הפעלת CMEK ל-Looker (Google Cloud Core)‎

כברירת מחדל, Looker מצפין את התוכן של הלקוחות במנוחה. ‫Looker מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Looker. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של המפתחות הסימטריים להצפנת מפתחות (KEK) שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים באמצעות CMEK, חוויית הגישה למשאבי Looker דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

בדף הזה מוסבר איך להגדיר מכונה של Looker (Google Cloud core) לשימוש ב-CMEK.

איך Looker (Google Cloud Core)‎ יוצר אינטראקציה עם CMEK?

‫Looker (Google Cloud core) משתמש במפתח CMEK יחיד (באמצעות היררכיה של מפתחות משניים) כדי להגן על המידע האישי הרגיש שמנוהל על ידי מופע Looker (Google Cloud core). במהלך ההפעלה, כל תהליך במופע Looker (ליבת Google Cloud) מבצע קריאה ראשונית אחת אל Cloud Key Management Service‏ (KMS) כדי לפענח את המפתח. במהלך פעולה רגילה (אחרי ההפעלה), כל מופע Looker מבצע קריאה אחת ל-KMS בערך כל חמש דקות כדי לוודא שהמפתח עדיין תקף.

באילו סוגים של מופעים של Looker ‏ (Google Cloud Core) יש תמיכה ב-CMEK?

מופעים של Looker ‏ (שירות הליבה של Google Cloud) תומכים ב-CMEK כשמתקיימים שני קריטריונים:

• השלבים להגדרת CMEK שמתוארים בדף הזה מתבצעים לפני יצירת מופע Looker (Google Cloud core). אי אפשר להפעיל מפתחות הצפנה בניהול הלקוח במכונות קיימות.
• מהדורות של מופעים צריכות להיות Enterprise או Embed.

תהליך העבודה ליצירת מופע של Looker (Google Cloud Core)‎ עם CMEK

בדף הזה מוסבר איך להגדיר CMEK עבור מכונה של Looker (Google Cloud core).

1. מגדירים את הסביבה.
2. משתמשי Google Cloud CLI,‏ Terraform ו-API בלבד: יוצרים חשבון שירות לכל פרויקט שנדרשים בו מפתחות הצפנה בניהול הלקוח, אם לא הוגדר כבר חשבון שירות של Looker לפרויקט.
3. יוצרים אוסף מפתחות ומפתח ומגדירים את המיקום של המפתח. המיקום הוא האזור Google Cloud שבו רוצים ליצור את המכונה של Looker (Google Cloud core).
4. למשתמשי Google Cloud CLI,‏ Terraform ו-API בלבד: מעתיקים או רושמים את מזהה המפתח (KMS_KEY_ID) ואת המיקום של המפתח, יחד עם המזהה (KMS_KEYRING_ID) של אוסף המפתחות. תצטרכו את המידע הזה כדי להעניק לחשבון השירות גישה למפתח.
5. משתמשי Google Cloud CLI,‏ Terraform ו-API בלבד: מעניקים לחשבון השירות גישה למפתח.
6. עוברים לפרויקט ויוצרים מופע של Looker (Google Cloud core) עם האפשרויות הבאות:
   1. בוחרים את אותו מיקום שבו נעשה שימוש במפתח ההצפנה בניהול הלקוח.
   2. מגדירים את המהדורה ל-Enterprise או ל-Embed.
   3. מפעילים את ההגדרה מפתח בניהול הלקוח.
   4. מוסיפים את מפתח ההצפנה בניהול הלקוח לפי שם או לפי מזהה.

אחרי שתשלימו את כל השלבים האלה, CMEK יופעל במופע Looker (Google Cloud core).

לפני שמתחילים

אם עדיין לא עשיתם זאת, ודאו שהסביבה שלכם מוגדרת כך שתוכלו לפעול לפי ההוראות שבדף הזה. כדי לוודא שההגדרה שלכם נכונה, פועלים לפי השלבים שמפורטים בקטע הזה.

1. בדף לבחירת הפרויקט במסוף Google Cloud , בוחרים פרויקט ב- Google Cloud או יוצרים אותו. הערה: אם אתם לא מתכננים לשמור את המשאבים שתיצרו בתהליך הזה, תוכלו ליצור פרויקט חדש במקום לבחור באחד מהפרויקטים הקיימים. בסיום התהליך תוכלו למחוק את הפרויקט ולהסיר את המשאבים שמשויכים אליו.

