הגדרת CMEK ל-Cloud Logging

במאמר הזה מוסבר איך להגדיר ולנהל מפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud Logging כדי לעמוד בדרישות התאימות של הארגון. בארגונים ובתיקיות, אפשר להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לאלץ שימוש ב-CMEK בדליים חדשים. כשמגדירים את Cloud Logging, כל מאגרי היומנים החדשים בארגון או בתיקייה מוצפנים באמצעות מפתח בניהול הלקוח.

בארגונים ובתיקיות, אפשר להגדיר הגדרות ברירת מחדל למשאבים ב-Cloud Logging. כשיוצרים משאבים חדשים, המשאבים האלה מקבלים בירושה את ההגדרות של משאב האב שלהם. לדוגמה, נניח שהגדרתם את הגדרות ברירת המחדל של המשאבים בארגון ל-Cloud Logging כך שיכללו הגדרת CMEK. בהגדרה הזו, כל דלי יומנים חדש של _Default ושל _Required שנוצר בפרויקטים, בתיקיות או בחשבונות לחיוב בארגון שלכם מוצפן באמצעות מפתח ברירת המחדל. בנוסף, אם יוצרים קטגוריית יומנים בהתאמה אישית במשאב שהוא צאצא של הארגון, מפתח ברירת המחדל ישמש באופן אוטומטי אלא אם מספקים מפתח אחר כשיוצרים את קטגוריית היומנים.

ההוראות במדריך הזה מבוססות על Google Cloud CLI.

המידע במסמך הזה לא רלוונטי למאגרי נתונים של יכולת תצפית. אם אתם רוצים לדעת איך מגדירים ברירות מחדל לקטגוריות של נתונים שניתנים למעקב, אתם יכולים לקרוא את המאמר בנושא הגדרת ברירות מחדל לקטגוריות של נתונים שניתנים למעקב.

סקירה כללית

כברירת מחדל, Cloud Logging מצפין את התוכן של הלקוחות במצב מנוחה. הרישום מתבצע באופן אוטומטי, ללא צורך בפעולות נוספות מצדכם. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Logging. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבי Logging דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, יקרו הדברים הבאים:

  • הצפנה אוטומטית של דליים חדשים של יומנים בארגון או בתיקייה באמצעות המפתח שהוגדר. עם זאת, אפשר לשנות את המפתח הזה או ליצור מאגרי יומנים ולציין מפתח אחר. מידע נוסף זמין במאמר הגדרת CMEK לקטגוריות ביומן.

לפני שמתחילים

כדי להתחיל, מבצעים את השלבים הבאים:

  1. לפני שיוצרים קטגוריה ביומן עם הפעלת CMEK, כדאי לעיין במגבלות.

  2. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  3. מגדירים את הפרויקט שבו מתכננים ליצור את המפתחות: Google Cloud

    1. כדי לקבל את ההרשאות שנדרשות ליצירת מפתחות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של Cloud KMS (roles/cloudkms.admin) בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

      יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

    2. הפעלת Cloud KMS API.

    3. יצירה של אוסף מפתחות ומפתחות

      ב-Cloud Logging אפשר להשתמש במפתח מכל אזור. עם זאת, כשיוצרים קטגוריית יומנים, המיקום של קטגוריית היומנים חייב להיות זהה למיקום של המפתח. למידע על אזורים נתמכים, כדאי לעיין במאמרים הבאים:

      אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, אז מאגרי יומנים חדשים שנוצרים בארגון או בתיקייה מוגדרים אוטומטית ל-CMEK. בנוסף, מכיוון שהמיקום של קטגוריה ביומן חייב להיות זהה למיקום של המפתח, אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, לא תוכלו ליצור קטגוריות ביומן באזור global.

  4. מוודאים שתפקיד ה-IAM שלכם בארגון או בתיקייה שרוצים להגדיר בהם את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כולל את ההרשאות הבאות ב-Cloud Logging:

    • logging.settings.get
    • logging.settings.update

הפעלת CMEK בארגון או בתיקייה

כדי להפעיל CMEK בGoogle Cloud תיקייה או בארגון, פועלים לפי ההוראות הבאות.

