenden Regionen erstellt werden:
| Mehrere Regionen | Einzelne Regionen | ||
|---|---|---|---|
eu |
europe-west1 |
europe-west4 |
europe-north1 |
us |
us-east1 |
us-central1 |
us-west1 |
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
Erstellen Sie einen multiregionalen, symmetrischen Cloud KMS-Schlüssel. Weitere Informationen finden Sie in der Cloud KMS-Dokumentation unter Schlüsselbund erstellen und Schlüssel erstellen.
Legen Sie den Rotationszeitraum auf Nie (manuelle Rotation) fest.
Wählen Sie als Standort die Option Mehrere Regionen aus und wählen Sie im Drop-down-Menü Europa oder USA aus.
Die IAM-Rolle „CryptoKey Encrypter/Decrypter“ (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Schlüssel wurde dem Discovery Engine-Dienst-Agent zugewiesen. Das Dienst-Agent-Konto hat eine E-Mail-Adresse im folgenden Format:service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com. Eine allgemeine Anleitung zum Hinzufügen einer Rolle zu einem Dienst-Agent finden Sie unter Einzelne Rolle gewähren oder widerrufen.Die IAM-Rolle „CryptoKey Encrypter/Decrypter“ (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den Schlüssel wurde dem Cloud Storage-Dienst-Agent zugewiesen. Wenn diese Rolle nicht gewährt wird, schlägt der Datenimport für CMEK-geschützte Apps und Daten-Connectors fehl, da Discovery Engine den CMEK-geschützten temporären Bucket und das Verzeichnis, die für den Import erforderlich sind, nicht erstellen kann.Erstellen Sie keine Apps oder Daten-Connectors, die von Ihrem Schlüssel verwaltet werden sollen, bevor Sie die Schlüsselregistrierung auf dieser Seite abgeschlossen haben.
- Die Funktionen der Enterprise-Version sind für die App aktiviert. Weitere Informationen finden Sie unter Enterprise-Version aktivieren oder deaktivieren.
Cloud KMS-Schlüssel registrieren
Wenn Sie Daten mit CMEK verschlüsseln möchten, müssen Sie Ihren multiregionalen Schlüssel registrieren. Wenn für Ihre Daten Schlüssel für einzelne Regionen erforderlich sind, z. B. bei Verwendung von Drittanbieter-Connectors, müssen Sie Ihre Schlüssel für einzelne Regionen registrieren.
Hinweis
Beachten Sie folgende Punkte:
- Die Region ist noch nicht durch einen Schlüssel geschützt. Die folgende Vorgehensweise schlägt fehl, wenn bereits ein Schlüssel für die Region über den REST-Befehl registriert ist. Informationen darüber, ob für einen Standort ein aktiver Schlüssel in Agent Search vorhanden ist, finden Sie unter Cloud KMS-Schlüssel ansehen.
- Sie haben die Rolle Discovery Engine Admin (
roles/discoveryengine.admin).
Prozedur
REST
So registrieren Sie Ihren eigenen Schlüssel für die Agents-Suche:
Rufen Sie die Methode
UpdateCmekConfigmit dem Schlüssel auf, den Sie registrieren möchten.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"kmsKey":"projects/KMS_PROJECT_ID/locations/KMS_LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"}' \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID?set_default=SET_DEFAULT"Ersetzen Sie Folgendes:
KMS_PROJECT_ID: die ID des Projekts, das den Schlüssel enthält. Die Projektnummer funktioniert nicht.KMS_LOCATION: der multiregionale Standort Ihres Schlüssels:usodereuropeKEY_RING: der Name des Schlüsselbunds, der den Schlüssel enthältKEY_NAME: der Name des SchlüsselsPROJECT_ID: die ID des Projekts, das die App oder den Datenconnector enthältLOCATION: der multiregionale Standort Ihrer App oder Ihres Daten-Connectors:usodereuCMEK_CONFIG_ID: eine eindeutige ID für die CmekConfig-Ressource festlegen, z. B.default_cmek_configSET_DEFAULT: ist auftruefestgelegt, um den Schlüssel als Standardschlüssel für nachfolgende Apps und Daten-Connectors zu verwenden, die an dem multiregionalen Standort erstellt werden.
Optional: Notieren Sie sich den
name-Wert, der von der Methode zurückgegeben wird. Folgen Sie der Anleitung unter Details zu einem Vorgang mit langer Ausführungszeit abrufen, um zu sehen, wann der Vorgang abgeschlossen ist.Die Registrierung eines Schlüssels dauert in der Regel nur wenige Minuten.
Nach Abschluss des Vorgangs werden neue Apps und Daten-Connectors in dieser multiregionalen Region durch den Schlüssel geschützt. Allgemeine Informationen zum Erstellen von Apps finden Sie unter Apps und Datenspeicher.