   מעבר לדף לבחירת הפרויקט

2. מוודאים שהחיוב מופעל בפרויקט Google Cloud . כך בודקים אם החיוב מופעל בפרויקט
3. התקינו את ה-CLI של Google Cloud.

4. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:

   gcloud init
   

5. מפעילים את Cloud Key Management Service API.

   הפעלת ה-API

6. מפעילים את Looker (Google Cloud Core) API.

   הפעלת ה-API

התפקידים הנדרשים

כדי להבין אילו תפקידים נדרשים להגדרת CMEK, אפשר לעיין בדף בקרת גישה באמצעות IAM במסמכי התיעוד של Cloud Key Management Service.

כדי ליצור מופע של Looker (Google Cloud core), צריך לוודא שיש לכם את תפקיד ה-IAM‏ Looker Admin בפרויקט שבו נוצר מופע Looker (Google Cloud core). כדי להפעיל CMEK למופע במסוף Google Cloud , צריך לוודא שיש לכם את תפקיד ה-IAM‏ Cloud KMS CryptoKey Encrypter/Decrypter במפתח שבו נעשה שימוש עבור CMEK.

אם אתם צריכים להעניק לחשבון השירות של Looker גישה למפתח Cloud KMS, אתם צריכים את תפקיד ה-IAM‏ Cloud KMS Admin במפתח שבו נעשה שימוש.

יצירה של חשבון שירות

אם אתם משתמשים ב-Google Cloud CLI, ב-Terraform או ב-API כדי ליצור את מופע Looker (Google Cloud core), ולא נוצר כבר חשבון שירות של Looker עבור הפרויקט שבו הוא ימוקם ( Google Cloud ), אתם צריכים ליצור חשבון שירות עבור הפרויקט הזה. אם אתם מתכוונים ליצור יותר ממופע אחד של Looker (Google Cloud core) בפרויקט, אותו חשבון שירות חל על כל המופעים של Looker (Google Cloud core) בפרויקט הזה, וצריך ליצור את חשבון השירות רק פעם אחת. אם משתמשים במסוף כדי ליצור מופע, Looker (Google Cloud core) יוצר באופן אוטומטי את חשבון השירות ומעניק לו גישה למפתח ה-CMEK כשמגדירים את האפשרות שימוש במפתח הצפנה בניהול הלקוח.

כדי לאפשר למשתמש לנהל חשבונות שירות, צריך להקצות לו אחד מהתפקידים הבאים:

• משתמש בחשבון שירות (roles/iam.serviceAccountUser): כולל הרשאות להצגת רשימה של חשבונות שירות, לקבלת פרטים על חשבון שירות ולהתחזות לחשבון שירות.
• אדמין בחשבון שירות (roles/iam.serviceAccountAdmin): כולל הרשאות להצגת רשימה של חשבונות שירות ולקבלת פרטים על חשבון שירות. כולל גם הרשאות ליצור, לעדכן ולמחוק חשבונות שירות.

אפשר להשתמש רק בפקודות של Google Cloud CLI כדי ליצור את סוג חשבון השירות שדרוש למפתחות הצפנה בניהול הלקוח. אם אתם משתמשים במסוף Google Cloud , חשבון השירות הזה נוצר בשבילכם באופן אוטומטי על ידי Looker (Google Cloud core).

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

הפקודה הזו יוצרת את חשבון השירות ומחזירה את השם של חשבון השירות. משתמשים בשם הזה של חשבון השירות במהלך התהליך שמתואר במאמר מתן גישה לחשבון השירות למפתח.

אחרי שיוצרים את חשבון השירות, צריך להמתין כמה דקות עד שהחשבון יתעדכן.

יצירה של אוסף מפתחות ומפתח

אפשר ליצור את המפתח באותו פרויקט Google Cloud שבו נמצאת מכונת Looker (Google Cloud core) או בפרויקט משתמש נפרד. המיקום של אוסף המפתחות ב-Cloud KMS צריך להיות זהה לאזור שבו רוצים ליצור את מופע Looker (Google Cloud core). מפתח של אזור גלובלי או של אזור שכולל מספר אזורים לא יעבוד. אם האזורים לא תואמים, בקשת היצירה של מכונת Looker (Google Cloud core) תיכשל.

