בדף הזה מוסבר איך להשתמש במפתחות הצפנה בניהול הלקוח של Cloud KMS בשירותים אחרים Google Cloud כדי לאבטח את המשאבים. מידע נוסף זמין במאמר בנושא מפתחות הצפנה בניהול הלקוח (CMEK).
כששירות תומך ב-CMEK, אומרים שיש לו שילוב CMEK. בשירותים מסוימים, כמו GKE, יש כמה שילובים של CMEK להגנה על סוגים שונים של נתונים שקשורים לשירות. כאן מפורטת רשימת השירותים עם שילובי CMEK.
לפני שמתחילים
כדי להשתמש במפתחות Cloud KMS בשירותים אחרים של Google Cloud , צריך משאב פרויקט שיכיל את מפתחות Cloud KMS. מומלץ להשתמש בפרויקט נפרד למשאבי Cloud KMS שלא מכיל משאבי Google Cloud אחרים.
שילובים של CMEK
הכנות להפעלת השילוב של CMEK
הוראות מדויקות להפעלת CMEK מופיעות במסמכי העזרה שלGoogle Cloud השירות הרלוונטי. בקטע הפעלת CMEK בשירותים נתמכים בדף הזה מופיע קישור לתיעוד של CMEK לכל שירות. לכל שירות, תצטרכו לבצע שלבים דומים לאלה שמופיעים בהמשך:
יוצרים אוסף מפתחות או בוחרים אוסף מפתחות קיים. אוסף המפתחות צריך להיות ממוקם כמה שיותר קרוב גיאוגרפית למשאבים שרוצים להגן עליהם.
באוסף המפתחות שנבחר, יוצרים מפתח או בוחרים מפתח קיים. מוודאים שרמת ההגנה, המטרה והאלגוריתם של המפתח מתאימים למשאבים שרוצים להגן עליהם. המפתח הזה הוא מפתח ה-CMEK.
מקבלים את מזהה המקום של מפתח ה-CMEK. תצטרכו את מזהה המשאב הזה בהמשך.
מקצים לחשבון השירות של השירות את תפקיד ה-IAM של הצפנה/פענוח של CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) במפתח ה-CMEK.
אחרי שיוצרים את המפתח ומקצים את ההרשאות הנדרשות, אפשר ליצור או להגדיר שירות לשימוש במפתח ה-CMEK.
שימוש במפתחות Cloud KMS בשירותים עם שילוב CMEK
השלבים הבאים מתייחסים ל-Secret Manager כדוגמה. כדי לראות את השלבים המדויקים לשימוש במפתח CMEK של Cloud KMS בשירות מסוים, צריך לאתר את השירות הזה ברשימת השירותים המשולבים עם CMEK.
ב-Secret Manager, אפשר להשתמש ב-CMEK כדי להגן על נתונים במנוחה.
נכנסים לדף Secret Manager במסוף Google Cloud .
כדי ליצור Secret, לוחצים על Create Secret.
בקטע Encryption, בוחרים באפשרות Use a customer-managed encryption key (CMEK).
בתיבה Encryption key (מפתח הצפנה):
אם רוצים להשתמש במפתח בפרויקט אחר:
- לוחצים על מעבר לפרויקט אחר.
- מזינים את שם הפרויקט, במלואו או בחלקו, בסרגל החיפוש ואז בוחרים את הפרויקט.
- כדי לראות את המקשים שזמינים לפרויקט שנבחר, לוחצים על בחירה.
אופציונלי: כדי לסנן את המפתחות הזמינים לפי מיקום, מחזיק מפתחות, שם או רמת הגנה, מזינים את מונחי החיפוש ב סרגל הסינון.
בוחרים מפתח מתוך רשימת המפתחות הזמינים בפרויקט שנבחר. כדי לוודא שאתם בוחרים את המפתח הנכון, אתם יכולים להשתמש בפרטים של המיקום, אוסף המפתחות ורמת ההגנה שמוצגים.
אם המפתח שרוצים להשתמש בו לא מופיע ברשימה, לוחצים על הזנת מפתח באופן ידני ומזינים את מזהה המשאב של המפתח.
מסיימים להגדיר את ה-Secret ולוחצים על יצירת Secret. Secret Manager יוצר את הסוד ומצפין אותו באמצעות מפתח ה-CMEK שצוין.
הפעלת CMEK בשירותים נתמכים
כדי להפעיל CMEK, קודם מאתרים את השירות הרצוי בטבלה הבאה. אפשר להזין מונחי חיפוש בשדה כדי לסנן את הטבלה. כל השירותים ברשימה הזו תומכים במפתחות תוכנה ובמפתחות חומרה (HSM). המוצרים שמשולבים עם Cloud KMS כשמשתמשים במפתחות חיצוניים של Cloud EKM מסומנים בעמודה EKM supported.