Erstellen Sie die App. Eine Anleitung dazu finden Sie unter App erstellen und Apps und Datenspeicher.
Console
Prozedur
So registrieren Sie Ihren eigenen Schlüssel für die Agentsuche:
Rufen Sie in der Google Cloud Console die Seite KI-Anwendungen auf.
Klicken Sie auf Einstellungen und wählen Sie den Tab CMEK aus.
Klicken Sie für den Standort USA oder EU auf Schlüssel hinzufügen.
Auf „Schlüssel hinzufügen“ klicken. Klicken Sie auf das Drop-down-Menü Cloud KMS-Schlüssel auswählen und wählen Sie den Schlüssel aus.
Wenn sich der Schlüssel in einem anderen Projekt befindet, klicken Sie auf Projekt wechseln. Klicken Sie dann auf den Namen Ihres Projekts, geben Sie den Namen des von Ihnen erstellten Schlüssels ein und wählen Sie den Schlüssel aus.
Wenn Sie den Ressourcennamen des Schlüssels kennen, klicken Sie auf Manuell eingeben, fügen Sie den Ressourcennamen des Schlüssels ein und klicken Sie auf Speichern.
Klicken Sie auf OK > Speichern.
-
Erstellen Sie die App. Eine Anleitung dazu finden Sie unter Apps und Datenspeicher.
Dadurch wird Ihr Schlüssel registriert und eine CMEK-Ressource namens default_cmek_config erstellt.
Es kann einige Stunden dauern, bis die aufgenommenen Daten in den Suchergebnissen angezeigt werden.
Cloud KMS-Schlüssel ansehen
So rufen Sie einen registrierten Schlüssel für Agent Search auf:
Wenn Sie den Namen der CmekConfig-Ressource kennen, rufen Sie die Methode
GetCmekConfigauf:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"Ersetzen Sie Folgendes:
LOCATION: der multiregionale Standort Ihrer App oder Ihres Daten-Connectors:usodereuPROJECT_ID: die ID des Projekts, das die Daten enthältCMEK_CONFIG_ID: die ID der CmekConfig-Ressource. Wenn Sie Ihren Schlüssel über die Console registriert haben, lautet die IDdefault_cmek_config.
Ein Beispiel für einen curl-Aufruf und eine Antwort sieht so aus:
$ curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config"
{ "name": "projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config", "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" "state": "ACTIVE" "isDefault": true }Wenn Sie den Namen der CmekConfig-Ressource nicht kennen, rufen Sie die Methode
ListCmekConfigsauf:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs"Ersetzen Sie Folgendes:
LOCATION: die Multiregion Ihrer App oder Ihres Daten-Connectors:usodereu.PROJECT_ID: die ID des Projekts, das die Daten enthält
Ein Beispiel für einen curl-Aufruf und eine Antwort sieht so aus:
$ curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs"
{ "cmek_configs": [ { "name": "projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config", "kmsKey": "projects/key-project-456/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" "state": "ACTIVE" "isDefault": true } ] }
Cloud KMS-Schlüssel abmelden
So melden Sie die Registrierung Ihres Schlüssels bei der Agentsuche ab:
Rufen Sie die Methode
DeleteCmekConfigmit dem Namen der CmekConfig-Ressource auf, deren Registrierung Sie abmelden möchten.curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/cmekConfigs/CMEK_CONFIG_ID"Ersetzen Sie Folgendes:
LOCATION: die Multiregion Ihrer App oder Ihres Daten-Connectors:usodereu.PROJECT_ID: die ID des Projekts, das die App oder den Datenconnector enthältCMEK_CONFIG_ID: die ID der CmekConfig-Ressource. Wenn Sie Ihren Schlüssel über die Console registriert haben, lautet die IDdefault_cmek_config.
Ein Beispiel für einen curl-Aufruf und eine Antwort sieht so aus:
$ curl -X DELETE -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/cmekConfigs/default_cmek_config" { "name": "projects/my-ai-app-project-123/locations/us/operations/delete-cmek-config-56789", "metadata": { "@type": "type.googleapis.com/google.cloud.discoveryengine.v1.DeleteCmekConfigMetadata" } }Optional: Notieren Sie sich den
name-Wert, der von der Methode zurückgegeben wird. Folgen Sie der Anleitung unter Details zu einem Vorgang mit langer Ausführungszeit abrufen, um zu sehen, wann der Vorgang abgeschlossen ist.Das Löschen einer CmekConfig ist ein lang andauernder Vorgang, der bis zu zwei Tage dauern kann. Das liegt daran, dass die zugrunde liegenden verschlüsselten Ressourcen vollständig deaktiviert werden, bevor die CmekConfig entfernt wird.