כדי ליצור אוסף מפתחות ומפתח שעומדים בשני הקריטריונים הבאים, פועלים לפי ההוראות בדפי התיעוד בנושא יצירה של אוסף מפתחות ויצירה של מפתח:

• הערך בשדה מיקום מחזיק המפתחות חייב להיות זהה לאזור שתגדירו למופע Looker (Google Cloud core).
• השדה Purpose של המפתח צריך להיות Symmetric encrypt/decrypt.

בקטע רוטציה של המפתח מוסבר איך לבצע רוטציה של המפתח וליצור גרסאות חדשות של המפתח.

מעתיקים או רושמים את KMS_KEY_ID ואת KMS_KEYRING_ID.

אם אתם משתמשים ב-Google Cloud CLI, ב-Terraform או ב-API כדי להגדיר את מופע Looker (Google Cloud core), אתם צריכים לפעול לפי ההוראות שבדף התיעוד קבלת מזהה משאב של Cloud KMS כדי לאתר את מזהי המשאבים של מחזיק המפתחות והמפתח שיצרתם. מעתיקים או רושמים את מזהה המפתח (KMS_KEY_ID) ואת המיקום של המפתח, יחד עם המזהה (KMS_KEYRING_ID) של אוסף המפתחות. תצטרכו את המידע הזה כדי להעניק לחשבון השירות גישה למפתח.

מעניקים לחשבון השירות גישה למפתח

צריך לבצע את התהליך הזה רק אם מתקיימים שני התנאים הבאים:

• אתם משתמשים ב-Google Cloud CLI, ב-Terraform או ב-API.
• לחשבון השירות עדיין לא ניתנה גישה למפתח. לדוגמה, אם כבר יש מופע של Looker (Google Cloud core) באותו פרויקט שמשתמש באותו מפתח, לא צריך להעניק גישה. לחלופין, אם מישהו אחר כבר העניק גישה למפתח, אתם לא צריכים להעניק גישה.

כדי לתת לחשבון השירות גישה, צריך להיות לכם תפקיד Cloud KMS Admin ב-IAM במפתח שבו נעשה שימוש.

כדי לתת לחשבון השירות גישה:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

אחרי שמקצים לחשבון השירות את תפקיד ה-IAM, מחכים כמה דקות עד שההרשאה תתעדכן.

יצירת מכונה של Looker (Google Cloud core) עם CMEK

כדי ליצור אירוע עם מפתחות הצפנה בניהול הלקוח במסוף Google Cloud , קודם צריך לפעול לפי השלבים שבקטע יצירת מחזיק מפתחות ומפתח שמופיע למעלה, כדי ליצור מחזיק מפתחות ומפתח באותו אזור שבו תשתמשו באירוע Looker (Google Cloud core). לאחר מכן, פועלים לפי ההוראות ליצירת מופע של Looker (Google Cloud core) באמצעות ההגדרות הבאות.

כדי ליצור מופע של Looker (Google Cloud core) עם הגדרות CMEK, בוחרים אחת מהאפשרויות הבאות:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

הפעלתם CMEK במופע Looker (Google Cloud core).

צפייה בפרטי המפתח של מופע שמופעל בו CMEK

אחרי שיוצרים מכונה של Looker (Google Cloud core), אפשר לבדוק אם CMEK מופעל.

כדי לבדוק אם הצפנת CMEK מופעלת, בוחרים באחת מהאפשרויות הבאות:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

שימוש ב-Cloud External Key Manager ‏ (Cloud EKM)

כדי להגן על נתונים במופעים של Looker (Google Cloud core), אפשר להשתמש במפתחות שמנוהלים בשותף חיצוני לניהול מפתחות. מידע נוסף זמין בדף המאמר Cloud External Key Manager, כולל בסעיף שיקולים.

כשמוכנים ליצור מפתח Cloud EKM, אפשר לעיין בקטע איך זה עובד בדף התיעוד של Cloud External Key Manager. אחרי שיוצרים מפתח, צריך לציין את שם המפתח כשיוצרים מכונה של Looker (Google Cloud Core).

‫Google לא שולטת בזמינות של מפתחות במערכת של שותף חיצוני לניהול מפתחות.