איך קובעים את המזהה של חשבון השירות

כדי לזהות את מזהה חשבון השירות שמשויך לארגון או לתיקייה שעליהם יחול CMEK, מריצים את הפקודה הבאה gcloud logging settings describe:

FOLDER 

 gcloud logging settings describe --folder=FOLDER_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

ארגון 

gcloud logging settings describe --organization=ORGANIZATION_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

הפקודה הקודמת יוצרת חשבונות שירות לארגון או לתיקייה, אם הם לא קיימים. הפקודה מחזירה גם את המזהים של שני חשבונות שירות, אחד בשדה kmsServiceAccountId והשני בשדה loggingServiceAccountId. כדי להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK, משתמשים בערך שבשדה kmsServiceAccountId.

בדוגמה הבאה מוצגת תשובה לדוגמה לפקודה הקודמת כשמציינים ארגון:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

מריצים את תהליך הקצאת ההרשאות פעם אחת לכל משאב. הפעלת הפקודה describe מספר פעמים מחזירה את אותו ערך בשדה kmsServiceAccountId.

אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API‏ getSettings.

הקצאת התפקיד 'הצפנה/פענוח'

כדי להשתמש ב-CMEK, צריך להקצות לחשבון השירות את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter כדי לתת לו הרשאה להשתמש ב-Cloud KMS:

gcloud 

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Google Cloud שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Google Cloud שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.
  • KMS_SERVICE_ACCT_NAME: השם של חשבון השירות שמוצג בשדה kmsServiceAccountId בתגובה של הפקודה gcloud logging settings describe.
  • KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
  • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
  • KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

המסוף

  1. נכנסים לדף Key management במסוף Google Cloud .

    מעבר אל 'ניהול מפתחות'

  2. בוחרים את השם של אוסף המפתחות שמכיל את המפתח.

  3. מסמנים את התיבה של המפתח.

    הכרטיסייה Permissions (הרשאות) מופיעה.

  4. בתיבת הדו-שיח Add members, מציינים את כתובת האימייל של חשבון השירות של Logging שרוצים להעניק לו גישה.

  5. בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.

  6. לוחצים על הוספה.

הגדרת מדיניות הארגון

הרישום ביומן תומך במדיניות הארגון שיכולה לדרוש הגנה באמצעות CMEK ולהגביל את השימוש במפתחות הצפנה של Cloud KMS להגנה באמצעות CMEK:

  • כש-logging.googleapis.com נמצא ברשימת המדיניות של השירותים Deny עבור האילוץ constraints/gcp.restrictNonCmekServices, Logging מסרב ליצור דליים חדשים שהוגדרו על ידי המשתמש ושלא מוגנים באמצעות CMEK. עם זאת, האילוץ הזה לא מונע מ-Cloud Logging ליצור את קטגוריות היומנים _Required ו-_Default, שנוצרות כשיוצרים פרויקטGoogle Cloud .

  • כשמפעילים את האילוץ constraints/gcp.restrictCmekCryptoKeyProjects, שירות Logging יוצר משאבים שמוגנים באמצעות CMEK, ומוגנים באמצעות CryptoKey מפרויקט, מתיקייה או מארגון מורשים.

מידע נוסף על CMEK ועל מדיניות הארגון זמין במאמר מדיניות הארגון לגבי CMEK.

חשוב לוודא שהגדרות ברירת המחדל של המשאבים ב-Cloud Logging עקביות עם מדיניות הארגון. בארגונים ובתיקיות, אם אתם מתכננים לשנות את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, לפני שאתם מעדכנים את ההגדרות האלה, כדאי לבדוק את מדיניות הארגון ולעדכן אותה במידת הצורך.

כדי להציג או להגדיר מדיניות ארגונית:

  1. נכנסים לדף Organization Policies במסוף Google Cloud :

    עוברים אל מדיניות הארגון.

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.

  2. בוחרים את הארגון.

  3. בודקים את המגבלות שספציפיות ל-CMEK, ואם צריך, מעדכנים אותן.

    מידע על שינוי מדיניות הארגון זמין במאמר יצירה ועריכה של כללי מדיניות.

הגדרת Cloud Logging עם מפתח Cloud KMS

כדי לעדכן את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK, מריצים את הפקודה הבאה gcloud logging settings update:

FOLDER 

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
  • KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
  • KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
  • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
  • KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Google Cloud שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Google Cloud שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.

הפקודה הקודמת מעדכנת את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לאחסן מידע על מפתח Cloud KMS. צריך לוודא שמיקום ברירת המחדל לאחסון של התיקייה מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=KMS_KEY_LOCATION

הדגל --storage-location מאפשר להגדיר או לעדכן את מיקום ברירת המחדל לאחסון התיקייה.

