Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מפתחות הצפנה בניהול הלקוח

כברירת מחדל, Integration Connectors מצפין את התוכן של הלקוחות במנוחה. ‫Integration Connectors מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Integration Connectors. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Integration Connectors דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

לפני שמתחילים

לפני שמשתמשים ב-CMEK ב-Integration Connectors, צריך לוודא שהמשימות הבאות הושלמו:

להפעיל את Cloud KMS API בפרויקט שבו יאוחסנו מפתחות ההצפנה.
הפעלת Cloud KMS API
טיפ: אפשר להריץ את Integration Connectors ואת Cloud KMS באותו פרויקט ב-Google Cloud או בפרויקטים שונים.
מקצים את תפקיד ה-IAM‏ Cloud KMS Admin או נותנים את הרשאות ה-IAM הבאות בפרויקט שבו יאוחסנו מפתחות ההצפנה:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
במאמר הענקה, שינוי וביטול גישה מוסבר איך נותנים תפקידים או הרשאות נוספים.

זהירות: התפקיד 'אדמין של Cloud KMS' כולל הרשאות לתחזוקת מפתחות ולהשמדת גרסאות של מפתחות. כדי להגן על משאבי Cloud KMS, צריך להקצות את התפקיד הזה רק לאנשים שאחראים על ניהול המפתחות.
יוצרים אוסף מפתחות ומפתח.
הערה: צריך ליצור את אוסף המפתחות באותו אזור שבו הגדרתם את Integration Connectors.

הוספת חשבון שירות למפתח CMEK

כדי להשתמש במפתח CMEK ב-Integration Connectors, צריך לוודא שחשבון השירות שמוגדר כברירת מחדל (בפורמט service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) נוסף ומוקצה לו תפקיד ה-IAM‏ CryptoKey Encrypter/Decrypter עבור מפתח ה-CMEK הזה.

הערה: יכול להיות שחשבון השירות שמוגדר כברירת מחדל לא קיים אם אתם מקצים את האזור הראשון. כדי ליצור את חשבון השירות, מריצים את הפקודה gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID.

נכנסים לדף Key Inventory במסוף Google Cloud .
כניסה לדף Key Inventory
מסמנים את התיבה של מפתח ה-CMEK הרצוי.
הכרטיסייה Permissions מופיעה בחלונית הימנית.
לוחצים על Add principal (הוספת חשבון משתמש) ומזינים את כתובת האימייל של חשבון השירות שמוגדר כברירת מחדל.
לוחצים על Select a role (בחירת תפקיד) ובוחרים בתפקיד Cloud KMS CryptoKey Encrypter/Decrypter (הצפנה/פענוח של מפתח קריפטוגרפי ב-Cloud KMS) מהרשימה הנפתחת הזמינה.
לוחצים על שמירה.

הפעלת הצפנת CMEK באזור קיים של Integration Connectors

אתם יכולים להשתמש ב-CMEK כדי להצפין ולפענח את הנתונים הנתמכים שמאוחסנים באזור (שנקרא גם מיקום). כדי להפעיל הצפנת CMEK באזור קיים של Integration Connectors:

במסוף Google Cloud , עוברים לדף Integration Connectors > Connections.
עוברים לדף 'כל החיבורים'.
מסננים את החיבורים לפי מיקום.
תוצג רשימה של כל החיבורים למיקום (אזור) שצוין.
השעיה של כל החיבורים באזור.
עוברים לדף Integration Connectors > Regions (מחברי שילובים > אזורים). בטבלה הזו מפורטים כל האזורים שבהם אפשר להשתמש ב-Integration Connectors.
באזור שבו רוצים להפעיל את CMEK, לוחצים על עריכת ההצפנה בתפריט פעולות. מוצגת החלונית עריכת הצפנה.
בוחרים באפשרות Customer-managed encryption key (CMEK) (מפתח הצפנה בניהול הלקוח), ואז בוחרים את המפתח הנדרש מהתפריט הנפתח Customer-managed key (מפתח בניהול הלקוח).
יכול להיות שתתבקשו להעניק לחשבון השירות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter. לוחצים על Grant (אישור).
לוחצים על סיום.

הפעלת הצפנת CMEK באזור חדש של Integration Connectors

אתם יכולים להשתמש ב-CMEK כדי להצפין ולפענח את הנתונים הנתמכים שמאוחסנים באזור (שנקרא גם מיקום). כדי להפעיל הצפנת CMEK באזור חדש של Integration Connectors, מבצעים את השלבים הבאים:

במסוף Google Cloud , עוברים לדף Integration Connectors > Regions.
עוברים לדף Regions.
לוחצים על הקצאת אזור חדש. יוצג הדף ליצירת אזור.
בתפריט הנפתח אזור, בוחרים את האזור הרצוי.
בקטע Advanced settings, בוחרים באפשרות Customer-managed encryption key (CMEK), ואז בוחרים את המפתח הרצוי מהרשימה הנפתחת Customer-managed key.
יכול להיות שתתבקשו להעניק לחשבון השירות את התפקיד cloudkms.cryptoKeyEncrypterDecrypter. לוחצים על Grant (אישור).
לוחצים על סיום.

מכסות של Cloud KMS ו-Integration Connectors

כשמשתמשים ב-CMEK ב-Integration Connectors, הפרויקטים יכולים לנצל את המכסות של בקשות קריפטוגרפיות ב-Cloud KMS. לדוגמה, מפתחות CMEK יכולים לנצל את המכסות האלה לכל קריאה להצפנה ולפענוח.

פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על המכסות של Cloud KMS באופן הבא:

כשמשתמשים במפתחות CMEK של תוכנה שנוצרו ב-Cloud KMS, לא נצרכת מכסת Cloud KMS.
מפתחות CMEK בחומרה – לפעמים נקראים מפתחות Cloud HSM – פעולות ההצפנה והפענוח נספרות במסגרת המכסות של Cloud HSM בפרויקט שמכיל את המפתח.
במקרה של מפתחות CMEK חיצוניים – שלפעמים נקראים מפתחות Cloud EKM – פעולות ההצפנה והפענוח נספרות במכסות של Cloud EKM בפרויקט שמכיל את המפתח.

מידע נוסף מופיע במאמר מכסות ב-Cloud KMS.