Prüfen, ob eine App oder ein Datenconnector durch einen Schlüssel geschützt ist
Apps und Daten-Connectors, die nach der Registrierung Ihres Schlüssels erstellt werden, sind durch den Schlüssel geschützt. So prüfen Sie, ob eine bestimmte App oder ein bestimmter Datenconnector durch Ihren Schlüssel geschützt ist:
Über die Google Cloud Console bestätigen
In der Google Cloud -Konsole können Sie prüfen, ob eine standardmäßige CMEK-Konfiguration festgelegt ist.
- Rufen Sie in der Google Cloud Console die Seite KI-Anwendungen auf.
- Klicken Sie auf Einstellungen und wählen Sie den Tab CMEK aus.
- Prüfen Sie, ob der Konfigurationsstatus für Ihren Standort als Aktiv angezeigt wird und Ihr registrierter Schlüssel zu sehen ist.
Über die Befehlszeile / API überprüfen
So bestätigen Sie einen Datenspeicher:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -H "x-goog-user-project: PROJECT_ID" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/dataStores/DATA_STORE_ID"Ersetzen Sie Folgendes:
LOCATION: der multiregionale Standort Ihres Projekts:usodereuPROJECT_ID: die ID des Projekts, das die App oder den Datenconnector enthältDATA_STORE_ID: die ID des Datenspeichers, der mit Ihrer App oder Ihrem Datenconnector verknüpft ist.
Ein Beispiel für einen curl-Aufruf:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H "x-goog-user-project: my-ai-app-project-123" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/collections/default_collection/dataStores/my-data-store-1"
So bestätigen Sie eine App:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -H "x-goog-user-project: PROJECT_ID" \ "https://LOCATION-discoveryengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/collections/default_collection/engines/ENGINE_ID"Ersetzen Sie Folgendes:
LOCATION: der multiregionale Standort Ihres Projekts:usodereuPROJECT_ID: die ID des Projekts, das die App enthältENGINE_ID: Die ID Ihrer App.
Ein Beispiel für einen curl-Aufruf:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" -H "x-goog-user-project: my-ai-app-project-123" "https://us-discoveryengine.googleapis.com/v1/projects/my-ai-app-project-123/locations/us/collections/default_collection/engines/my-app"
Sehen Sie sich die Ausgabe des Befehls an: Wenn das Feld
cmekConfigin der Ausgabe enthalten ist und im FeldkmsKeyder von Ihnen registrierte Schlüssel angezeigt wird, ist die App oder der Datenconnector durch den Schlüssel geschützt.Eine Beispielantwort für einen Datenspeicher sieht so aus:
{ "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1", "displayName": "my-data-store-1", "industryVertical": "GENERIC", "createTime": "2023-09-05T21:20:21.520552Z", "solutionTypes": [ "SOLUTION_TYPE_SEARCH" ], "defaultSchemaId": "default_schema", "cmekConfig": { "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1/cmekConfigs/default_cmek_config", "kmsKey": "projects/my-ai-app-project-123/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" } }Eine Beispielantwort für eine App sieht so aus:
{ "name": "projects/969795412903/locations/us/collections/default_collection/engines/my-app", "displayName": "my-app", "dataStoreIds": [ "my-data-store-1" ], "solutionType": "SOLUTION_TYPE_SEARCH", "searchEngineConfig": { "searchTier": "SEARCH_TIER_STANDARD" }, "industryVertical": "GENERIC", "appType": "APP_TYPE_INTRANET", "cmekConfig": { "name": "projects/969795412903/locations/us/collections/default_collection/dataStores/my-data-store-1/cmekConfigs/default_cmek_config", "kmsKey": "projects/my-ai-app-project-123/locations/us/keyRings/my-key-ring/cryptoKeys/my-key" } }
Andere durch den Cloud KMS-Schlüssel geschützte Daten
Zusätzlich zu den Daten in den Apps und Datenverbindungen können Ihre Schlüssel auch andere Arten von anwendungseigenen Kerndaten schützen, die von Agent Search gehalten werden – etwa Sitzungsdaten, die während einer Suche mit weiterführenden Fragen generiert werden. Diese Art von Kerndaten ist CMEK-geschützt, wenn die Apps und Daten-Connectors CMEK-geschützt sind.
Sie können zwar keinen bestimmten Befehl ausführen, um zu prüfen, ob Sitzungen geschützt sind, aber Sie können prüfen, ob die App geschützt ist. Führen Sie den Befehl Prüfen, ob eine App oder ein Daten-Connector durch einen Schlüssel geschützt ist für die App aus, um den Schlüssel in der cmekConfig-Ressource zu sehen. Dann wissen Sie, dass die Sitzungsdaten geschützt sind.