ארגון 

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.
  • KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
  • KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
  • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
  • KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Google Cloud שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Google Cloud שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.

הפקודה הקודמת מעדכנת את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לאחסן מידע על מפתח Cloud KMS. צריך לוודא שמיקום האחסון שמוגדר כברירת מחדל לארגון מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=KMS_KEY_LOCATION

הדגל --storage-location מאפשר להגדיר או לעדכן את מיקום האחסון שמוגדר כברירת מחדל בארגון.

אחרי שמחילים את המפתח, מאגרי יומנים חדשים בארגון או בתיקייה מוגדרים להצפנת הנתונים במצב מנוחה באמצעות המפתח הזה. אפשר גם לשנות את המפתחות עבור מאגרי יומנים ספציפיים. אי אפשר ליצור מאגרי יומנים באזור global כי צריך להשתמש במפתח שהאזור שלו תואם להיקף האזורי של הנתונים.

אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API‏ updateSettings.

אימות ההפעלה של המפתח

כדי לוודא שהפעלתם בהצלחה את CMEK בארגון או בתיקייה, מריצים את הפקודה הבאה של gcloud logging settings describe:

FOLDER 

gcloud logging settings describe --folder=FOLDER_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

ארגון 

gcloud logging settings describe --organization=ORGANIZATION_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

אם הפקודה הקודמת מחזירה את שם מפתח Cloud KMS בשדה kmsKeyName, סימן שהפעלתם CMEK בארגון או בתיקייה:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

ניתוב יומנים ליעדים נתמכים

  • אפשר להגדיר את קטגוריות היומנים ב-Cloud Logging להצפנת נתונים באמצעות CMEK. בארגונים ובתיקיות, אם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging עם הגדרת CMEK, אז דליים חדשים של יומנים בארגון או בתיקייה משתמשים אוטומטית ב-CMEK. אפשר לשנות את המפתח של מאגרי היומנים האלה, וליצור מאגרי יומנים שמשתמשים במפתח KMS שונה מזה שמוגדר בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging.

    מידע על CMEK שמוחל על קטגוריות ביומן, כולל איך לשנות מפתחות ומגבלות כשמפעילים CMEK בקטגוריה ביומן, מופיע במאמר הגדרת CMEK לקטגוריות ביומן.

  • ‫Cloud Storage תומך ב-CMEK לניתוב יומנים. הוראות להגדרת CMEK ל-Cloud Storage מופיעות במאמר שימוש במפתחות הצפנה בניהול הלקוח.

    אם נתונים אבדו בגלל שמפתח לא היה זמין כשניתוב נתוני יומנים ל-Cloud Storage, אפשר להעתיק יומנים בכמות גדולה ל-Cloud Storage באופן רטרואקטיבי, אם היומנים האלה מאוחסנים גם בקטגוריית יומנים. פרטים נוספים זמינים במאמר בנושא העתקת רשומות ביומן.

  • כברירת מחדל, ב-Pub/Sub מוצפן התוכן של הלקוחות שמאוחסן במנוחה. מידע נוסף זמין במאמר בנושא הגדרת הצפנת הודעות.

ניהול מפתח Cloud KMS

בקטעים הבאים מוסבר איך לשנות את מפתח Cloud KMS, לבטל את הגישה אליו או להשבית אותו.

שינוי מפתח Cloud KMS

כדי לשנות את מפתח Cloud KMS שמשויך לארגון או לתיקייה, יוצרים מפתח ואז מריצים את הפקודה gcloud logging settings update ומזינים מידע על מפתח Cloud KMS החדש:

FOLDER 

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

צריך לוודא שמיקום ברירת המחדל לאחסון של התיקייה מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=NEW_KMS_KEY_LOCATION

ארגון 

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

צריך לוודא שמיקום האחסון שמוגדר כברירת מחדל לארגון מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=NEW_KMS_KEY_LOCATION

שלילת הגישה למפתח Cloud KMS

כדי לבטל את הגישה של Logging למפתח Cloud KMS, צריך להסיר את הרשאת ה-IAM של חשבון השירות שהוגדר למפתח הזה.

אם מסירים את הגישה של Logging למפתח, יכול להיות שיעבור עד שעה עד שהשינוי ייכנס לתוקף.