פועלים לפי ההוראות של כל שירות שרוצים להפעיל בו מפתחות CMEK.
| שירות | מוגן באמצעות CMEK | תמיכה ב-EKM | נושא |
|---|---|---|---|
| Agent Assist | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| חיפוש מבוסס סוכנים | נתונים באחסון | לא | מפתחות הצפנה בניהול הלקוח |
| AlloyDB ל-PostgreSQL | נתונים שנכתבים למסדי נתונים | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Anti Money Laundering AI | נתונים במשאבי מכונת AML AI | לא | הצפנת נתונים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK) |
| Apigee | נתונים באחסון | לא | מבוא ל-CMEK |
| Apigee API hub | נתונים באחסון | כן | הצפנה |
| Application Integration | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Artifact Registry | נתונים במאגרי מידע | כן | הפעלת מפתחות הצפנה בניהול הלקוח |
| שירות Backup and DR | מיכל של כספת גיבוי | כן | ניהול ההצפנה של Backup Vault |
| שירות Backup and DR | גיבויים במצב מנוחה | כן | ניהול הצפנת הגיבוי |
| גיבוי ל-GKE | נתונים בגיבוי ל-GKE | כן | מידע על הצפנת CMEK בגיבוי ל-GKE |
| BigQuery | נתונים ב-BigQuery | כן | הגנה על נתונים באמצעות מפתחות Cloud KMS |
| Bigtable | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| Cloud Data Fusion | נתוני הסביבה | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Cloud Healthcare API | מערכי נתונים של Cloud Healthcare API | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Cloud Logging | נתונים בנתב היומנים | כן | ניהול המפתחות שמגנים על הנתונים של כלי הניתוב של יומנים |
| Cloud Logging | נתונים באחסון של שמירת היומנים | כן | ניהול המפתחות שמגנים על נתוני האחסון של היומנים |
| Cloud Run | קובץ אימג' של קונטיינר | כן | שימוש במפתחות הצפנה בניהול הלקוח עם Cloud Run |
| פונקציות Cloud Run | נתונים בפונקציות Cloud Run | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Cloud SQL | נתונים שנכתבים למסדי נתונים | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Cloud SQL | גיבויים רגילים ומשופרים | כן | סקירה כללית על גיבויים ב-Cloud SQL |
| Cloud Storage | נתונים בקטגוריות אחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Cloud Tasks | התוכן והכותרת של המשימה במצב מנוחה | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Cloud TPU | דיסקים לאחסון מתמיד | לא | הצפנה של דיסק אתחול של מכונת TPU וירטואלית באמצעות מפתח הצפנה בניהול הלקוח (CMEK) |
| תחנות עבודה בענן | נתונים בדיסקים של מכונות וירטואליות | כן | הצפנת משאבים בתחנת עבודה |
| Colab Enterprise | סביבות ריצה וקבצים של מחברות | לא | שימוש במפתחות הצפנה בניהול הלקוח |
| Compute Engine | דיסקים לאחסון מתמיד | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Compute Engine | Snapshots | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Compute Engine | תמונות בהתאמה אישית | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Compute Engine | תמונות מכונה | כן | הגנה על משאבים באמצעות מפתחות Cloud KMS |
| Conversational Analytics API (תצוגה מקדימה) | משאבים של DataAgent (הקשר, הוראות, דוגמאות) | לא | הגנה על משאב DataAgent באמצעות CMEK |
| Conversational Analytics API (תצוגה מקדימה) | משאבי שיחה (הודעות, היסטוריית מצב) | לא | הגנה על משאב Conversation באמצעות CMEK |
| תובנות לגבי חוויית הלקוח | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| Database Migration Service Homogeneous Migrations | העברות של MySQL – נתונים שנכתבו למסדי נתונים | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Database Migration Service Homogeneous Migrations | העברות של PostgreSQL – נתונים שנכתבו למסדי נתונים | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Database Migration Service Homogeneous Migrations | העברות מ-PostgreSQL ל-AlloyDB – נתונים שנכתבו למסדי נתונים | כן | מידע על CMEK |
| Database Migration Service Homogeneous Migrations | העברות של SQL Server – נתונים שנכתבים במסדי נתונים | כן | מידע על CMEK |
| Database Migration Service Heterogeneous Migrations | נתונים באחסון מ-Oracle ל-PostgreSQL | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) להעברות רציפות |
