Standardmäßig verschlüsselt Migrate to Virtual Machines inaktive Kundeninhalte. Migrate to Virtual Machines übernimmt die Verschlüsselung für Sie. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.
Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Migrate to Virtual Machines verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.
Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Migrate to Virtual Machines-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Migrate to Virtual Machines verwendet CMEK, um die folgenden Daten zu verschlüsseln:
- Intern während einer Migration gespeicherte Daten
- Daten auf Ziel-VM-Instanzen (VM = Virtuelle Maschine) und VM-Laufwerken
- Daten auf Ziellaufwerken und Maschinen-Images
Diese Szenarien werden in den folgenden Abschnitten näher beschrieben.
CMEK zum Verschlüsseln von Daten verwenden, die während einer Migration gespeichert werden
Wenn Sie während einer Migration oder eines Imports gespeicherte Daten mit CMEK verschlüsseln möchten, müssen Sie beim Erstellen einer Migrationsquelle bzw. einer Importressource einen Verweis auf einen Cloud KMS-Schlüssel angeben. Eine Anleitung zum Verschlüsseln von Daten mit CMEK während einer Migration aus verschiedenen Migrationsquellen finden Sie in den folgenden Themen:
- Migration von einer AWS-Quelle
- Migration von einer Azure-Quelle
- Migration von einer VMware-Quelle
- Images virtueller Laufwerke importieren
- Maschinen-Images importieren
CMEK zum Verschlüsseln von Daten auf Ziel-VM-Instanzen und VM-Laufwerken verwenden
Wenn Sie Daten auf Ziel-VM-Instanzen und VM-Laufwerken mit CMEK verschlüsseln möchten, müssen Sie in den Zieldetails einen Verweis auf einen Cloud KMS-Schlüssel angeben. Eine Anleitung zum Festlegen von CMEK in den Zieldetails finden Sie unter CMEK für VM-Instanzen festlegen und CMEK für VM-Festplatten festlegen.
CMEK zum Verschlüsseln von Daten auf Ziellaufwerken und Maschinen-Images verwenden
Wenn Sie Daten auf Ziellaufwerken und Maschinen-Images mit CMEK verschlüsseln möchten, müssen Sie in den Zieldetails einen Verweis auf einen Cloud KMS-Schlüssel angeben. Eine Anleitung zum Festlegen von CMEK in den Zieldetails finden Sie unter Virtuelles Laufwerk-Image in Compute Engine importieren und Maschinen-Image in Compute Engine importieren.