Cloud KMS-Schlüssel rotieren
Wenn Sie Schlüssel rotieren, erstellen Sie eine neue Version des Schlüssels und legen die neue Version als primäre Version fest. Lassen Sie die Originalversion des Schlüssels eine Weile aktiviert, bevor Sie sie deaktivieren. So erhalten Vorgänge mit langer Ausführungszeit, die möglicherweise noch den älteren Schlüssel verwenden, genügend Zeit, um abgeschlossen zu werden.
Im Folgenden wird beschrieben, wie Sie Schlüssel für eine Agent Search-App oder einen Datenconnector rotieren. Allgemeine Informationen zum Rotieren von Schlüsseln finden Sie im Cloud KMS-Leitfaden unter Schlüsselrotation.
Wichtig:Rotieren Sie keine Schlüssel für Apps oder Daten-Connectors, die mit Empfehlungen oder mit Apps verknüpft sind, die Analysen benötigen, und rotieren Sie auch nicht die Schlüssel für einzelne Regionen, die für Drittanbieter-Connectors verwendet werden. Weitere Informationen finden Sie unter Einschränkungen von Cloud KMS in Agent Search.
Registrieren Sie Ihren Schlüssel noch einmal. Wiederholen Sie dazu Schritt 1 unter Cloud KMS-Schlüssel registrieren.
Folgen Sie der Anleitung im Abschnitt Schlüssel verwalten im Cloud KMS-Leitfaden und führen Sie folgende Schritte aus:
Erstellen Sie eine neue Schlüsselversion, aktivieren Sie sie und legen Sie diese Version als primäre Version fest.
Nachdem der neue Schlüssel zur primären Version gemacht wurde, werden die bereits vorhandenen Dokumente in der App oder im Datenconnector mit dem neuen Schlüssel erneut verschlüsselt. Alle anschließend hinzugefügten Dokumente werden ebenfalls mit dem neuen Schlüssel verschlüsselt.
Lassen Sie die ältere Schlüsselversion zunächst noch aktiviert.
Nach etwa einer Woche können Sie die ältere Schlüsselversion deaktivieren. Prüfen Sie, ob alles wie zuvor funktioniert.
Löschen Sie die ältere Schlüsselversion aber erst, wenn Sie später sicher sind, dass durch das Deaktivieren der älteren Schlüsselversion keine Probleme verursacht wurden.
Deaktivieren oder Widerrufen eines Cloud KMS-Schlüssels
Wenn ein Schlüssel deaktiviert wird oder die Berechtigungen für den Schlüssel widerrufen werden, hat dies diese Konsequenzen: Innerhalb von 15 Minuten können keine Daten mehr in die App oder den Datenconnector aufgenommen und keine Daten mehr bereitgestellt werden. Sie können Ihren Schlüssel innerhalb von 30 Tagen wieder aktivieren, um den Betrieb fortzusetzen, bevor die CMEK-Konfiguration abläuft und alle zugehörigen Daten endgültig gelöscht werden. Soll derselbe Schlüssel später reaktiviert oder die Berechtigungen wiederhergestellt werden, dauert dies jedoch sehr lange. Es kann bis zu 24 Stunden dauern, bis die App oder der Datenconnector die Daten wieder bereitstellen kann.
Deaktivieren Sie einen Schlüssel daher nur, wenn es unbedingt erforderlich ist. Das Deaktivieren und Aktivieren eines Schlüssels in einer App oder einem Datenconnector ist ein zeitaufwendiger Vorgang. Wenn Sie einen Schlüssel beispielsweise wiederholt zwischen „Deaktiviert“ und „Aktiviert“ wechseln, dauert es lange, bis die App oder der Datenconnector wieder einen geschützten Status erreicht. Wenn Sie einen Schlüssel deaktivieren und sofort wieder aktivieren, kann es zu tagelangen Ausfallzeiten kommen, da der Schlüssel zuerst in der App oder im Daten-Connector deaktiviert und dann wieder aktiviert wird.
Fehlerbehebung: Fehler „KMS-Schlüsselprojekte nicht gefunden“
Symptom:Wenn Sie versuchen, eine App oder einen Datenconnector mit einem KMS-Schlüssel zu erstellen, erhalten Sie einen Fehler wie den folgenden:
KMS key projects/[...] not found for location: [...] and project number: [...]
Problem: Diese Fehlermeldung kann irreführend sein. Das bedeutet nicht zwangsläufig, dass der Schlüssel nicht vorhanden ist. Stattdessen kann es darauf hinweisen, dass der KMS-Schlüssel nicht für die Verwendung mit Agent Search am angegebenen Standort registriert wurde.
Lösung: Registrieren Sie Ihren Schlüssel, indem Sie die Schritte unter Cloud KMS-Schlüssel registrieren ausführen. Nach Abschluss der Registrierung können Sie Apps oder Datenconnectors erstellen, die durch diesen Schlüssel geschützt sind.