| Dataflow | נתונים של מצב הפייפליין | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Dataform | נתונים במאגרי מידע | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Dataproc Metastore | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Datastream | נתונים במעבר | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Dialogflow CX | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| Document AI | נתונים באחסון ונתונים בשימוש | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| Eventarc Advanced (Preview) | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Eventarc Standard | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Filestore | נתונים באחסון | כן | הצפנת נתונים באמצעות מפתחות הצפנה בניהול הלקוח |
| Firestore | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Gemini Code Assist | נתונים באחסון | לא | הצפנת נתונים באמצעות מפתחות הצפנה בניהול הלקוח |
| Gemini Enterprise | נתונים באחסון | לא | מפתחות הצפנה בניהול הלקוח |
| Gemini Enterprise – NotebookLM Enterprise | נתונים באחסון | לא | מפתחות הצפנה בניהול הלקוח |
| Google Cloud Managed Lustre | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| שירות מנוהל של Google Cloud ל-Apache Kafka | נתונים שמשויכים לנושאים | כן | הגדרת הצפנה של הודעות |
| Google Cloud NetApp Volumes | נתונים באחסון | כן | יצירת מדיניות CMEK |
| Google Cloud Observability (גרסת Preview) | נתונים באחסון | כן | הגדרת ברירות מחדל למאגרי נתונים של יכולת צפייה |
| Google Distributed Cloud | נתונים בצמתים של Edge | כן | אבטחה של אחסון מקומי |
| Google Kubernetes Engine | נתונים בדיסקים של מכונות וירטואליות | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Google Kubernetes Engine | סודות בשכבת האפליקציה | כן | הצפנת סודות בשכבת האפליקציה |
| Integration Connectors | נתונים באחסון | כן | שיטות הצפנה |
| Knowledge Catalog | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח |
| Looker (Google Cloud core) | נתונים באחסון | כן | הפעלת CMEK ב-Looker (Google Cloud Core) |
| Managed Service for Apache Airflow | נתוני הסביבה | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Managed Service for Apache Spark | נתוני אשכול בדיסקים של מכונות וירטואליות | כן | מפתחות הצפנה בניהול הלקוח |
| Managed Service for Apache Spark | נתונים ללא שרת בדיסקים של מכונות וירטואליות | כן | מפתחות הצפנה בניהול הלקוח |
| Memorystore for Redis | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| Memorystore for Redis Cluster | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Memorystore for Valkey | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Migrate to Virtual Machines | נתונים שהועברו ממקורות של מכונות וירטואליות ב-VMware, ב-AWS וב-Azure | כן | שימוש ב-CMEK להצפנת נתונים שמאוחסנים במהלך העברה |
| Migrate to Virtual Machines | נתונים שהועברו ממקורות של דיסקים ותמונות מכונה | כן | שימוש ב-CMEK להצפנת נתונים בדיסקים ובדימויים של מכונות יעד |
| Parameter Manager | מטענים ייעודיים של פרמטרים בגרסה | כן | הפעלת מפתחות הצפנה בניהול הלקוח ב-Parameter Manager |
| Pub/Sub | נתונים שמשויכים לנושאים | כן | הגדרת הצפנה של הודעות |
| Secret Manager | מטענים ייעודיים (payloads) סודיים | כן | הפעלת מפתחות הצפנה בניהול הלקוח ב-Secret Manager |
| Secure Source Manager | מכונות | כן | הצפנת נתונים באמצעות מפתחות הצפנה בניהול הלקוח |
| Security Command Center | נתונים באחסון | כן | הפעלת CMEK ב-Security Command Center |
| Service Extensions (תצוגה מקדימה) | נתוני פלאגינים | לא | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| Spanner | נתונים באחסון | כן | מפתחות הצפנה בניהול הלקוח (CMEK) |
| המרת דיבור לטקסט (STT) | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Vertex AI | נתונים שמשויכים למשאבים | כן | שימוש במפתחות הצפנה בניהול הלקוח |
| Notebooks מנוהלים של Vertex AI Workbench (יצא משימוש) | נתוני משתמשים במצב מנוחה | לא | מפתחות הצפנה בניהול הלקוח |
| Vertex AI Workbench user-managed notebooks (יצא משימוש) | נתונים בדיסקים של מכונות וירטואליות | לא | מפתחות הצפנה בניהול הלקוח |
| מכונות של Vertex AI Workbench | נתונים בדיסקים של מכונות וירטואליות | כן | מפתחות הצפנה בניהול הלקוח |
| Workflows | נתונים באחסון | כן | שימוש במפתחות הצפנה בניהול הלקוח (CMEK) |
| כלי לניהול עומס העבודה | נתוני הערכה של סוג כלל מותאם אישית | כן | הפעלת מפתחות הצפנה בניהול הלקוח לצורך הערכות |