"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

搭配使用 CMEK 與 Managed Service for Apache Spark

根據預設，Managed Service for Apache Spark 會對客戶的靜態內容進行加密。Managed Service for Apache Spark 會為您處理加密作業，您不必進行任何其他操作。這項選項稱為「Google 預設加密」。

如要控管加密金鑰，您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK)，搭配整合 CMEK 的服務 (包括 Managed Service for Apache Spark)。使用 Cloud KMS 金鑰可讓您控管防護等級、位置、輪替時間表、使用權限和存取權，以及加密範圍。使用 Cloud KMS 還能追蹤金鑰用量、查看稽核記錄，以及控管金鑰生命週期。您可以在 Cloud KMS 中控制及管理用來保護資料的對稱金鑰加密金鑰 (KEK)，而不是由 Google 擁有及管理這些金鑰。

使用 CMEK 設定資源後，存取 Managed Service for Apache Spark 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項，請參閱「客戶自行管理的加密金鑰 (CMEK)」。

使用 CMEK

請按照本節中的步驟，使用 CMEK 加密 Managed Service for Apache Spark 寫入永久磁碟和 Managed Service for Apache Spark 暫存值區的資料。

2024 年 4 月 23 日起：

Managed Service for Apache Spark 也會使用 CMEK 加密批次工作引數。您必須將 Cloud KMS CryptoKey Encrypter/Decrypter IAM 角色指派給 Managed Service for Apache Spark 服務代理程式服務帳戶，才能啟用這項行為。如果Managed Service for Apache Spark 服務代理程式角色未附加至 Managed Service for Apache Spark 服務代理程式服務帳戶，請將 serviceusage.services.use 權限新增至附加至 Managed Service for Apache Spark 服務代理程式服務帳戶的自訂角色。您必須在執行 Managed Service for Apache Spark 資源的專案中啟用 Cloud KMS API。
batches.list 會傳回 unreachable 欄位，列出所有無法解密的含有工作引數的批次。您可以發出 batches.get 要求，取得無法存取批次的詳細資訊。
金鑰 (CMEK) 必須與加密資源位於相同位置。舉例來說，用於加密在 us-central1 區域執行的批次作業的 CMEK，也必須位於 us-central1 區域。

您可以使用 Cloud Key Management Service 建立及管理金鑰環和金鑰，也可以使用 Cloud KMS Autokey 簡化金鑰環和金鑰的自動建立程序。

使用 Cloud KMS Autokey

在含有專案的資料夾上啟用 Autokey。
建立金鑰控制代碼。建立金鑰控制代碼時，請將 dataproc.googleapis.com/Batch 或 dataproc.googleapis.com/Session 指定為 --resource-type。Autokey 會產生金鑰，並指派給金鑰控制代碼。
請按照後續「手動建立及使用金鑰」一節中的步驟 4 和 5，授予服務帳戶權限，並設定批次或工作階段工作負載。提交工作負載時，請在 kmsKey 欄位中指定金鑰控制代碼資源名稱，而非金鑰資源名稱。

手動建立及使用金鑰

請按照下列步驟手動建立 Cloud KMS 金鑰，並搭配 Managed Service for Apache Spark 使用。

使用 Cloud Key Management Service (Cloud KMS) 建立金鑰。

複製資源名稱。

資源名稱的構造如下：

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

啟用 Compute Engine、Managed Service for Apache Spark 和 Cloud Storage 服務代理程式服務帳戶，以使用您的金鑰：
1. 請參閱「使用 Cloud KMS 金鑰保護資源」>「必要角色」，將 Cloud KMS CryptoKey Encrypter/Decrypter 角色指派給 Compute Engine 服務代理人服務帳戶。如果這個服務帳戶未列在 Google Cloud 主控台的 IAM 頁面中，請按一下「包含 Google 提供的角色授權」，即可列出該帳戶。
2. 將 Cloud KMS CryptoKey Encrypter/Decrypter 角色指派給 Managed Service for Apache Spark 服務代理人服務帳戶。您可以使用 Google Cloud CLI 指派角色：
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  更改下列內容：
  
  KMS_PROJECT_ID：執行 Cloud KMS 的 Google Cloud 專案 ID。這個專案也可以是執行 Managed Service for Apache Spark 資源的專案。
  
  PROJECT_NUMBER：執行 Managed Service for Apache Spark 資源的專案編號 (不是專案 ID)。 Google Cloud
3. 在執行 Managed Service for Apache Spark 資源的專案中啟用 Cloud KMS API。
4. 如果Managed Service for Apache Spark 服務代理角色未附加至 Managed Service for Apache Spark 服務代理服務帳戶，請將 serviceusage.services.use 權限新增至附加至 Managed Service for Apache Spark 服務代理服務帳戶的自訂角色。如果 Managed Service for Apache Spark 服務代理角色已附加至 Managed Service for Apache Spark 服務代理服務帳戶，則可略過這個步驟。
5. 按照步驟在 bucket 中新增金鑰。
提交批次工作負載時：
1. 在批次 kmsKey 參數中指定金鑰。
2. 在批次 stagingBucket 參數中指定 Cloud Storage 值區名稱。
建立互動工作階段或工作階段範本時：
1. 在工作階段 kmsKey 參數中指定金鑰。
2. 在工作階段 stagingBucket 參數中指定 Cloud Storage 值區名稱。

搭配使用 CMEK 與 Managed Service for Apache Spark 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

使用 CMEK

使用 Cloud KMS Autokey

手動建立及使用金鑰

搭配使用 CMEK 與 Managed Service for Apache Spark