Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Unterstützung für CMEKs

Google Cloud Observability verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Google Cloud Observability übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Google Cloud Observability verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Google Cloud Observability-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselungsoptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Google Cloud Observability kann CMEKs verwenden, um Daten zu verschlüsseln, die in Observability-Buckets gespeichert sind. In diesen Buckets werden Ihre Trace-Daten gespeichert. In diesem Dokument werden die unterstützten Organisationsrichtlinien aufgeführt, Standardeinstellungen für Observability-Buckets eingeführt und die Interaktion zwischen Organisationsrichtlinien und Standardeinstellungen beschrieben.

Dieses Dokument gilt nicht für Cloud Logging, da dort Daten, die in Log-Buckets gespeichert sind, mit CMEKs verschlüsselt werden können. Weitere Informationen finden Sie unter CMEKs für Cloud Logging konfigurieren.

Unterstützte Einschränkungen für Organisationsrichtlinien

Wenn Sie steuern möchten, wo Ihre Beobachtbarkeits-Buckets erstellt werden und wer die Verschlüsselungsschlüssel für diese Buckets verwaltet, können Sie die folgenden Organisationsrichtlinien konfigurieren:

Eine Richtlinie mit der Einschränkungs-ID constraints/gcp.resourceLocations. Mit dieser Richtlinie wird die Gruppe von Standorten definiert, an denen neue Ressourcen erstellt werden können. Wenn Sie Observability-Buckets verwenden möchten, muss diese Gruppe von Standorten mindestens einen unterstützten Observability-Bucket-Standort enthalten.
Eine Deny-Richtlinie mit der Einschränkungs-ID constraints/gcp.restrictNonCmekServices. Gemäß dieser Richtlinie müssen neue Ressourcen mit CMEKs verschlüsselt werden.
Eine Richtlinie mit der Einschränkungs-ID constraints/gcp.restrictCmekCryptoKeyProjects. Mit dieser Richtlinie wird eingeschränkt, welche Cloud Key Management Service-Schlüssel für die Verschlüsselung verwendet werden.

Sie können Organisationsrichtlinien erstellen, die auf Organisations-, Ordner- oder Projektebene gelten. Weitere Informationen finden Sie unter Richtlinien erstellen und bearbeiten.

Standardeinstellungen für Beobachtbarkeits-Buckets

Google Cloud Observability bietet Standardeinstellungen für Observability-Buckets, die auf ein Projekt, einen Ordner oder eine Organisation angewendet werden. Diese Standardeinstellungen werden zusammen mit den Richtlinien Ihrer Organisation verwendet, um sicherzustellen, dass neue Observability-Buckets an dem von Ihnen bevorzugten Speicherort erstellt werden und das von Ihnen angegebene Verschlüsselungsmodell verwenden.

Mit Standardeinstellungen für Observability-Buckets können Sie für Organisationen, Ordner und Projekte Folgendes konfigurieren:

Ein Standardspeicherort.
Für jeden Standort ein standardmäßiger Cloud Key Management Service-Schlüssel.

Wenn diese Einstellungen für ein Projekt konfiguriert sind, gelten sie nur für neue Observability-Buckets, die in diesem Projekt erstellt werden. Wenn diese Einstellungen für einen Ordner oder eine Organisation konfiguriert sind, gelten sie für neue Observability-Buckets, die in Projekten erstellt werden, die untergeordnet dem Ordner oder der Organisation sind. Ausgenommen sind Projekte, für die Sie Standardeinstellungen konfiguriert haben.

Weitere Informationen finden Sie unter Standardeinstellungen für Observability-Buckets festlegen.

Zusammenspiel von Organisationsrichtlinien und Standardeinstellungen

Das übergeordnete Element eines Observability-Buckets muss ein Projekt sein. Das System kann also keinen Observability-Bucket in einem Ordner oder in einer Organisation erstellen. Wenn Sie jedoch Standardeinstellungen für Observability-Buckets für eine Organisation oder einen Ordner konfigurieren, gelten diese Standardeinstellungen für alle Projekte, die untergeordnet sind.

In der folgenden Tabelle sind die Regeln aufgeführt, anhand derer das System den Speicherort eines neuen Observability-Buckets bestimmt:

Organisationsrichtlinie verwenden, um den Standort einzuschränken	Für das Projekt (oder ein übergeordnetes Element) ist ein Standardspeicherort festgelegt.	So wird der Standort für einen neuen Bucket für die Beobachtbarkeit ermittelt
Nein	Nein	Das System wählt den Standort aus den unterstützten Standorten für Observability-Buckets aus.
Ja	Nein	Das System wählt den Standort aus der Schnittmenge der Standorte aus, die durch die Organisationsrichtlinien zulässig sind und die von den Observability-Buckets unterstützt werden. Wenn die Schnittmenge leer ist, wird der Bucket für die Beobachtbarkeit nicht erstellt.
Nein	Ja	Der Speicherort wird auf den Standardspeicherort festgelegt, der in den Standardeinstellungen des Projekts definiert ist. Wenn für das Projekt kein Standardspeicherort definiert ist, wird der Standardspeicherort verwendet, der für ein übergeordnetes Element definiert ist.
Ja	Ja	Der Speicherort wird auf den Standardspeicherort festgelegt, der in den Standardeinstellungen des Projekts definiert ist. Wenn für das Projekt kein Standardspeicherort definiert ist, wird der Standardspeicherort des übergeordneten Elements verwendet. Wenn der Standardspeicherort nicht durch die Organisationsrichtlinien zulässig ist, wird der Bucket für die Beobachtbarkeit nicht erstellt.