ביצוע רוטציה למפתח

כדאי לבצע רוטציה של המפתח כדי לשפר את האבטחה. בכל פעם שמבצעים רוטציה למפתח, נוצרת גרסת מפתח חדשה. מידע נוסף על רוטציית מפתחות זמין במאמר בנושא רוטציית מפתחות.

אם מבצעים רוטציה של המפתח שמשמש לאבטחת מופע Looker (Google Cloud core), עדיין צריך את הגרסה הקודמת של המפתח כדי לגשת לגיבויים או לייצואים שבוצעו בזמן השימוש בגרסה הזו של המפתח. לכן, Google ממליצה להשאיר את גרסת המפתח הקודמת פעילה למשך 45 ימים לפחות אחרי הרוטציה, כדי להבטיח שהפריטים האלה יישארו נגישים. גרסאות של מפתחות נשמרות כברירת מחדל עד שהן מושבתות או מושמדות.

השבתה והפעלה מחדש של גרסאות מפתח

אפשר לעיין בדפי התיעוד הבאים:

• השבתה של גרסת מפתח שהופעלה
• הפעלה של גרסת מפתח מושבתת

אם גרסת מפתח שמשמשת לאבטחת מופע של Looker (Google Cloud core) מושבתת, המופע של Looker (Google Cloud core) צריך להפסיק לפעול, לנקות את כל המידע האישי הרגיש הלא מוצפן שעשוי להיות בזיכרון שלו ולהמתין עד שהמפתח יהיה זמין שוב. התהליך הוא כזה:

1. גרסת המפתח שמשמשת לאבטחת מופע של Looker (שירות הליבה של Google Cloud) מושבתת.
2. תוך כ-15 דקות, מופע Looker (ליבת Google Cloud) מזהה שגרסת המפתח בוטלה, מפסיק לפעול ומנקה את כל הנתונים המוצפנים בזיכרון.
3. אחרי שהמופע מפסיק לפעול, קריאות לממשקי Looker API מחזירות הודעת שגיאה.
4. אחרי שהמופע מפסיק לפעול, מוצגת הודעת שגיאה בממשק המשתמש של Looker (Google Cloud core).
5. אם מפעילים מחדש את גרסת המפתח, צריך להפעיל מחדש את המופע באופן ידני.

אם משביתים גרסה של מפתח ולא רוצים לחכות עד שמופע Looker ‏ (שירות הליבה של Google Cloud) ייעצר מעצמו, אפשר להפעיל מחדש את המופע באופן ידני כדי שמופע Looker ‏ (שירות הליבה של Google Cloud) יזהה את הגרסה של המפתח שבוטלה באופן מיידי.

השמדה של גרסאות מפתח

אפשר לעיין בדף התיעוד הבא:

• השמדה ושחזור של גרסאות מפתח

אם גרסת מפתח שמשמשת לאבטחת מופע Looker (Google Cloud core) נמחקת, אי אפשר לגשת למופע Looker (Google Cloud core). צריך למחוק את המופע, ולא תהיה לכם גישה לנתונים שלו.

פתרון בעיות

בקטע הזה מתוארים דברים שכדאי לנסות אם מקבלים הודעת שגיאה במהלך ההגדרה או השימוש במופעים עם הפעלה של CMEK.

יכול להיות שפעולות של אדמין ב-Looker (ליבת Google Cloud), כמו יצירה או עדכון, ייכשלו בגלל שגיאות ב-Cloud KMS ותפקידים או הרשאות חסרים. סיבות נפוצות לכישלון כוללות גרסת מפתח חסרה ב-Cloud KMS, גרסת מפתח מושבתת או שנמחקה ב-Cloud KMS, הרשאות IAM לא מספיקות לגישה לגרסת המפתח ב-Cloud KMS או שגרסת המפתח ב-Cloud KMS נמצאת באזור אחר ממופע Looker (Google Cloud core). כדי לאבחן ולפתור בעיות נפוצות, אפשר להיעזר בטבלת פתרון הבעיות הבאה.

טבלת פתרון בעיות שקשורות למפתחות הצפנה בניהול הלקוח

המאמרים הבאים

• ניהול מופע של Looker (Google Cloud Core)‎ מ Google Cloud המסוף
• הגדרות אדמין ב-Looker (Google Cloud Core)‎