כדי לבטל את הגישה של Logging למפתח Cloud KMS, מריצים את הפקודה הבאה של Google Cloud CLI:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Google Cloud שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Google Cloud שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.
  • KMS_SERVICE_ACCT_NAME: השם של חשבון השירות שמוצג בשדה kmsServiceAccountId בתגובה של הפקודה gcloud logging settings describe.
  • KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
  • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
  • KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

השבתת CMEK

השבתת CMEK בארגון או בתיקייה מסירה את האכיפה של מדיניות CMEK רק לגבי פעולות עתידיות. כל ההגדרות שהוחלו בעבר יישארו ללא שינוי.

כדי להשבית את CMEK במשאב שבו CMEK מוגדר כחלק מהגדרות ברירת המחדל של המשאב ב-Cloud Logging, מריצים את הפקודה הבאה ב-Google Cloud CLI:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

ארגון 

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

אם רוצים להשמיד את המפתח, אפשר לעיין במאמר בנושא השמדה ושחזור של גרסאות מפתח.

שיקולים לגבי רוטציית מפתחות ב-Cloud KMS

‫Cloud Logging לא מבצע רוטציה אוטומטית למפתח ההצפנה של קבצים זמניים לשחזור נתונים אחרי אסון, כשמתבצעת רוטציה של מפתח Cloud KMS שמשויך ל Google Cloud ארגון או לתיקייה. בקבצים הקיימים של שחזור ממשיכים להשתמש בגרסת המפתח שבאמצעותה הם נוצרו. בקובצי שחזור חדשים נעשה שימוש בגרסה הנוכחית של המפתח הראשי.

מגבלות

אלה המגבלות הידועות כשמגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK.

קבצים לא זמינים בגלל אסון

מפתח Cloud KMS נחשב לזמין ונגיש ל-Logging אם מתקיימים שני התנאים הבאים:

  • המפתח מופעל.
  • לחשבון השירות שמופיע בשדה kmsServiceAccountId בתשובה של הפקודה gcloud logging settings describe יש הרשאות הצפנה ופענוח במפתח.

אם ל-Logging אין יותר גישה למפתח Cloud KMS, הוא לא יכול לכתוב קבצים זמניים לשחזור אחרי אסון, והשאילתות של המשתמשים מפסיקות לפעול. יכול להיות שביצועי השאילתות יישארו ירודים גם אחרי שחזרתם לקבל גישה למפתח.

יכול להיות שגם ניתוב היומנים ל-Cloud Storage יושפע, כי שירות הרישום לא יכול לכתוב קבצים זמניים שנדרשים לניתוב. אם מתרחשת שגיאה במהלך הצפנה או פענוח של נתונים, נשלחת הודעה אל Google Cloud הפרויקט שמכיל את מפתח Cloud KMS.

זמינות של ספריית לקוח

ספריות לקוח לרישום ביומן לא מספקות שיטות להגדרת CMEK.

ירידה ברמת השירות עקב חוסר זמינות של מפתחות Cloud EKM

כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה על הזמינות של המפתח שמנוהל באופן חיצוני במערכת של השותף החיצוני לניהול מפתחות.

אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, ומפתח בניהול חיצוני לא זמין, מערכת Cloud Logging תנסה שוב ושוב לגשת למפתח. ‫Cloud Logging גם מאחסן באופן זמני את נתוני היומן הנכנסים למשך שעה לכל היותר. אם אחרי שעה ל-Cloud Logging עדיין אין גישה למפתח שמנוהל חיצונית, המערכת מתחילה להשליך את הנתונים.

אם CMEK מוחל על קטגוריה ביומן, ואם מפתח שמנוהל חיצונית לא זמין, Cloud Logging ממשיך לאחסן יומנים בקטגוריות ביומן, אבל המשתמשים לא יוכלו לגשת לנתונים האלה.

במסמכי התיעוד של Cloud External Key Manager מפורטים שיקולים נוספים ואפשרויות חלופיות לשימוש במפתחות חיצוניים.

מגבלות על קטגוריות של יומנים

מידע על מגבלות השימוש ב-CMEK עם מאגרי יומנים מופיע במאמר מגבלות.

מכסות

פרטים על מגבלות השימוש ב-Logging מופיעים במאמר מכסות ומגבלות.

פתרון בעיות בהגדרות

מידע על פתרון בעיות בהגדרת CMEK זמין במאמר פתרון בעיות בהגדרות ברירת המחדל של משאבים ו-CMEK ב-Cloud Logging.