In der folgenden Tabelle sind die Regeln aufgeführt, anhand derer das System ermittelt, ob für einen neuen Beobachtbarkeits-Bucket CMEKs verwendet werden und, falls ja, den Wert des Cloud KMS-Schlüssels. Zum Verschlüsseln eines Observability-Buckets muss sich ein Cloud KMS-Schlüssel am Standort des Buckets befinden und durch Organisationsrichtlinien zugelassen sein. Wenn Sie keine Organisationsrichtlinie mit der Einschränkung gcp.restrictCmekCryptoKeyProjects angeben, sind alle Schlüssel zulässig:

Organisationsrichtlinie verwenden, um CMEK zu erzwingen	Das Projekt (oder ein übergeordnetes Element) hat einen Cloud KMS-Standardschlüssel.	So bestimmt das System, welcher Cloud KMS-Schlüssel verwendet werden soll.
Nein	Nein	Für den Observability-Bucket werden keine CMEKs verwendet.
Ja	Nein	Das System erstellt keine neuen Observability-Buckets, da die Organisationsrichtlinie CMEKs erfordert, aber kein Standard-Cloud KMS-Schlüssel definiert ist.
Nein	Ja	Um einen Schlüssel für die Verschlüsselung zu ermitteln, prüft das System zuerst, ob für das Projekt oder einen seiner Vorgänger ein Standardspeicherort festgelegt ist. Andernfalls wählt das System einen Speicherort aus und erstellt den Bucket für die Beobachtbarkeit. Für den Bucket wird kein CMEK verwendet. Wenn ein Standardspeicherort gefunden wird, sucht das System in den Standardeinstellungen des Projekts nach einem standardmäßigen Cloud KMS-Schlüssel. Wenn in den Standardeinstellungen des Projekts kein geeigneter Schlüssel angegeben ist, sucht das System in den Standardeinstellungen des übergeordneten Elements nach einem Standardschlüssel, der sich am Speicherort des neuen Buckets befindet. Eines der folgenden Ereignisse tritt ein: Es wurde kein Schlüssel gefunden: Der neue Observability-Bucket verwendet keinen CMEK. Ein Schlüssel wird gefunden und ist zulässig: Das System erstellt den Observability-Bucket. Ein Schlüssel wird gefunden, ist aber nicht zulässig: Das System erstellt den neuen Observability-Bucket nicht.
Ja	Ja	Um einen Schlüssel für die Verschlüsselung zu ermitteln, prüft das System zuerst, ob für das Projekt oder einen seiner Vorgänger ein Standardspeicherort festgelegt ist. Wenn kein Standardspeicherort festgelegt ist, wird der neue Bucket für die Beobachtbarkeit nicht erstellt. Wenn ein Standardspeicherort gefunden wird, sucht das System in den Standardeinstellungen des Projekts nach einem standardmäßigen Cloud KMS-Schlüssel. Wenn in den Standardeinstellungen des Projekts kein geeigneter Schlüssel angegeben ist, sucht das System in den Standardeinstellungen des übergeordneten Elements nach einem Standardschlüssel, der sich am Speicherort des neuen Buckets befindet. Eines der folgenden Ereignisse tritt ein: Es wird kein Schlüssel gefunden: Der neue Observability-Bucket wird nicht erstellt. Ein Schlüssel wird gefunden und ist zulässig: Das System erstellt den Observability-Bucket. Ein Schlüssel wird gefunden, ist aber nicht zulässig: Das System erstellt den neuen Observability-Bucket nicht.

Beschränkungen

Wenn das System einen Observability-Bucket erstellt, wird das Verschlüsselungsmodell entweder auf die Standardverschlüsselung von Google oder auf die vom Kunden verwaltete Verschlüsselung festgelegt. Nachdem der Bucket erstellt wurde, kann das Verschlüsselungsmodell nicht mehr geändert werden.

Nächste Schritte

Unter Standardeinstellungen für Observability-Buckets festlegen wird beschrieben, wie Sie einen Standardspeicherort und einen standardmäßigen Cloud KMS-Schlüssel für Ihre Observability-Buckets festlegen.
Unter Standardressourceneinstellungen für Cloud Logging konfigurieren und CMEKs für Cloud Logging konfigurieren wird beschrieben, wie Sie einen Standardspeicherort und einen Standard-Cloud KMS-Schlüssel für Ihre Log-Buckets festlegen.